d アカウントの認証と本人確認 / LINE x Intertrust Security Summit 2019 presentation 9

Transcript

1. LINE x Intertrust Security Summit 2019 dアカウントの認証と本人確認 2019年5月29日 （株）NTTドコモ プロダクト部

   プロダクトイノベーション担当部長 FIDOアライアンス Executive Council・ボードメンバー・FIDO Japan WG座長 森山 光一

2. © 2019 NTT DOCOMO, INC. All Rights Reserved. 2 慶應義塾大学

   理工学研究科 計算機科学専攻 修士課程修了。 ソニー株式会社入社。株式会社NTTドコモ 移動機開発部 （出向）、ソニー・エリクソン・モバイルコミュニケーションズ株式会社、 NTTドコモのシリコンバレー拠点などを経て、2014年7月から現職。 2015年5月からFIDOアライアンスのボードメンバー、2016年10月 か ら FIDO Japan WG 座 長 、 2019 年 1 月 か ら Executive Councilメンバー。進化するソフトウェアとモバイルを軸に経験を重ね、 端末を起点としたオープンイノベーションを推進 森山 光一（もりやま こういち） （株）NTTドコモ プロダクト部 プロダクトイノベーション担当部長 FIDOアライアンス Executive Council・ボードメンバー・FIDO Japan WG座長 https://www.linkedin.com/in/koichi-moriyama-92669b23/

3. ひとつで、お客さまの生活をより豊かに。 • dアカウントは、料金確認・契約変更など携帯電話に関する手続き、dポイント・ dカード利用明細の確認、そしてさまざまなサービスをより便利にお使いいただけるID LINE x Intertrust Security Summit 2019

   © 2019 NTT DOCOMO, INC. All Rights Reserved. 3 もっと便利 買い物・旅行の手続きが簡単 お客さまサポート 料金確認・契約変更 携帯電話購入手続き ドコモショップ来店予約 機種変更時の 設定引き継ぎ もっとお得 利用者登録でdポイントがたまる・使える dポイントやクレカの利用明細の確認 もっと楽しい 好きな動画・音楽・書籍コンテンツの 選択・購入 ドコモのサービス 100以上のドコモサービスに対応 パートナーサービス

4. dアカウントとFIDO認証 • NTTドコモはネットワーク暗証番号とspモードパスワード（いずれも数字4桁）に加えて、 OpenIDベースの を提供 • ドコモとパートナー企業を通じてログインと決済サービスを提供。その使い勝手をより便利 にする取り組みとして、～あんしんをもっと便利に～ • シンプルで堅牢なオンライン認証の普及をめざすFIDOアライアンスとFIDO認証モデルに

   出会う ⇒ すみやかなFIDO標準の採用を決定し、商用導入（2015年5月～） 4 © 2019 NTT DOCOMO, INC. All Rights Reserved. LINE x Intertrust Security Summit 2019 生体認証で注文・決済した初めてのピザ 7 2015年5月26日 ドコモの生体認証について Arrows NX（F-04G）の虹彩認証機能で「dデリバリー」からピザを注文する 加藤社長（当時）@ 2015年5月13日 新商品発表会 生体認証で注文・決済した初めてのピザ。 リハーサル・本番を含めて「虹彩認証で 7枚のピザを注文しました。」 @ 2015年5月26日 記者説明会

5. LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO,

   INC. All Rights Reserved. 5 当時、ピザを注文したのは 本当に加藤前社長だったのか？

6. • FIDO認証モデルでは、公開鍵暗号方式を活用したオンライン認証と、利用者が認証 器に適切な秘密鍵を保有することを確認するためのローカル検証を分離しているため、 検証を行うための生体認証の方式や装置の種類を問わない。  認証（ローカル検証）に先立ち、認証に必要な設定に際しては、ID（アカウント）に 生体情報やローカルパスコードを結び付けるとき、サービス提供者として必要なレベルでの 「本人確認」が必要 ※ FIDO認証であるかどうかに関わらず、認証の設定に際しては本人確認が必要

   1 2 3 4 5 （ローカルパスコード） FIDO認証と本人確認 LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 6 利用者 オンライン認証 検証 FIDOクライアント FIDOサーバー 認証器 署名付き 検証結果 秘密鍵 利用者を検証し 秘密鍵で署名 公開鍵 ID 利用者情報 公開鍵で 署名を検証 （図：FIDOアライアンス）

7. dアカウント認証と本人確認 • NTTドコモにおけるFIDO認証の導入では、電気通信（携帯電話）事業者として 従前から保持していた「本人確認」に必要な事業基盤を活用し、初期設定と端末 紛失時の対応を当初から確保 「本人確認」の主な手段： – 店頭における対面での身分証明書の提示を受けての本人確認 – 本人確認書類に記載された住居に携帯電話等を転送不要郵便や特定事項

   伝達型本人限定受取郵便により送付することによる本人確認 – ネットワーク暗証番号による本人確認 ネットワーク暗証番号は、所有物認証、回線認証、知識認証を組み合わせた多要素認証 LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 7 当時、ピザを注文したのは 本当に加藤前社長だったのか？ 確かに、加藤前社長でした。

8. 参考：携帯電話不正利用防止法 • いわゆる振り込め詐欺などの携帯電話の不正利用を防止するため、携帯電話の契約 時 の 本 人 確 認 義

   務 や 携 帯 電 話 の 無 断 譲 渡 の 禁 止 な ど を 内 容 と す る 法 律 （平成18年4月1日より施行） – 本人確認の際は、第三者が入手できない身分証明書の提示を受ける必要がある。 第三者が入手できない身分証明書の提示が受けられない場合には、非対面時と同様の 方法をとる必要がある。 – 契約者本人と対面で取引を行わない場合においては、本人確認書類に記載された住居 に、携帯電話本体や契約確認の文書等を転送不要郵便等で送付することが必要になる。 – 特定事項伝達型本人限定受取郵便等により携帯電話等を送付することによって本人 確認を行うことも可能。この場合は、本人確認書類又はその写しを、郵送等で受け取る 必要はない。（特定事項伝達型本人限定受取郵便等とは、本人確認を差出人に 代わって配達業者が行い、本人確認事項を差出人に対して伝達するタイプの、本人以外 が受け取ることができないタイプの郵便物） LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 8 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/050526_1.html、 http://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/050526_1.files/Page444.html の内容を抜粋し、要約

9. 本人確認アシストAPI • 携帯電話を利用されるお客さまの情報を活用し、お客さまから個別同意をいただいた上で、 パートナー様における本人確認を支援する有償サービス（2017年6月提供開始） LINE x Intertrust Security Summit 2019

   © 2019 NTT DOCOMO, INC. All Rights Reserved. 9 パートナー様 パートナー様 サービス ドコモ 本人確認書類(原本) - 運転免許証 - マイナンバーカード など ドコモで保有する情報 - 氏名 , - 住所 - 生年月日 , - 電話番号 など 携帯電話不正利用防止法に準拠 本人確認アシストAPI ドコモのお客さま情報を 活用することで 非対面での本人確認が 簡単かつ迅速に 【本人確認アシストAPIの機能タイプ】 〇 フィルインタイプ ドコモが保有する本人確認済お客さま情報を提供 〇 マッチングタイプ パートナー様のお客さま情報と、ドコモが保有する本人確認済お客さま情報との 照合結果を提供 API連携 非対面での本人確認が必要な お客さま情報 回線契約時に対面で本人確認を 行ったお客さま情報を保有 お客さま情報

10. 本人確認アシストAPIが提供する機能 LINE x Intertrust Security Summit 2019 © 2019 NTT

    DOCOMO, INC. All Rights Reserved. 10 インターネットでの本人確認による 途中離脱を改善したい 本人確認書類アップロードの省略 （フィルインタイプ） ログイン時のセキュリティ強化 （マッチングタイプ） ドコモが本人確認した情報を活用することで、 正確な情報での会員登録を実現  本人確認書類のアップロードが不要になり お客さまの負担軽減  判定ロジックシステム化。本人確認が即時完了 高いセキュリティと利便性、コスト削減を 両立した認証を実現したい  高いセキュリティ  お客さま利便性向上  2段階認証の運用コストを削減 ドコモのお客さま情報との照合結果を確認することで、 確かな本人確認を実現 ※ 本人確認アシストAPIの利用に際しては、お客さまに「dアカウント認証」していただいた上で、プライバシーポリシーについて個別同意をいただく。

11. お客さま情報の厳格性と適用可能領域（当社調べ） • ドコモのお客さまデータは「携帯電話不正利用防止法」に則り厳格性の高い本人確認を行っているため、 さまざまな領域での本人確認業務にご利用いただくことが可能 LINE x Intertrust Security Summit 2019

    © 2019 NTT DOCOMO, INC. All Rights Reserved. 11 法令で求められる 本人確認・年齢確認 事業者が自発的に 実施する本人確認・ 年齢確認 犯罪収益移転防止法 (銀行等の口座開設) 本人確認の 厳格性 （レベル） 利用者数 多 低 高 出会い系サイト 規制法* (インターネット 異性紹介業) 年齢判定 本人確認 不正利用 防止を 目的とした 情報登録 情報登録 サービスの割引 対象者確認 （学割・シニア割） 映倫規定 青少年保護目的 (アルコール販売/ アダルトコンテンツ提供) 緊急 連絡先の 確認 未成年者 喫煙禁止法 (たばこ販売) 本人確認関連行為 シェアリング協会 ガイドライン 個人情報保護 観点の確認 （パスワード 再発行/ Web 利用者と契約者 の紐付け） レンタル 旅券法 （パスポート発行） 少 携帯電話不正 利用防止法 （お客さま情報） * 正式名称は「インターネット異性紹介事業を利用して 児童を誘引する行為の規制等に関する法律」

12. • 本人確認アシストAPIの利用に際しては、お客さまに「dアカウント認証」していただいた上で、プライバシー ポリシーについても個別に同意をいただく 本人確認アシストAPIの利用に際しての個別同意 LINE x Intertrust Security Summit 2019

    © 2019 NTT DOCOMO, INC. All Rights Reserved. 12 ＜WiFi：dアカウントのID/PWD＞ ＜3G/LTE：ネットワーク暗証番号＞ dアカウント認証 （お客さまの特定） 1 お客さまの個別同意 2 ドコモ太郎 氏名 東京都千代田区・・・ 住所 090-1234-5678 電話番号 新規会員登録 マッチング結果表示 ドコモ太郎 氏名 東京都千代田区・・・ 住所 090-1234-5678 電話番号 新規会員登録 確認済 確認済 確認済 1234567890・・・・ 免許証番号 1234567890・・・・ 免許証番号 確認済 1991.08.14 生年月日 1991.08.14 生年月日 確認済 ドコモの提供ページ 導入企業サービスの提供ページ 導入企業サービスの提供ページ サービスロゴ ◦×カンパニー ◦×サービス ▼携帯キャリア機能で確認 ご本人確認 ▼身分証アップロード 導入企業サービスに ボタンを用意 ドコモで確認

13. 個人情報保護に関する第三者認証 • ドコモのお客さま情報をパートナー様に提供するにあたっては、パートナー様における個人 情報の取り扱いに関する第三者認証を取得を確認している（TRUSTe、プライバシーマーク、ISMSの いずれも未取得の場合は同等のもので問題ないか要確認） TRUSTe プライバシーマーク ISMS ロゴ URL

    https://www.truste.or.jp/ https://privacymark.jp/ https://isms.jp/isms.html 運営 日本プライバシー認証機構 （JPAC） 日本情報経済社会推進協会 （JIPDEC） 日本情報経済社会推進協会 （JIPDEC） 概要 個人情報の保護と適正利用 の推進を主目的としたもの。 Webに特化した認証サービス で、自己申告に基づいた審査 適切な個人情報の取扱いを 推進を主目的としたもの。JIS に基づいた審査 情報の機密性・完全性・可用 性の維持を主目的としたもの。 ISMS は 情 報 セ キ ュ リ テ ィ マネジメントシステムの略 登録社数 5,000以上 16,224 （2019/3/22現在） 5,786 （2019/3/22現在） LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 13

14. お客さま情報の適切な利用 • お客さまから許諾をいただいた上で、dアカウントを軸としてお客さまに関するデータを お預かりし、レコメンドなどで活用 – 個人情報保護のため、個人情報保護法、各省庁ガイドラインその他関連する法令等を順守 LINE x Intertrust Security

    Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 14 おすすめ使い方ヒント ドコモスコアリング おすすめアプリ通知 金融機関向けの 「ドコモ レンディングプラットフォーム」 あなたにピッタリのアプリをお届けします スマートフォンやタブレットを快適にお使い いただくための「ヒント」を、一人ひとりの 使い方に応じた適切なタイミングで表示 2019年1月よりAIに対応！さらに快適に お使いいただけるようになりました。 2019年夏モデルから端末初期設定でも おすすめのアプリをお届けします。 ※ 信用スコア算出のために活用する情報は一例。分布についてもイメージ 幅広いビジネス展開によって得られた各種サービスの ご利用状況などのビッグデータを解析し、自動的に算出 したお客さま毎の信用スコアを金融機関の審査に活用 ※ 匿名加工した情報を基に協調フィルタリングなどの手法を使ってレコメンド ※ 匿名加工したコールセンターへの問い合わせログを教師データとして 機械学習し、お客さまに合わせて端末の使い方に関するヒントを提供

15. 500万ダウンロード突破！ １ ウォレット機能 QR・バーコードで支払う ・口座支払 ・dポイント充当 ・電話料金合算 ・dカード支払 オート チャージ

    寄付・募金 報酬・給与 公金 払い 2019年9月末提供予定 チャージする ・銀行口座・ATM ・コンビニ 送る ・口座残高から送る ・dポイントを送る お客さま・加盟店さま双方がメリットを享受できる 常におトクにお買いもの お客さま 来客・売上増加 生産性向上 （労働人口減少） 購買プロセスに関する 不満の解消 加盟店さま ドコモショップ 2300店舗 営業リソース 10億PV以上の 送客メディア 1600億円分の ポイント利用 加盟店ニーズを 捉えた決済 サービス 7000万人 会員基盤 リアル/ネットの +dパートナーとの 深いリレーション キャッシュレス プラットフォーム 15 LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. １ d払い ミニアプリ 2 ウォレット機能 3 中小個店向け 「読み取る」決済 「d払い」 ３つの新機能 2019年9月末提供予定 2019年秋以降 順次提供開始予定 5月16日(木) 加盟店受付開始 2019年5月16日 新サービス・新商品発表会 発表内容より

16. d払いの新機能提供により求められる本人確認 • ウォレット機能等を新たに提供開始（予定）することにより、資金決済法および犯罪 収益移転防止法を順守した運用が求められる。また、回線契約者以外のお客さまにも 機能提供することから、新たな本人確認の手段が必要になる。  dポイントクラブ会員への電子メールでの連絡手段に加えて、eKYC（Know Your Customer）と呼ばれて近年普及しつつある本人確認のためソリューションなどを 鋭意検討中

    LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 16

17. FIDOアライアンスにおけるeKYCの検討 • FIDOアライアンスでも、FIDO認証のさらなる普及に不可欠なアカウントリカバリーに関 するホワイトペーパーのリリース、そして本人確認の手段として注目されるeKYCに関する Study Groupとしての活動が進み、Identity Verification & Binding WGの設

    置を決定（2019年5月23日） LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 17 FIDO eKYC Study Group This study group has been formed to evaluate how FIDO can engage in eKYC activities and issues and work with industry partners to align on the work that needs to be done in this area. Chair: Parker Crockford, Onfido Committees and Study Groups Participation of individuals in Committees and Study Groups requires approval from the President and/or Board. Individuals wishing to be part of any of these groups must be demonstrated subject matter experts in the appropriate area. If you are a member of the FIDO Alliance and are interested in participating in one of these groups, please contact [email protected]. https://fidoalliance.org/members/committees-and-study-groups/ ※ 2019年5月24日現在、新しいIdentity Verification & Binding WGに関する公開情報はなく、早晩 https://fidoalliance.org/members/working-groups/ に掲載予定

18. まとめ • 「本人認証」に必要な設定に際しては、サービス提供者として必要なレベルで 「本人確認」が必要 • 本人認証・本人確認に必要なデータ、本人認証・本人確認を通じて得た データは個人情報保護などのため、適切な取り扱いが必須 • 「本人確認」の手段は発展途上。そのデジタル化で新たな合意形成が 求められている（コンプライアンス）

    LINE x Intertrust Security Summit 2019 © 2019 NTT DOCOMO, INC. All Rights Reserved. 18