決算
メルカリはスマホを使った本人確認(eKYC)の手段と1つとして、マイナンバーカードの公的個人認証サービス(JPKI)を利用を開始した。
撮影:小林優多郎
ドコモ口座・ゆうちょ問題などで不正利用が相次いだことで、決済サービスにおける本人確認が強化が進んでいる。これまで、そういったサービスでは銀行口座を登録することで本人確認を代用していたが、決済サービス自身が本人確認を実施する流れになった。
犯罪収益移転防止法における本人確認手段には、スマートフォンを使って本人確認できる「eKYC」も規定されており、その採用例が増加している。
そうした中、メルペイは新たに「マイナンバーカードの読み取りだけ」で本人確認が完了するまだ珍しいタイプのeKYCの仕組みを3月2日に導入した(Android向けには3月下旬に導入完了)。
マイナンバーカードを利用したeKYC導入の背景やメルペイのセキュリティーに関する考え方について、同社CTO(Chief Technology Officer)の曾川景介氏に話を聞いた。
マイナンバーカードさえあれば“自撮り&書類撮影”不要
メルカリアプリでの本人確認方法。
画像:編集部によるスクリーンショット。
一般的なeKYCは、運転免許証などの本人確認書類を、角度などを変えて撮影し、自分の顔写真を撮影して送信。受信した決済サービス側がその2つを照合して本人かどうかを確認するという手法だ。
これに対し、メルペイが新たに採用したものは、スマホのNFCリーダー部にマイナンバーカードをかざすだけで本人確認の手続きができる。「本人確認書類の撮影」も「自撮り」も不要だ。
これは、マイナンバーカードが持つJPKI(公的個人認証サービス)の仕組みを活用している。
もともとインターネット経由で安全に行政手続きなどを進められるように構築されたもので、他人によるなりすましや、通信を途中で改ざんされても検知できる。
本人確認に使う際には、マイナンバーカードにあるICチップに保存された電子証明書を読み取り、その証明書が有効かどうかを確認することで本人確認をする。
マイナンバーカードと対応スマホさえあれば、簡単に本人確認作業ができる。
撮影:小林優多郎
「マイナンバー自体をメルカリに伝えるのはイヤだ」と感じる人もいるかもしれないが、この仕組みではマイナンバーの番号そのものを送信してはいない。
マイナンバーカードからは、いわゆる4情報(氏名、住所、生年月日、性別)は読み込まれるが、実際の本人確認のためにはユーザー自身が本人情報を入力した上で送信する。
なお、JPKIの民間利用は総務大臣認定事業者である必要があり、メルペイ自身は認定事業者のサイバートラスト社と接続する形でこのサービスを提供している。
ユーザーだけではなく事業者にもメリット
メルペイ取締役CTOの曾川景介氏。
画像:編集部によるスクリーンショット。
実際に試してみると、確かに簡単だ。1~2分で終了し、本人確認も即時完了する。これまでのeKYCに比べてはるかに早い。
曾川氏は、「より信頼性の高い、本人性の高い方法」としてJPKIによる本人確認を採用したと話す。
安全でありながら簡単に使えることも重視した。「本人確認はユーザーにとって若干面倒で、eKYCも面倒」(曾川氏)だが、それをいかに簡単に使ってもらえるか議論して、どう実現するかを検討し「プロダクトとして作り込んでいる」(同)という。
曾川氏によると、「JPKIを使って本人確認できるのはサービス側にとってもありがたい」と、事業者側にもメリットがあると指摘する。本人確認の確実性が増すとともに、従来よりも早く本人確認ができるからだ。
政府はマイナポイント事業などで、マイナンバーカードの普及を進めている。
撮影:小林優多郎
今回の導入が本人確認に関するさまざまな事件が起きた後のタイミングになったことについては、開発の中で偶然ということだが、背景にはマイナンバーカードの普及率の向上もあったという。
マイナンバーカードの普及率は停滞していたが、マイナポイント事業に加えてコロナ禍における給付金などでの利用が進み、普及率は伸びてきている。
曾川氏は、マイナンバーカードの活用の幅が広がることで、さらに普及を加速させることができるとみている。メルペイの本人確認をマイナンバーの用途として広げることで、「マイナンバーカードを持ってもらいたい」という意識もあったそうだ。
課題はユーザーのカードへの“意識”
ただし、まだマイナンバーカードに対する“よいイメージ”は広がっていない。
撮影:小林優多郎
ただ、マイナンバーカードに対する一般利用者の印象は、いまだ芳しくはない。
なんとなく「マイナンバーカードを触っちゃいけないものと考えている人もいる」(曾川氏)という現状で、メルペイのeKYCを使って、それをきっかけにマイナポイントや給付金、税金申告などで使ってほしい曾川氏は言う。
「お客様が便利になることが大事」と曾川氏は強調。メルカリの利用のしやすさが向上し、売上をすぐにメルペイで利用できるようになるJPKIの仕組みは、ユーザーメリットが高いという判断だ。
2020年9月10日、不正出金の問題について謝罪をするNTTドコモの責任者。
撮影:小林優多郎
決済サービスの本人確認強化の業界的な流れは、不正利用の発生を契機にしたものだ。が、毎年の不正利用が多いクレジットカードのように、加盟店からカード番号などが漏れて不正利用されるということはなく、「問題は認証」にあると曾川氏。
その対策の一環が今回のeKYCだが、「セキュリティーはこれをやったら完璧というものはなく、色々な施策の積み重ねが大事になる」(同)。
普段の決済利用におけるトランザクション(支払い)のモニタリングもしており、フィッシングサイトのテイクダウン(通報・閉鎖)といった施策も実施。曾川氏は「解決するための“銀の弾丸”があるわけではない。総合的に力を入れてやっている」と、日々の取り組みの重要性を語る。
本人確認以外の使い方にも期待感
そうした中で曾川氏は、マイナンバーカードが、本人確認だけでなく当人認証※としても「非常に良い基盤になるのでは」と期待する。
※当人認証とは:
実際に操作しているユーザーが当人か確認すること。例えば、サイトにID/パスワードを使ってログインするなど。
従来、複雑なパスワードで確認していたような当人認証を、マイナンバーカードの電子証明書を使えば8ケタの英数字で済む。この場合、カードが必須なので8ケタの英数字でも強度は十分で、パスワード方式よりも安全に認証できる。ユーザーも覚えやすく間違える心配が少ない。
こうした認証は、メルペイ以外と連携する場合も有効で、銀行接続時の認証などがやりやすくなる、と曾川氏。JPKI対応アプリが増えれば、そのアプリ間の連携もできるようになる。ブロックチェーンの署名のような操作も可能と、さまざまな活用が考えられるという。
マイナンバーカードの機能をスマートフォンに内蔵させようという動きもある。
出典:総務省「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第1次とりまとめ 公開資料
なお、マイナンバーカードをスマホに内蔵させようという動きもあるが、曾川氏自身は「(マイナンバーカードを)持ち歩くのが全ていいとは限らない」との認識で、利便性は高まるもののセキュリティやプライバシーの問題も発生しかねないと慎重な構え。
それでも、現状は構築された仕組みを活用することで、ユーザーにも事業者側にもメリットがあるため、活用が広く進展することを期待していた。
小山安博:ネットニュース編集部で編集者兼記者、デスクを経て2005年6月から独立して現在に至る。専門はセキュリティ、デジカメ、携帯電話など。発表会取材、インタビュー取材、海外取材、製品レビューまで幅広く手がける。
