身元確認手法の整理に関する検討について

オンラインサービスにおける

身元確認手法の整理に関する検討について

2021年3月

経済産業省 商務情報政策局

資料17ｰ1

オンラインサービスでの「実在性の確認」の必要性

• オンライン以前のサービスは、郵便を除けば原則対面でのサービス提供、フィ ジカルに相手が「見える」存在だった

• インターネット黎明期、オンラインサービス上では掲示板の書き込み等を主と して、当初相手が「見えない」存在だったが、だんだんとオンライン上でも実 在する本人を前提としたサービスが増加する中で、相手への「信頼」が重 要となっており、その人の実在性の確認が必要になってきている

– 1990年代後半：インターネットの匿名性から、なりすましや複数アカウ ント等による詐欺等が生じ、EC等サービス提供者が経済的被害を受け る形に

– 2000年代後半：一方で人と人をつなぐ、ソーシャルネットワークサービス が普及、ネット上でも実名で行うサービスが普及。一方で本当にそれが 実在する存在なのか確認するには免許証や保険証といった公的身分 証明書を求める形になり、ユーザーにも事業者にも身元確認の手間が かかることがネックに

– 2010年代後半：民泊、ライドシェアなどシェアリングサービスが普及し、

個人がオンラインでつながり、サービスはオフラインで提供されるといった ビジネスモデルが誕生。オフラインでのサービス提供を受ける際に、相手が 本当に実在するのかといった点がオンラインプラットフォームでもより重 要に

EC 匿名性

掲示板 リアル /フィジカル空間

マッチング等の プラットフォーム

PF

PF

リアルからオンラインサービスへ

EC

BBS

2020/3/12 2

オンライン上でも実在する本人を前提としたサービスが増加し、

その人の実在性の確認が必要になってきている

3

委員（50音順、敬称略）

石山 アンジュ 一般社団法人シェアリングエ コノミー協会

小木曽 稔 一般社団法人新経済連盟 落合 孝文 渥美坂井法律事務所・外国 法共同事業

栗山 盛行 株式会社NTTドコモ

古賀 正明 株式会社三井住友フィナン シャルグループ

千葉 孝浩 株式会社TRUSTDOCK 福島 直央 LINE株式会社

丸山 弘毅 一般社団法人Fintech協会 水野 祐 シティライツ法律事務所 柳澤 隆 株式会社三菱UFJ銀行

オブザーバー

一般社団法人全国銀行協会 独立行政法人情報処理推進機構

（参考）

「 オンラインサービスにおける身元確認手法の整理に関する検討会」メンバー

事務局

経済産業省商務情報政策局 独立行政法人国立研究開発法 人新エネルギー・産業技術総合開 発機構

PwCコンサルティング合同会社

※２０２０年１月から３月にかけ て計３回の研究会を開催。

１．身元確認と当人認証の概念の違いを明らかにする

– 当人認証はユーザーが実際にサービスを利用していることを確認する手法。（ID/パスワード、SMSによる電話番 号の所持確認、生体認証などはこの手法）

– 一方で身元確認は、実際にその行為を行うユーザーが実在する特定の存在であることを確認する手法であり、な りすましや複数のアカウント保有による犯罪等を防止するためには重要。（マイナンバーカードや免許証の確認等）

– 現在当人認証と身元確認の概念が区別されておらず、社会的にもこの概念を理解していただくことが重要。

２．オンラインサービス事業者に身元確認の必要性に関する事業リスクの判断指標を提供

– オンラインビジネスを行う事業者が自社が行うビジネスのリスクを評価するためのフレームワークを示すことで必要に 応じて身元確認を行うべきかを判断しやすくする判断指標を提供。

– フレームワークに自社の事業を当てはめることにより、特に新規事業者にとってなりすましや複数アカウント等による自 社の事業リスクを評価しやすくなり、どの程度の身元確認を行っておくべきかの予見可能性が高まる。

３．中間強度の身元確認手法のあり方に関する整理

– 現状、身元確認の手法は公的身分証による確認、もしくは本人による自己申告のふたつの方法しかなく、公的身 分証の確認は、一部オンラインベースで確認できるサービスが出てきているものの、依然事業者・ユーザー双方に とって身元確認のコストが高い状況になっている。

– 中間強度の身元確認手法のあり方について整理することで、事業者・ユーザー、双方に利用しやすい身元確認の オプションを提供し、より安心・安全に利用できるサービスの拡大に貢献する。

4

検討内容

身元確認と当人認証の違い

• 1)認証要素は「生体」（顔・指紋など）・「所持」（マイナンバーカードなど）・「知識」（パスワー ドなど）に分かれる

2)マイナンバーカードなど、内部の情報に対する不正な読み出しが困難である物理装置

身元確認・当人認証とはなにか

当人認証 身元確認

（検討会スコープ）

推奨されているレベル区分（2019年現在）

• 登録する氏名・住所・生年月日等が正しいことを 証明/確認すること

• 認証の3要素¹⁾のいずれかの照合で、その人が 作業していることを示すこと

Lv3 「対面」で「公的身分証」を基 にした身元の確認

Lv2 「郵送等の非対面」で「公的身 分証」を活用した身元の確認

Lv1 「自己申告」を基にした身元の 確認

Lv3

3要素のうち耐タンパ性を持つ ハードウェア²⁾を含めた複数を 用いる認証

Lv2 3要素のうち複数用いる認証 Lv1 3要素のうち1つ用いる認証 身分証

自己申告/ 顔写真など

ユーザー • 身分証は本物か

を確認する (validation)

• 身分証と、自己申 告または顔容貌と が一致するかを 確認する (verification)

サービス 事業者 対面、

郵送、

Upload

ユーザー

サービス 事業者 ID/パスワードの提示

認証

（例）

（例）

保証レベル 高

両者をあわせて本人確認という

保証レベル 高

5

「身元確認」の「当人認証」との区別

「身元確認」は、ユーザー当人の実在性を確認し、「当人認証」は、ユーザーの行為

を確認する。通常両方の組み合わせを通じて「本人確認」が行われている

状況によっては 二次被害も発生 損害の種類 名誉毀損 金銭詐取 破損・詐取 傷害

程度の判断 個人情報 金額 価値 身体的

コンタクト

情報 カネ モノ ヒト

高

中

低

事業で取り扱う財が多いほどより厳格な身元確認が必要

損害の 程度

事業で取 り扱う財

高いレベルの損害リスクが予見されるほど、より厳格な身元確認が必要

サービス 受給者

サービス 提供者

X

オンラインサービス の主な関与者

保険でリスク低減可能

事業リスク（身元確認の必要性）の評価尺度

6

事業リスクの判断指標①

事業者の自己チェック用に、取引する財に応じてサービス受給者・提供者が被る損害

リスクをベースに、身元確認の必要性を評価する尺度を用意した

• 事業ステージにより、優先価値は異なり、身元確認に関するスタンスも異なる

– 創業期〜拡大期：ユーザー数がまだ限定的で、アーリーアダプターが多いため、いかに早く事業を成長さ せるかが優先され、身元確認のコストを低減する、もしくは行わないインセンティブが高い

– 拡大期〜成熟期：社会的責任が大きくなる中で、事業内でのユーザーとのトラブルが社会的信用を失墜さ せ、ビジネスに甚大な被害を与えかねず、いかに信頼性を担保するかが優先されるため、身元確認を導 入するインセンティブが高い

事業ステージに応じて優先する価値の傾向

創業期

（事業確立）

いかに社会的責任を果たすか

→身元確認によるユーザーから の信頼が優先

いかに早く成長するか

→身元確認のコスト低減が優先

ビジネスの拡大・

取引量の拡大・

社会的インパクト

拡大期

（上場前）

成熟期

（上場後）

7

事業リスクの判断指標②

事業ステージに応じて変化する優先価値の傾向を整理した

事業者が自社の ステージを考慮し判断

本人確認手法（身元確認＋当人認証）のユーザーの手間・コスト

身元確認 当人認証 イメージ（再掲）

• 1)メールアドレスの送達確認 2)SMSによる電話番号の所持確認

3)マイナンバーカード、免許証など

ログイン ID/パスワード

メール認証¹⁾

自己申告

ログイン ID/パスワード

自己申告

端末認証 or 生体認証

ログイン ID/パスワード

自己申告

ログイン ID/パスワード

SMS認証²⁾

自己申告 自己申告

ログイン ID/パスワード

中間強度の 身元確認手法

（検討対象）

対面での公的 身分証確認³⁾

端末認証 or 生体認証

ハードウェアトーク ンを含む認証

自己申告

端末認証 or 生体認証

自己申告

ユーザーの手間・コスト

本人確認手法（身元確認＋当人認証）の一覧

ログイン ID/パスワード ハードウェアトーク

ンを含む認証

自己申告

ハードウェアトーク ンを含む認証

ログイン ID/パスワード

オンラインによる 遠隔での公的

身分証確認³⁾

郵送による遠隔 での公的身分証

確認³⁾

※近年、デジタル化 に伴い、オンライン 完結の身元確認が 増えてきている

身元確認は自己申告レベルで、

氏名・住所・生年月日は不確か

確からしい氏名・住所・生年月日等を 把握でき、実ユーザーを特定可能

事業フェーズ、事業に求められる信頼性 に応じ、手間・コストをかけた手法を選択 するが・・・

身元確認手法を自己申告の次の段階に レベルを上げようとすると、信頼度とあ わせて手間・コストのハードルが上がる サービス

事業者

8

中間強度の身元確認手法の必要性

現状、身元確認は自己申告もしくは公的身分証の確認のいずれかであり、

“適度に簡易で信頼性のある”手法=中間強度の手法の検討が必要である

•

公的身分証の確認（オフライン・オンライン）ほど負担ではなく、一方で自己申告より は厳格に身元確認ができる、

“

適度に簡易で信頼性のある

”

手法

=

中間強度がない か。また、その実現には何が課題か。

•

金融機関や通信キャリアが提供している身元確認APIを中間強度の身元確認手法と して活用することができるのではないか。

•

身元確認

API

を活用する場合以下論点についてどのように考えるか。

①公的身分証への依拠¹⁾のあり方：第三者の身元確認済みデータを活用し、身元確 認を行うことはできるか

②

API

で返すデータのあり方：実際の確認方法として、身元確認済みデータを返すの か、情報突合の結果を返すのか

③当人認証

(Authentication)

との連携の仕方

:

認証システムとの

API

連携の方法 についてどう整理すべきか

④トランザクションコスト：普及に当たってのコストのあり方はどうあるべきか

⑤身元確認の結果に関する責任分界点：

API

提供者としては全ての責任を負うこと はできないのではないか

⑥その他

1)ここでの依拠とは、第三者の身元確認済みデータを活用し、身元確認を行うことを指しており、責任区分などを含むことは

意図していない 9

中間強度の身元確認手法の検討に関する論点

中間強度の身元確認を普及させるにあたって検討すべきこと

10

中間強度の身元確認手法普及に向けた検討

多くのステークホルダー間で調整が必要であり、アーキテクチャ設計とその共通理解を深め ながら、普及を進めていく必要があるのではないか

2020/3/31 1)本検討会では、資格情報の連携（士業・在留資格の連携）などの「適格性評価」はスコープ外としたが、アグリゲーターの

アーキテクチャを考える上では、これらの連携を含めて考える必要がある

ステークホルダーと論点 論点詳細

• どの標準化動向に、どこまで合わせていくか – 国際標準、先行プレイヤー等のどの基準にあ

わせていくか

– 合わせる場合はどこまで合わせていくか

• アグリゲーターの必要性と、どこまで任せるか – 官、民どちらが行うか、民で行う場合の競争環

境をどう考えるか

– APIを取りまとめるだけなのか、ユーザー情報

のアグリゲートまで行うのか

– e-KYC事業者等の認定の仕組みが必要では

ないか

– 産業毎・アグリゲーター毎の相互接続性を担 保できるようにすべきではないか

– データ連携技術で、実装としての共通I/F化が 必要ではないか

• UI/UXを向上し、どう利便性向上を図るか

– 国際標準、先行プレイヤー等のどの基準にあ わせていくか

– 事業者間の協調及び、ユーザーへの普及をど うやって推進するか

• 身元確認に関連した法令・法規は、それぞれ どのように整合しているか

A

B

• 対象

– オンラインサービス等の身元確認を活用 する事業者

– 身元確認API事業者

• 効果

– 開発、接続、カバレッジ、オペレーション 等が全て効率化される

• API・データの仕様を詳細レベルで揃 え、共通I/Fで事業者へ提供

• 複数の身元確認API提供者を束ねて、

ユーザーカバレッジが向上

• 身元確認API業者と事業者との契約・

請求業務が一本化される (参考)

標準化・アグリゲーター設置のメリット

API 事業者

API 事業者

API 事業者

アグリゲーター

事業者 事業者 事業者 ・・・

・・・

共通I/F(標準化)

共通I/F(標準化) B

A

A

啓蒙とUI/UX向上 C

ユーザー

C

D

(参考)

中長期的な検討事項

• マイナンバーカードとの連携、保険証や資格 情報¹⁾との連携、在留外国人のデジタルアイ デンティティの活用、更には海外での活用等 の観点も考慮をしておくことが必要か 身

元 確 認 に 関 連 し た 法 令

・ 法 規 D

1. 身元確認の重要性に関する周知や、事業リスクの判断指標の展開

• ユーザー、オンライン事業者及びAPIの提供プレーヤーがそれぞれメリットを受けることを明 確にしつつ、本報告書の公開やメディアへの露出を通じて、リスクに応じた身元確認の重要 性について社会一般、事業家に対して発信。

• 身元確認の必要性に関する事業リスクの判断指標について紹介。例えば、シェアリングエコ ノミー協会における、シェアリングエコノミーの認証制度における事前評価で活用。また

Fintech協会においても、犯収法対象事業者の情報提供を後押しをしつつ、非対象事業者の

利用について周知を展開。

2. 身元確認 API の活用環境の整備

• 事業者やエンドユーザーにとって使いやすくする為には、ユーザーカバー率の増加が重要。

その為、金融業界、通信キャリアの主要事業者に今回の報告書を共有、身元確認済みAPI の提供プレーヤーの拡大を目指す。

• アグリゲーターの位置付け、情報の標準化、データ連携技術（API含）等の方向性、中間強度 の身元確認手法等、オンライン事業者が使いやすい形でのサービス全体のアーキテク

チャー整理が必要。また検討においては、令和2年度に立ち上がる予定であるIPAデジタル アーキテクチャデザインセンターとの連携が必要。

11

検討会議論を踏まえた取組の方向性