全2801文字

 デジタル化時代の今、企業はオンラインサービスにおいて本人認証レベルをどう設定すべきなのか――。ここで参考になるのが、経済産業省が2020年4月に公表した報告書だ。企業が自らの事業リスクを判断してオンラインサービスに必要な認証レベルを評価できる尺度などが書いてある。

 名称は「オンラインサービスにおける身元確認手法の整理に関する検討報告書」。有識者がメンバーの研究会の議論を基に作成・公表した。法令で本人確認が求められているのは金融機関や携帯電話事業者などだが、本報告書はそれ以外の企業がインターネットでサービスを提供する際の身元確認などの在り方を整理している。

 オンラインサービスは対面サービスとは異なり、サービス利用者が本当に実在するのかを確認する手順が不可欠だ。研究会メンバーだった落合孝文弁護士は報告書について、「主に本人確認の規制がないオンラインサービスを念頭に議論したが、(金融機関や携帯電話事業者などの)規制業種も共通の要素があるので参考にしてほしい」と話す。

「本人確認」を構成する2つのプロセス

 報告書が特に強調しているのは、一般に「本人確認」と呼ばれるプロセスは「身元確認」と「当人認証(確認)」の組み合わせであるという点だ。きちんと分けて考えなければならない。具体的に見ていこう。

 まず「身元確認」だ。身元確認とは、利用者がアカウントを登録する際に「利用者が実在する本人である」点を確認するプロセスである。

 利用者が実在することを厳密に確認するには、対面で運転免許証やマイナンバーカードといった公的身分証で確認する必要がある。利用者にとっては自己申告や郵送物などの非対面による確認のほうが手軽だが、身元確認の厳密さは対面よりも劣る。

 次に「当人認証」だ。当人認証とは、実際にオンラインで手続きをしている利用者が間違いなく「身元確認された本人である」点を確認するプロセスだ。

 当人認証で多く使われているのが、本人しか知り得ないパスワードなどを知っているかという「知識」である。加えて当人にしか配られていないICカードといった「所持している物」、あるいは指紋や顔といった当人の「生体情報」を使う場合もある。

身元確認と当人認証の違い
身元確認と当人認証の違い
(出所:経済産業省「オンラインサービスにおける身元確認手法の整理に関する検討報告書」)
[画像のクリックで拡大表示]

 当人認証で他人によるなりすましを防ぐには、認証強度を上げるしかない。サービスにおける事業リスクが低い場合は、認証情報の確認方法として本人だけが記憶しているID(識別子)とパスワードなどの「単要素認証」で問題ない。

 だが、パスワードの漏洩や使い回しなどによって他人がなりすまししやすい点は知っておきたい。利用者が申し出たメールアドレスに返信して本人かを確認する「送達確認」も、誰でも無料で取得できるメールアドレスであればなりすましに使われてしまう。

 サービスにおける事業リスクが高い場合、当人認証にはIDやパスワードといった「知識」に加えて、ICカードといった所持情報や指紋といった生体情報を組み合わせる「多要素(2要素)認証」を使う必要がある。

 PayPayやLINE Payといったスマホ決済サービスが普及するなか、多くの決済サービス事業者は利用者が申告した携帯電話番号にSMS(ショート・メッセージ・サービス)を送ることで、本当にその番号のスマホを持っているかを確認する「SMS認証」を採用している。

 携帯電話を申し込む際は、携帯電話不正利用防止法に基づいて身元確認がされている。その保有者を認証する「所有認証」の一種として広がった。