次世代KYC活動報告 / 20250219-BizDay17-KYC-nextgen

Transcript

1. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYC活動報告 2025年2月19日

   KYCワーキンググループ 次世代KYCサブWG リーダー ソフトバンク株式会社 作田宗臣

2. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYCサブワーキンググループ（2020～） 2019年度KYCWGで取り上げた理想的な本人確認（KYC）(*1)の観点がベース

   次世代のKYCに向けて、標準仕様を活用したKYC活用の普及を目指す 2. 日本における統一的な仕組み 1. 本人確認業務の分業や代行 3. 標準仕様の活用 「理想の本人確認に関する観点」 OpenID Connect for Identity Assuranceを活用した国内向けプロファイル策定 *1 サービス事業者のための本人確認手続き（KYC）に関する調査レポート 3-2より https://www.openid.or.jp/news/oidfj_kycwg_report_20200123.pdf

3. Copyright OpenID Foundation Japan - All Rights Reserved. 主な想定事業者 法令等で厳密な本人確認の定めのないサービスを提供しているが何らかの本人確認を実施したい事業者

   基本的に「民間事業者向けデジタル本人確認ガイドライン」の想定読者と同様 民間事業者向けデジタル本人確認ガイドラインより https://www.openid.or.jp/news/kyc_guideline_v1.0.pdf

4. Copyright OpenID Foundation Japan - All Rights Reserved. 国内向けIDA仕様 •

   scopeで根拠情報を要求できるように整理 • scope単位で同意の取得が可能 • IDP側の返却項目が明確化 OpenID Connect for Identity Assurance(IDA)の仕様をより使いやすく 国内企業で必要とされるであろう属性情報のプリセットを用意 RP IDP scope=openid jp_aml { "verified_claims": { "verification": { "trust_framework": “jp_aml”, "time": "2021-05-11T14:29Z", "evidence": [ { "type": "document", "check_details": { "check_method": "vpip" }, "time": "2021-04-09T14:12Z", "document_details": { "type": "jp_drivers_licenses", "date_of_issuance": "2021-01-01", "date_of_expiry": "2030-12-31" } } ] }, "claims": { “name”: “XX 太郎“ } } } 例えば犯収法に対応するような scopeを定義 ※認可リクエストから一部抜粋

5. Copyright OpenID Foundation Japan - All Rights Reserved. IDA仕様と国内向けIDA仕様の比較 claims

   parameterで指定するかscopeで指定するかが異なる どちらもレスポンスは同じ RP サービス 事業者 IDP/CP KYC実施済 事業者 ClaimsParameterで要求 必要なKYC情報を含むプリセット （scope）を選択 ClaimsParameterで 指定された情報を返却 scope=openid claims＝{ “userinfo”: { “verified_claims”: [ { “verification”: { “trust_framework”: { “value”: “jp_aml" }, "evidence": [ { "type": { "value": "document" } } ] }, "claims": { "name": null … IDA要求時のリクエスト（抜粋） IDA仕様 RP サービス 事業者 IDP/CP KYC実施済 事業者 scopeで要求 scopeで 指定された情報を返却 国内向けIDA仕様 scope=openid jp_oidf_ida_2022_high 国内向けIDA仕様利用時のリクエスト（抜粋）

6. Copyright OpenID Foundation Japan - All Rights Reserved. scopeのプリセット 本人確認のレベル感をベースにscopeを定義

   属性情報は基本4情報ベース scope レベル 依拠元の確認内容 依拠元の本人確認手 法 依拠元のエビデンスの有 効期限 証跡 属性情報 jp_oidf_ida_2022_high_unex pired_with_attachments AA 犯収法レベル相当 対面・非対面 期限内必須 文書画像 確認プロセス 確認者 確認日（エビデンスの確認日＋全体プロセスの完了日） 氏名 住所 生年月日 jp_oidf_ida_2022_high_unex pired A 犯収法レベル相当 対面・非対面 期限内必須 確認プロセス 確認者 確認日（エビデンスの確認日＋全体プロセスの完了日） 氏名 住所 生年月日 jp_oidf_ida_2022_high B 犯収法レベル相当 対面・非対面 特になし 確認プロセス 確認者 確認日（エビデンスの確認日＋全体プロセスの完了日） 氏名 住所 生年月日 jp_oidf_ida_2022_medium C 適度に簡易で信頼性 のある KYC 対面・非対面 特になし 特になし 氏名 住所 生年月日 jp_oidf_ida_2022_medium_ age_over_18 D 適度に簡易で信頼性 のある KYC 対面・非対面 特になし 特になし 匿名情報 18歳以上か未満か

7. Copyright OpenID Foundation Japan - All Rights Reserved. 更なる活用を目指して 国内向けIDA仕様をより広く使ってもらえるようにするため、観点を整理してユースケース分析を実施

   ユースケース対象とする業界 • 法律等で本人確認を義務付けられていないが本人確認を実施するモチベーションのある業界 分析観点 • 何を目的とした本人確認か • 目的を満たすためにどういった本人確認を行っているか • 現状の本人確認に課題はあるか • 課題に対して、サービス事業者が以下の観点で価値が見いだせるか • 受け入れ可能な参照情報か • 本人確認情報として信頼できるか

8. Copyright OpenID Foundation Japan - All Rights Reserved. ユースケース分析結果サマリ 業界それぞれの課題感はあり、当然ながらすべてを解消するのは難しい

   対面/非対面の違い、目的ごとの本人確認のレベル感、業界のガバナンスなど 項目 分析内容サマリ 1 スポーツ施設 ・法令ではなく防犯の意識が強い身元確認 ・ある程度の身元確認情報があれば依拠も可能そう ・法人の福利厚生サービスと関連することも考えられるか 2 資格試験 ・現地での替え玉対策がキモ（事前確認しても当日の当人認証が必要） ・非対面で顔写真まで登録しておけばOKかも 3 学習教材 ・学習状況と支払上の管理のために本人確認している ・野外学習等の保険で必要になる場合も ・不正利用等ではないので通常のIDPでもよい可能性もある 4 コンタクトセンター ・コールセンターはコストカット観点から難しい ・LINEやChatbot等で活用する道はありうる 5 映画館/居酒屋 ・現地での厳密な本人確認は実施していない ・学生かどうかはきちんと見ている（映画館） 6 カラオケ ・業界のガバナンスが強いので現地での身元確認をきちんと実施 ・非対面にする価値は学割など含めて実施できれば可能か

9. Copyright OpenID Foundation Japan - All Rights Reserved. 各ユースケースにおける本人確認で期待する内容・情報 業界

   本人確認に期待する内容（≒目的） 取得したい情報 （基本４情報） その他欲しい情報 1 スポーツ施設 ・サービス提供→業務委託等への提供 ・不正利用対策・譲渡時の確認 ・防犯目的 ・緊急連絡先 ・福利厚生サービス会員証明 ・氏名 ・生年月日 ・住所 ・性別 ・緊急連絡先 ・電話番号 ・所属証明 2 資格試験 ・申込時の本人確認（有資格者かどうかかも） ・当日の当人認証 ・氏名 ・生年月日 ・住所 ・性別 ・電話番号 3 学習教材 ・成績管理 ・支払い先管理 ・保険等の登録情報 ・氏名 ・住所 ・電話番号 4 コンタクトセンター ・契約者と電話先ユーザの一致確認 ・通販の配送先 ・氏名 ・生年月日 ・住所 5 映画・居酒屋 ・年齢判定（学割含む） ・顧客特定 ・年齢情報 ・学生証明(在籍証明） 6 カラオケ ・年齢判定（学割含む） ・年齢情報 （ガイドラインあり） ・学生証明(在籍証明） 青字：基本4情報（身分証等）ベースで確認する要素 赤字：その他の確認要素 取得したい情報として、公的な情報源から取得した情報と別にそれに付随する情報もある

10. Copyright OpenID Foundation Japan - All Rights Reserved. 国内向けIDA仕様への落とし込み 1.

    身元確認要素（Verification） • 過去の国内向けIDAで整理したScopeと同様にレベル感で表現 • ただし、エビデンスの有効期限や画像までは求めない（保持している事業者が少ない） 2. 提供属性（Claims） • 基本4情報が必要なのは変わらず • 年齢判定のバリエーションも必要 3. 身元確認書類をベースとした4情報以外の情報の提供の表現に関する検討 • 電話番号 • 所属の証明（学割などに利用） • その他 ユースケースから共通化できる箇所を分解、整理

11. Copyright OpenID Foundation Japan - All Rights Reserved. 国内向けIDA仕様への落とし込み 共通項から想定されるVerifiedClaimsのサンプルと検討観点

    { "sub": "248289761001", "email": "[email protected]", "email_verified": true, "verified_claims": [ { "verification": { "trust_framework": "jp_oidf_ida", "assurance_level": "jp_oidf_ida_with_evidence_unexpired", "time": "2023-01-23T01:23:45Z", "evidence": [ { "type": "document", "check_details": [ { "check_method": "vpip", "time": "2023-01-23T01:23:45Z", "document_details": { "type": "jp_individual_number_card", "date_of_issurance": "2020-10-01T09:00:00Z", "date_of_expiry": "2030-01-28T14:59:59Z" } } ] } ] }, "claims": { "name": "山田 太郎", "birthdate": "1956-01-28", "address": { "formatted": "東京都千代田区千代田1-1" } } }, { "verification": { "trust_framework": "jp_oidf_ida", "assurance_level": "???", "time": "2023-01-23T01:23:45Z", "evidence": [ { "type": "electronic_record", "check_details": [ { "check_method": "auth", "time": "2023-01-23T01:23:45Z", "record": { "type": "utility_account" } } ] } ] }, "claims": { "msisdn": "00000000000" } } ] } ①国内向けIDA仕 様と同等の身元確 認レベル表現 ②基本4情報と年 齢判定のバリエー ションの整理 ③基本4情報以外 の情報の提供表現 の整理

12. Copyright OpenID Foundation Japan - All Rights Reserved. scopeの種類 共通的に利用できる身元確認と属性情報の組み合わせを整理して再定義

    Scope値 身元確認 属性情報 属性情報の提供主体 情報の発行元 1 jp_oidf_ida_with_evidence 証跡あり 氏名・生年月日・住所 身元確認の実施主体 公的機関等 2 jp_oidf_ida 証跡なし(※1) 3 jp_oidf_ida_age_over_16 16歳以上 4 jp_oidf_ida_age_over_18 18歳以上 5 jp_oidf_ida_age_over_20 20歳以上 6 jp_oidf_ida_msisdn 証跡あり(※2) 電話番号 属性情報の発行元 通信キャリア等 ※1 何らかの身元確認はしているが、Verification要素としては不要 ※2 発行元としての本人確認をしていることの証明（発行元での認証等）

13. Copyright OpenID Foundation Japan - All Rights Reserved. 今後に向けて・現在取り組んでいる検討内容 IDA仕様で信頼の根拠となるトラストフレームワークの深堀が必要

    RPとIDPがどのような関係性ならIDAでやり取りできるのかの分析・整理の実施 RP サービス 事業者 IDP/CP KYC実施済 事業者 verified_claims{ verification:{ trust_framework :A … }, claims{... 事業者間で本人確認の基準や方法が異なる RPとIDPでそれぞれ本人確認の目的や重視するリスクが異なる場合、 RPは受け取った情報をどう信頼できるか/してよいか IDPが本人確認を行った際のトラストフレームワーク trust_frameworkが必須要素として規定されている。 犯収法等の法令ならわかりやすいが、法令等で定めのな い事業者はどうするか。 トラストフレームワーク A トラストフレームワーク B

14. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ •

    IDAの国内向け仕様を更にブラッシュアップすべくユースケース分析を実施 • 分析結果から共通項を抽出し、仕様へ反映 • 引き続きIDA導入時の煩わしさ・導入の敷居を下げ活用してもらえるよう継続検討中 • 現在はIDA利用時の不明瞭な点を解消すべくトラストフレームワークに焦点を当てて整理中 • 詳細なレポートは別途公開予定

15. Copyright OpenID Foundation Japan - All Rights Reserved.