スマホ決済サービスを通じた金融機関口座の不正利用と顧客本人確認(eKYC)

西村あさひ法律事務所
弁護士・ニューヨーク州弁護士　五十嵐 チカ

五十嵐 チカ（いがらし・ちか）
　1997年弁護士登録(第二東京弁護士会)、2007年NY州弁護士登録、2020年米国ACAMS公認AMLスペシャリスト(CAMS: Certified Anti-Money Laundering Specialist)登録。1993年慶應義塾大学法学部卒、2006年ボストン大学ロースクール(LL.M.)卒、2006年国際連合本部(在NY)。

第１　はじめに

　日本政府が2025年6月までにキャッシュレス取引の比率を倍増させ4割程度とする政策目標を掲げたことも背景として^（注１） 、スマートフォン(以下｢スマホ｣という)のアプリ等を用いてインターネット口座振替サービス等の方法により預金口座と連携させる決済サービス(以下｢連携サービス｣という)を提供する事業者(以下｢連携サービス提供事業者｣という)が増え、連携サービス提供事業者は利便性の高い金融サービスを国民に提供する有力なプレーヤーと目されている。

　一方で、2020年には、大手通信キャリアが提供する連携サービスが悪用され、連携を行う預金口座の預金者になりすまして不正な取引を行う事案が相次ぎ発覚し、銀行及び連携サービス提供事業者双方における顧客の本人確認等のあり方が問われるとともに、デジタル技術を活用して本人確認等を行うeKYC(electronic Know Your Customer)の活用が改めて注目されることとなった。

　また、新型コロナウイルス感染症の拡⼤防⽌対策としてリモートワークが推奨されるなか、金融分野でも、金融庁は｢業界全体の課題として、デジタル化への障壁となっている従来の書面・押印・対面を前提とした慣行の見直し^（注２） や、マイナンバーカードの利活用の推進など、オンラインで完結する非対面サービス普及に向けた取組みを進める｣^（注３） とし、eKYCは本人確認をオンラインで完結させる取組みと位置付けられる。さらに、2021年1月、二度目の緊急事態宣言が発令されると、銀行等の預金取扱金融機関に関しても、｢顧客接点を持たずとも継続可能な業務については、極力対面による金融サービスの提供を避け、リモート機能(インターネット、コールセンター、ATM等)を活用した非対面による金融サービスの提供を行う｣との基本的な考え方が示され^（注４） 、eKYCの必要性は一層の高まりを見せている。

　以下では、スマホ決済サービスを通じた口座の不正利用事案も踏まえて、eKYCの概要と課題について解説する。

第2　顧客の本人確認等

　マネー・ローンダリング及びテロ資金供与対策(以下｢マネ・テロ対策｣という)に関しては、国際的な政府間会合であるFATF(Financial Action Task Force；金融活動作業部会)が策定した40の勧告(Recommendations)が国際標準である。FATF勧告10(a)では取引開始時に(onboarding)、FATF勧告10(d)では取引開始後も継続的に(ongoing)、それぞれ本人確認等を含む顧客管理(customer due diligence; CDDと略称される)を行うべきことを定めている。

　FATF勧告に法的拘束力はなく、顧客管理の具体的方法は参加国ごとの立法に委ねられるが、各国におけるFATF勧告の遵守状況や実務上の有効性は、他の参加国から成る相互審査団により定期的に審査される^（注５） 。

　日本の場合、マネ・テロ対策に関する法令の中核は、｢犯罪による収益の移転防止に関する法律｣(以下｢犯収法｣という)である。犯収法の規制対象は、金融機関等、クレジットカード会社、宅地建物取引業者、宝石・貴金属等取扱事業者等と幅広い(以下｢特定事業者｣という)。上述の連携サービスの事案でいえば、口座振替サービスを提供する銀行のみならず、スマホ決済サービスを提供する資金移動業者も、犯収法上の特定事業者に該当する。

　金融機関など特定事業者が顧客との間で犯収法に定める一定の取引を行うにあたっては、当該顧客がどのような人物・団体で、団体の実質的支配者は誰か、どのような取引目的を有するかなど、顧客にかかる基本的な情報を適切に確認すべき義務を負う(犯収法4条1項、取引時確認義務)。顧客が個人の場合には｢氏名・住居・生年月日・取引目的・職業｣を、顧客が法人の場合は｢名称・本店又は主たる事務所の所在地・取引目的・事業内容・実質的支配者｣を、それぞれ確認する必要がある。個人顧客の｢氏名・住居・生年月日｣、法人顧客の｢名称・本店等所在地｣を｢本人特定事項｣という。法人の代表者、取引担当者、代理人等についても、その本人特定事項と取引権限を確認する必要がある。

　本人特定事項の確認には、二つの局面が含まれており、①第一に、その者の実在性に関する身元確認(Identity Proofing)、②第二に、申込者と本人の同一性(なりすまし等でないこと)に関する当人確認(Authentication)である。

第3　非対面取引における｢なりすまし｣等のリスクと救済

　銀行等の店舗へ顧客が直接赴いて口座開設を行うような伝統的な対面取引に対し、非対面取引の方法は、ATM、口座振替、インターネット・バンキング、Web申込による口座開設等と多種多様である。このうち、口座振替は、従来は定期的な公共料金の自動引落等に利用されることが主な利用場面であったが、近時、急速にスマホ決済サービスへのチャージ等にも利用されるようになってきた。

　対面か非対面かを問わず、架空名義の口座開設や｢なりすまし｣による不正利用等のリスクはある。しかし、国家公安委員会が毎年公表する｢犯罪収益移転危険度調査書｣の直近2020年12月版では、以下のとおり、非対面取引におけるマネ・テロ対策上の危険度がより高いことが示されている。

　｢非対面取引は、取引の相手方と直に対面せずに行う取引であることから、同人の性別、年代、容貌、言動等を直接確認することにより、本人特定事項の偽りや他人へのなりすましの有無を判断することができない。また、本人確認書類の写しにより本人確認を行う場合には、その手触りや質感から偽変造の有無を確認することができない。このように、非対面取引においては、他人になりすますことを企図する者を看破する手段が限定され、本人確認の精度が低下することとなる。｣

　なお、偽造又は盗難されたキャッシュカード等を利用してATMから不正払戻しを受けた場合に限っては、一定の要件を満たす場合、金融機関は預金者に対し、｢偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律｣(以下｢預金者保護法｣という)に基づく補てん義務を負う。また、インターネット・バンキングを用いて行われた払戻しについては、預金者保護法の適用がないが、全国銀行協会の申合せ^（注６） に基づき、預金者の過失の有無等に応じた補てん等の対応が求められている。一方、冒頭で触れたスマホ決済サービスと連携した口座振替における不正チャージによる被害事案に関しては、これらいずれに基づく保護の対象ともならないが、連携サービス提供事業者ないし銀行により、被害額は任意に全額補償されたようである。

第4　非対面取引における個人顧客の本人確認等 ～ 転送不要郵便の発送必須からeKYCの導入へ

　従来、非対面取引における本人特定事項の確認に関しては、顧客から運転免許証等の本人確認書類の写しの提出を受けた後、取引関係文書を転送不要郵便にて顧客宛てに郵送することが不可欠であった。この点、2018年11月30日、犯収法施行規則の改正により、個人(自然人)顧客との間で行う非対面取引において、初めてオンラインで完結する本人特定事項の確認方法(eKYC)が創設された^（注７） 。

　新たに導入されたeKYCの具体的な方法は、犯収法施行規則6条1項1号ホ・へ・トに定める下記①～④の4種類である。また、上記の犯収法施行規則の改正より以前から同施行規則6条1項1号ワで定められていた｢電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律｣3条6項に基づき地方公共団体情報システム機構が発行した署名用電子証明書等に関する情報の送信を受ける方法(下記⑤)も、オンラインで完結する方法(eKYC)の類型に該当する。

　【eKYC/オンラインで完結する本人確認等の具体的方法】

　① ｢写真付き本人確認書類の画像情報｣及び｢容貌の画像情報｣送信を受ける方法(犯収法施行規則6条1項1号ホ)

　② ｢写真付き本人確認書類の IC チップの記録情報｣及び｢容貌の画像情報｣の送信を受ける方法(同号へ)

　③ ｢本人確認書類(顔写真がないものも可)の画像情報｣又は｢本人確認書類のIC チップの記録情報｣の送信を受けるとともに、｢当該顧客について本人確認済みの銀行又はクレジットカード会社に同一顧客か確認を求める｣方法(同号ト(1))

　④ ｢本人確認書類(顔写真がないものも可)の画像情報｣又は｢本人確認書類のIC チップの記録情報｣の送信を受けるとともに、｢当該顧客について本人確認済みの銀行に金銭の振込みを行い｣｢インターネットバンキングの取引明細書画面の画像情報｣の送信を受けることにより確認する方法(同号ト(2))

　⑤ 地方公共団体情報システム機構が発行した署名用電子証明書等に関する情報の送信を受ける方法(同号ワ)

　執筆時現在、実務上、最も多く用いられているeKYCの方法は、上記①であると思われる。顔認証技術をAPI(Application Programming Interface)サービスとして金融機関等に提供する事業者は国内外ともに急増し、特に本人確認書類の写真画像と容貌の写真画像の同一性の判別の精度は著しく向上している。もっとも、本人確認書類が真正なものか(偽造・変造によるものではないか)の判定は、最新の技術をもってしても限界があり、eKYCの課題のひとつと考えられる。

　また、上記③の方法に関しては、取組みの一例として、2020年5月、日本電気株式会社とメガバンク等が、オンラインで完結するマルチバンク本人確認プラットフォームの提供について合意したことを公表した^（注８） 。金融機関の有する本人確認済情報は、デジタル化が進展する経済社会において認証基盤の一助になると期待され、業種や業界の垣根を超えたオープンAPIの利活用の実例として更なる展開が望まれる。

　上記①～④のいずれかの方法(画像送信によるeKYC)を用いる場合には、(a)顔写真や本人確認書類の写真の画像が鮮明であること、(b)画像が加工されないこと、(c)撮影直後に送信されたこと、(d)本人確認書類の厚みを画像上で確認でき、撮影されたそれぞれが同一の書類であることが保証・検証できること、(e)撮影時にランダムなポーズの要求等を行い、実物の撮影であることを保証することが必要である。

第5　スマホ決済サービスを通じた口座振替における不正チャージ事案

　冒頭で言及した大手通信キャリアの事案では、スマホ決済サービスを提供する資金移動業者が、他の銀行に対する取引時確認の委託(犯収法施行規則13条1項1号)に基づく確認(当該銀行で取引時確認済みであることの確認)を実施し、口座振替契約(チャージ契約)の締結に際してキャッシュカードの暗証番号のみで認証していたケースにおいて、被害が発生したようである。

　すなわち、資金移動業者は犯収法上の特定事業者として取引時確認を行う義務があるが、預貯金口座における口座振替方法により決済される取引に関しては、あらかじめ他の銀行との合意により、①当該口座が開設されている他の特定事業者(本件では銀行)が預貯金契約の締結を行う際に、顧客等又は取引担当者の取引時確認を行い、かつ、②当該取引時確認に係る確認記録を保存していることを確認することが、取引時確認の方法として認められている。要するに、銀行側の取引時確認の結果に依拠する方法である。

　資金移動業者側は、当初は通信回線を持つ顧客にのみスマホ決済サービスの利用を認めていた。しかし、後に通信回線を持たない者でもメールアドレスさえあればスマホ決済サービスを利用可能とし、しかも、銀行側は顧客の氏名・口座番号・キャッシュカード暗証番号のみを確認し、ワンタイムパスワードを送る等の二要素認証を用いていなかった。その結果、暗証番号をもとに口座番号等を総当たりで探し当てるリバースブルートフォースとよばれる手法等により、不正チャージが実行されてしまった可能性があると考えられている^（注９） 。

第6　eKYCの課題/今後における実務上の留意点

1. 　一連の事案を受けて、全国銀行協会が2020年11月30日付けで｢資金移動業者等との口座連携に関するガイドライン｣を公表した他、金融庁は2021年2月26日付で｢事務ガイドライン(第三分冊：金融会社関係)｣及び｢主要行等向けの総合的な監督指針｣等を一部改正した。これにより、連携サービスに関する内部管理態勢、セキュリティの確保、顧客保護等に関する詳細な記載が追加され、例えば、｢キャッシュカード暗証番号のような組み合わせの数が僅少な情報を記憶要素として用いる認証方式は、インターネット上での利用を避けることが望ましい｣といった記載も含まれている。
2. 　また、第4で述べたとおり、本人確認等における二つの局面のうち、顔認証技術における同一性の確認(Authentication、本人確認書類の写真画像と容貌の写真画像の同一性の判別)は極めて精度が向上しているが、本人の実在性に関する身元確認(Identity Proofing)においては、本人確認書類の偽造・変造等を判別することは最新の技術をもってしても限界があり、eKYCの課題のひとつと考えられる。
3. 　なお、例えば、本人確認等のために被保険者証等の写しの送付を受けることにより本人確認等を行う場合、2020年10⽉1⽇より、本⼈確認等を目的として医療保険の保険者番号及び被保険者等記号・番号の告知を求めることが禁⽌されたこと(告知要求制限)についても留意しなけ