Close Menu
    Trending
    World Economy

    犯収法施行規則改正で本人確認の何が変わるのか

    morshediBy No Comments1 Min Read
    犯収法施行規則改正で本人確認の何が変わるのか

    2021年6月のFATF本会合で採択された第4次対日相互審査報告書(MER)は、日本の非対面取引における本人確認手続について、「真正性(authenticity)と生存性(liveness)の確認が不十分」と評価した。続くフォローアップ報告(FUR)でも同趣旨の課題が繰り返し指摘されたことから、所管官庁である警察庁は指摘を国内制度へ反映させる必要に迫られた。そこで警察庁は2025年2月28日に犯罪収益移転防止法施行規則の改正案を公示し、意見募集を経て同年6月24日に改正規則を公布した。改正規則は2027年4月1日に施行される予定であり、これにより非対面のオンライン本人確認(eKYC)は、公的個人認証やICチップ読取を必須とする新たな基準へ移行する。すなわち、MERの指摘が直接の契機となり、国内の施行規則改正—そしてeKYCの大転換—へと至った構図である。

    施行規則の改正は三つに集約される。第一に、電子証明書など暗号的真正性を担保する手段へ誘導し、なりすまし・口座売買を抑止すること。第二に、FATF勧告およびガイダンスに整合した国際基準対応を果たすこと。第三に、デジタル庁が推進する公的個人認証基盤(JPKI)の普及を加速し、行政・民間双方のデジタルID連携を強化することである。

    新しい本人確認体系と技術要件

    改正後、施行規則第6条第1項第1号の記号体系は全面的に再設計される。現行ワ方式はル方式と改称され、マイナンバーカードの署名用電子証明書をオンライン検証することが原則となる。署名アルゴリズムはRSA2048bit/SHA‑256、失効確認はJ‑LIS OCSPレスポンダまたはCRLで行う。スマートフォンのNFC機能(2025年6月以降はiPhoneのApple Wallet経由読み取りも可能)でICチップを読み取り、PKCS#7構造体を検証する実装が必須となる。

    現行へ方式は新ホ方式となり、運転免許証・在留カード・特別永住者証明書などISO/IEC 18013準拠IDのICチップを読み取る。取得するのはData Ingredient 01(テキスト情報)とData Ingredient 02(顔画像)であり、端末上で顔特徴量比較を行って同一性を確認する。セルフィー側ではISO/IEC 30107‑3準拠のPresentation Assault Detectionを実装し、静止画スプーフィングや動画リプレイを排除することが求められる。

    国外転出者や海外在住者を想定したワ方式、および自治体発行電子証明書を活用するカ方式は、原本書類の転送不要郵便による所在確認と在外公館発行の在留証明書に基づく電子署名を組み合わせる二段階モデルである。将来的にはWebAuthnを用いたFIDO2署名の導入が検討されており、システム設計段階で拡張性を確保する必要がある。

    画像送信のみで完結する現行ホ方式とリ方式は、目視確認プロセスやOCRが証跡保管用として残るだけで、新規ユーザーのオンボーディングでは利用できなくなる。

    事業者への影響

    技術面では、ホ方式中心だったフィンテック事業者は、NFC対応アプリまたはApple Wallet連携の新規開発と外部SDK統合が必須となる。オンプレミスで本人確認を行う銀行などは、HSMによる鍵管理とOCSPレスポンダの冗長構成が必要で、初期投資は数千万円規模になりうる。

    業務・コンプライアンス面では、取引時確認マニュアル、リスク評価書、疑わしい取引届出の手続を改訂し、取締役会または経営会議で承認する必要がある。内部監査部門は施行後90日以内に初回レビューを実施し、検証ログ(7年保存)の統制を確認することが求められる。外国PEPスクリーニングのモニタリング頻度を半年から四半期へ引き上げる事例も増えている。

    また、マイナンバーカードを全ての人が持っているわけではない。カード非保有・失効者の離脱を防ぐには、対面・郵送チャネルの維持やカード取得促進キャンペーンが不可欠である。

    今後の論点

    改正は本人確認のセキュリティを強化する一方、デジタルIDインフラの相互運用性を浮き彫りにした。EU eIDAS 2.0や韓国PASSのような多国間相互認証の標準化が不可欠である。国内ではSelf‑Sovereign Id(SSI)型分散IDの社会実装が進むが、「信頼できる発行者」の定義と整合させる必要がある。また、マイナンバーカードの大量更新が2026〜2027年に集中するため、更新サイクルの管理を怠ると本人確認失敗率が急増するリスクがある。

    データ保護規制では、ICチップから取得するData Ingredient 02(顔画像)が要配慮個人情報に該当し得る。改正個人情報保護法ガイドライン(2026年4月施行予定)は顔特徴量の暗号化保存とアクセスログ管理を義務付ける方向で議論されており、AML/CFTとプライバシー保護という二重規制を前提にゼロトラスト設計を採用すべき方向で話が進むかもしれない。

    改正犯収法施行規則は、画像送信中心の本人確認を終焉させ、電子証明書を核とする次世代eKYCへ道筋を示した。残された時間は短いが、この移行はセキュアでフリクションレスなデジタル取引基盤を築く契機でもある。事業者は「2027年4月1日」をデッドラインではなく競争優位のスタートラインと捉え、戦略的な投資とガバナンス強化に踏み出すといいかもしれない。



    Source link

    Share.

    Related Posts

    Add A Comment
    Leave A Reply