1.はじめに
マネーロンダリング対策及びテロ資金対策に関する国際協力推進を目的とするFATF(※1)勧告の順守のため、日本は、金融庁の下、金融機関を中心にマネーロンダリング対策を行ってきました。当初は組織的犯罪処罰法等による本人確認手続きを実施してきましたが、2000年代に入ると、金融機関以外によるマネーロンダリングの懸念が生じ、非金融業者・職業的専門家にもFATF勧告を適用することとしました。これを受けて、2007年3月に成立したのが犯罪収益移転防止法(以下「犯収法」といいます。)です。以降、FATF勧告を踏まえ、何度も改正が行われてきました。
犯収法では、マネーロンダリングの防止等の観点から、マネーロンダリングに利用されるおそれのある取引を「特定取引」(犯収法第4条第1項)と定義し、特定取引を行うにあたり本人確認を行うことを事業者に義務付けています。2023年「デジタル社会の実現に向けた重点計画(抜粋)2023年6月9日閣議決定」において、犯収法等に基づくオンラインの本人確認の手法について、マイナンバーカードの公的個人認証に原則として一本化し、運転免許証等を送信する方法や、顔写真のない本人確認書類等は廃止することが決定されました。そして、この公的個人認証による方法がJPKIと呼ばれるものになります。
本記事では、犯収法の本人確認について概要を説明した後、JPKIについて解説したいと思います。
2.犯収法に基づく取引時確認
(1)取引時確認とは
犯収法の「特定事業者」は、顧客等と一定の取引を行うに際して取引時確認を行うことが必要となります。取引時確認は、個人と法人で方法が異なるところがありますが、個人については、本人特定事項(氏名、住居及び生年月日)、取引を行う目的及び職業を確認しなければなりません(犯収法第4条第1項)。本記事では、取引時確認のことを「本人確認」と記載することがあります。なお、取引時確認に関する詳細は過去記事においても解説していますので、コチラをご参考ください。
(2)個人の本人特定事項の確認方法
本人特定事項である「氏名、住居及び生年月日」を確認するためには、犯収法に定める方法により、本人特定事項を確認しなければなりません。確認方法は、対面か非対面(オンライン)によって変わってきます。非対面による方法については、以下のようにまとめられます。なお、「取引を行う目的及び職業」については、顧客から申告を受ける方法で足ります(犯収法第4条第1項、犯収法規則第6条第1項第1号)。
類型 | 方法 | 該当条項 | |
|---|---|---|---|
個人顧客向け | 本人確認書類を用いた方法 | 「写真付き本人確認書類の画像」+「容貌の画像」を用いた方法 | 1号ホ |
「写真付き本人確認書類のICチップ情報」+「容貌の画像」を用いた方法 | 1号ヘ | ||
「本人確認書類の画像又はICチップ情報」+「銀行等への顧客情報の照会」を用いた方法 | 1号ト(1) | ||
「本人確認書類の画像又はICチップ情報」+「顧客名義口座 の振込み」を用いた方法 | 1号ト(2) | ||
電子証明書を用いた方法 | 「公的個人認証サービスの署名用電子証明書(マイナンバーカードに記録された署名用電子証明書)」を用いた方法 | 1号ワ | |
「民間事業者発行の電子証明書」を用いた方法 | 1号ヲ・カ | ||
法人顧客向け | 「登記情報提供サービスの登記情報」を用いた方法 | 3号ロ | |
「電子認証登記所発行の電子証明書」を用いた方法 | 3号ホ | ||
犯収法規則第6条第1項
金融庁「犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要」より
3.JPKI
(1)JPKIとは
2023年6月9日の「デジタル社会の実現に向けた重点計画」において、公的個人認証サービスの推進について言及がされました。公的個人認証サービスとは、マイナンバーカードのICチップに搭載された電子証明書を利用(マイナンバーは利用しません。)して、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に行うための安全・確実な本人確認を行うためのサービスです。先ほどの表の「公的個人認証サービスの署名用電子証明書(マイナンバーカードに記録された署名用電子証明書)」を用いた方法(1号ワ)に該当するものです。JPKI自体は新しい技術ではなく、2004年から提供されているもので、行政では利用されてきたものです。
(2)JPKI一本化の背景
かねてより、050携帯電話等を用いた犯罪を抑制するにあたって、携帯電話取得時の本人確認が課題であり、ルフィ事件をきっかけに、犯収法等の本人確認方法について、犯罪リスクの高い方法(eKYCの画像撮影方式や郵送方式等)を、堅牢性の高い公的個人認証サービスに移行させるべく、警察庁・総務省・金融庁・デジタル庁間で協議が始まりました。これを受け、2023年3月17日には、緊急対策プラン(閣議決定文書)が公表され、「携帯電話不正利用防止法及び犯罪収益移転防止法等で定められている本人確認の実効性の確保のため、制度改正を含め、非対面の本人確認においてマイナンバーカードの公的個人認証機能の積極的な活用を推進する」といった記載がされました(※2)。さらに、2023年6月9日閣議決定により、犯収法、携帯電話不正利用防止法に基づく非対面の本人確認手法は、マイナンバーカードの公的個人認証に原則として一本化し、運転免許証等を送信する方法や、顔写真のない本人確認書類等は廃止すること、対面でも公的個人認証による本人確認を進めるなどし、本人確認書類のコピーは取らないことが決定されました。
2024年6月12日には、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則に関するパブリックコメント(※3)がなされ、同日に交付されています(※4)。今後は、十分な準備期間を確保したうえで施行することとなっています。
したがって、現在、運転免許証を撮影する方法などが主流の本人確認手続きが、将来的にはなくなり、マイナンバーカードの公的個人認証によることになります。
(3)概要
JPKIはマイナンバーカードを利用した本人確認の方法ですが、マイナンバーを利用するものではありません。マイナンバーカードのICチップに搭載された電子証明書を利用して認証を行います。電子証明書は、以下の2種類があります。
・署名用電子証明書
インターネット等で申込や契約等の電子文書を作成・送信する際に利用されており、その利用者が作成・送信した電子文書が「利用者が作成した真正なものであり、利用者が送信したものであること」を確かめることができます。6~16桁の暗証番号(署名パスワード)が必要になります。署名用電子証明書は、本人の意思に基づき電子文書等が作成されたことを証明するためのもので、フィンテック事業者の例としては、暗号資産の口座開設、資金移動口座の開設、カードローン契約での利用例があります(※5)。e-Taxでも利用されています。
・利用者証明用電子証明書
主に、インターネットサイト等にログインする際に利用されており、ログインした者が、利用者本人であることを確かめることができます。4桁の暗証番号(利用者証明用パスワード)で認証します。事例としては、マイナポータルへのログインやコンビニ交付サービス利用等があり、フィンテック事業者の例はあまり見当たらないのですが、今後、JPKIに一本化されることで増えてくる可能性はあります。
なお、署名用電子証明書と利用者証明用電子証明書では、その用途が異なるため、保持する情報に差異があります。主な差異は、電子証明書内に基本4情報(住所、氏名、性別、生年月日)を保持するか否かです。申込時等に電子署名用途で利用される署名用電子証明書には、申込者等の正確な住所等の確認が必要なため、電子証明書内に基本4情報が保持されています。インターネットサイト等のログインに利用される利用者証明用電子証明書は、本人であることが確認できれば良いため、基本4情報が保持されていません。
電子用電子証明書 | 利用者証明用電子証明書 | |
|---|---|---|
証明書情報 | 基本4情報(氏名、住所、性別及び生年月日)、シリアル番号、有効期限等が記録される | 基本4情報は記録されないが、シリアル番号、有効期限等が記録される |
暗証番号 | 6~16桁の英数字 | 4桁の数字 |
利用シーン | ・電子申請(e-Tax) | ・マイナポータルへのログイン |
さらなる詳細は、デジタル庁が公開している資料(※6)がわかりやすいので、そちらをご参照ください。
(4)フィンテック事業者への影響
これまで本人確認というと、運転免許証の撮影をするホ方式が多かったと思います。ホ方式は、多くの利用者が運転免許証等を持っているため便利な面はあったのですが、厚みの撮影が意外と難しく、何度も取り直しをすることになり、途中で離脱するということがありました。これは利用者・事業者双方にとってよくない状況となっていました。JPKIであれば、こういったことはなく、スムーズに行えると思われます。
本人確認の方法が原則JPKIに一本化されることから、未対応の事業者については、今後導入を検討する必要があります。導入方法は、JPKIを提供しているプラットフォーム事業者に委託することが想定されますが、事業者によっては、自らがプラットフォーム事業者になることも選択肢になり得ます。未対応の事業者は多いと思われますので、今後いつ施行されるかは決まっておりませんが、一つ課題になると考えられます。
また、JPKIによらずに本人確認ができる例外は議論がされているところですが(※7)、これを踏まえて、各事業者において本人確認のオペレーションを見直す必要があると考えられます。
4.おわりに
JPKIの導入は、犯罪収益移転防止法や携帯電話不正利用防止法の本人確認の信頼性を向上させる重要な施策です。これにより、フィンテック事業者を含む幅広い業界で、不正対策が強化されるとともに、本人確認の効率化や利便性向上も期待されます。
今後、JPKIの一本化に向けた具体的な施行スケジュールが明確になれば、事業者ごとにシステムの導入や運用方法の調整が求められるでしょう。現時点で対応が完了していない場合は、JPKIを活用した本人確認のプロセスを早急に検討することが重要です。
法改正の動向を注視しつつ、適切な本人確認の実施を通じて、安全で信頼性の高い取引環境を整えていくことが、フィンテック事業者にとって不可欠といえるでしょう。
※1 Financial Action Task Force(金融活動作業部会)の略で、マネーロンダリング(マネロン)やテロ資金供与などの対策を国際的に行う政府間機関です。事務局はパリに置かれています。
※2 デジタル社会の実現に向けた重点計画(抜粋)2023年6月9日閣議決定
※3 「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行 規則の一部を改正する命令案」に係る意見募集の結果について
※4 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則附則
※5 コインチェック株式会社「かざして本人確認」
PayPay株式会社
三菱UFJ銀行株式会社「バンクイック」
※6 「~マイナンバーカードの 「安全・便利なオンライン取引」構想を進めるために」資料2
※7 本人確認ガイドライン改定方針 令和6年度とりまとめ(案)27頁
身元確認保証レベルの見直しが行われ、レベル1と2においては、JPKIでない手法による本人確認が可能となっています。
