犯罪対策閣僚会議:本人確認強化が鍵に!?(公的個人認証への一本化など)
本稿のねらい
2024年6月18日、政府の犯罪対策閣僚会議が「国民を詐欺から守るための総合対策」(総合対策)という文書を公表した。
これは、過去数年にわたり対策が検討されてきた詐欺事案に対する「総合対策」であるが、特に与党議員の名を騙るSocial Media上の詐欺により、ようやく本気になったものと思われる。
「オレオレ詐欺等対策プラン」及び「SNSで実行犯を募集する手口による強盗や特殊詐欺事案に関する緊急対策プラン」を発展的に解消させ、特殊詐欺、SNS型投資・ロマンス詐欺及びフィッシングを対象に、政府が総力を挙げて取り組む施策をまとめ、「国民を詐欺から守るための総合対策」を策定した。
総合対策は次の4つの項目により構成されているが、筆者の興味はもっぱら本人確認強化の部分である。
「被害に遭わせない」ための対策
「犯行に加担させない」ための対策
「犯罪者のツールを奪う」ための対策
「犯罪者を逃さない」ための対策
詐欺にツールとして用いられているのが「SNS」(※筆者はこの呼称が嫌いなので以後Social Mediaと呼ぶ)であり、また携帯電話と銀行口座である。
(一般的かどうかはともかく、詐欺の三種の神器といって過言ではない)
後二者については、既に「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律」(携帯電話不正利用防止法※)と「犯罪による収益の移転防止に関する法律」(犯罪収益移転防止法)により一定の本人確認義務が事業者に課されている。
他方で、Social Mediaについては、事業者に対し法令による本人確認義務が課されていない(法令がない)。
※ 携帯電話不正利用防止法は、あくまで「携帯音声通信」(無線での音声等音響データの送受信のこと)にかかる電気通信役務に関する契約に際して本人確認義務を事業者に課すに過ぎず、データ通信専用のSIMカードにかかる契約に際しては本人確認が義務化されていない。この点、総合対策19頁において「契約時の本人確認が義務化されていないSMS機能付きデータ通信専用SIMカードについて、電気通信事業者に対して、契約時における実効性のある本人確認の実施を更に推進する。」とされているものの、本人確認の義務化まで踏み込んだ議論はされていない。
総合対策では、後二者について対面・非対面を問わず本人確認方法を公的個人認証に一本化することが提言されており(総合対策18-19頁、21頁)、またSocial Mediaについてはアカウント開設時の本人確認強化を事業者に働きかけることが提言されている(7頁)。
マイナンバーカードは、対面・非対面問わず確実・安全な本人確認・本人認証ができる「デジタル社会のパスポート」である。
以前の記事では、後二者について、非対面での本人確認方法、つまりeKYCが公的個人認証に一本化されることを書いたが、対面での本人確認も含め、公的個人認証に一本化されるとのことであり、それについて概説する。
【参考】以前の記事
公的個人認証への一本化
総合対策での提言
上記のとおりであるが、携帯電話・銀行口座いずれについても、対面・非対面を問わず本人確認方法を公的個人認証に一本化することが提言されている。
【携帯電話】
携帯電話や電話転送サービスの契約時の本人確認において、本人確認書類の券面の偽変造による不正契約が相次いでいることから、犯罪収益移転防止法、携帯電話不正利用防止法に基づく非対面の本人確認手法は、マイナンバーカードの公的個人認証に原則として一本化し、運転免許証等を送信する方法や、顔写真のない本人確認書類等は廃止する。
対面でもマイナンバーカード等のICチップ情報の読み取りを犯罪収益移転防止法及び携帯電話不正利用防止法の本人確認において義務付ける。
また、そのために必要なICチップ読み取りアプリ等の開発を検討する。さらに、公的個人認証による本人確認を進める。
【銀行口座】
犯罪収益移転防止法、携帯電話不正利用防止法に基づく非対面の本人確認手法は、マイナンバーカードの公的個人認証に原則として一本化し、運転免許証等を送信する方法や、顔写真のない本人確認書類等は廃止する。
対面でもマイナンバーカード等のICチップ情報の読み取りを犯罪収益移転防止法及び携帯電話不正利用防止法の本人確認において義務付ける。
また、そのために必要なICチップ読み取りアプリ等の開発を検討する。さらに、公的個人認証による本人確認を進める。
以前の記事でも公的個人認証の優秀さ(導入のメリット)については書いているが、そこでは「すでにeKYCを導入している事業者の多くは自撮り方式であり特に本人確認書類の画像と本人の容貌を撮影する方法(ホ)を採用している。そのため、さらなるイニシャルコストの発生を嫌うがゆえにそれなりの抵抗も予想される。」と書いていた。
資料4-1本人確認手法のJPKI一本化を前提とした、不正対策と利便性の高い本人確認の実現
しかし、既に公的個人認証をeKYCの本人確認方法として導入している銀行・証券会社も多数存在する。
また、以前も紹介したとおり、eKYCにおいて偽造した運転免許証等で口座開設を試みた事例も発生しているようであり、総合対策においても、携帯電話に関しての言及だが「携帯電話や電話転送サービスの契約時の本人確認において、本人確認書類の券面の偽変造による不正契約が相次いでいる」とされており(総合対策18頁)、券面の表面・裏面・厚みの写真撮影では偽造を見破れないことがあるのだろう。
なお、非対面のみならず、対面においても偽造券面が用いられ目視をすり抜けているケースもあるという(不適正利用対策に関するワーキンググループ(第4回)資料4-1本人確認手法のJPKI一本化を前提とした、不正対策と利便性の高い本人確認の実現5頁参照)。
電子証明書のSP搭載を可能にする改正
これまでマイナンバーカードを用いて行政手続等を行うために、一々マイナンバーカードをスマートフォン(SP)にかざすことが必要だったが、マイナンバーを持たず/かざさずSPのみで手続が完結することへのニーズが高い。
そこで、マイナンバーカードのICチップ内に搭載されている電子証明書(正式には「個人番号カード用署名用電子証明書」というが、一般に「カード用電子証明書」という)とは別に、SPのICチップ内へ電子証明書(正式には「移動端末設備用署名用電子証明書」というが、一般に「スマホ用電子証明書」という)を搭載することを可能とし(※)、SPのみで各種手続を行うことを可能にする改正が2021年に行われている(2021年改正)。
※赤枠は筆者挿入
2023年5月11日から、Android OSのSPに限り電子証明書のSP搭載が開始されている。なお、iOSのSPに関しては、2025年春にリリースできるよう頑張るとのことである。
※ ここでいう電子証明書には、署名用電子証明書に加え利用者証明用電子証明書の2つが含まれている。
【参考】以前の記事
マイナンバー法上の本人確認をSPだけで完結可能にする改正
2024年5月31日成立・同年6月7日公布の「情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るためのデジタル社会形成基本法等の一部を改正する法律」(2024年改正)により、マイナンバー法により求められる番号確認及び本人確認(同法第16条)をSPのみで完結することが可能になる。
※赤枠は筆者挿入
これはどういうことかというと、次のとおりである。
マイナンバーカードには、氏名・住所・生年月日・性別・顔写真・個人番号(マイナンバー法第2条第7項各号の「カード記録事項」)を記録したカードアプリが搭載されている
しかし、当該カードアプリはSPには搭載されていない
そのため、SPのみではカード記録事項を事業者に提供することができず、マイナンバー法で必要な番号確認と本人確認を行うことができない(犯罪収益移転防止法等の本人確認は、氏名・住所・生年月日を含む基本4情報を記録した署名用電子証明書により行えるが、マイナンバー法の番号確認と本人確認の要件を満たさない)(※)
※ 例えば、マイナンバーカードだけで可能なネット証券の即時口座開設では、SP用の署名用電子証明書に加え、カードに搭載されている券面入力補助APを利用してマイナンバーを提出する必要があり、SPだけでは手続ができないとされている(マイナンバーカードの機能のスマートフォン搭載に関する検討会(第4回)資料2 新たな機能の搭載について3頁)。
※なお、新規顧客・既存顧客のうち住所変更等を行う者のマイナンバー収集を義務付けているのは国税通則法第74条の13の3等
2024年改正により、カード記録事項をSPに記録し事業者に提供できるようになり、2021年改正により既に実現しているSPへの電子証明書機能の搭載と相まって、マイナンバーカードと同様、SPだけで対面・非対面問わず安全∧確実な本人確認&番号確認、電子署名&本人認証ができるようになる。
なお、マイナンバー法上の番号確認&本人確認について、SPにおいて行う場合の概要は次のとおりである。
(本人確認の措置)
第16条 個人番号利用事務等実施者は、第14条第1項の規定により本人から個人番号の提供を受けるときは、次の各号のいずれかに掲げる措置をとらなければならない。
一 個人番号の提供をする者から個人番号カードの提示を受けること。
二 個人番号の提供をする者から第18条の2第6項の規定によるカード代替電磁的記録の送信を受けるとともに、当該カード代替電磁的記録について同条第7項の規定による確認を行うこと。
三 前2号に掲げるもののほか、個人番号の提供をする者が本人であることを確認するための措置として政令で定める措置
【参考】細かい点
「カード代替電磁的記録」は次のとおり(マイナンバー法第2条第8項)。
(定義)
第2条
8 この法律において「カード代替電磁的記録」とは、前項第1号から第5号までに掲げる事項及び本人の写真(本人の写真が表示されていない個人番号カードの交付を受けている者に係るものにあっては、当該事項。第18条の2第2項において「カード代替記録事項」という。)に係る電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。以下この項並びに同条第1項及び第2項において同じ。)並びに当該電磁的記録がその送信を行った者のものであることを当該電磁的記録の送信を受けた者が確認するために必要な事項として主務省令で定める事項に係る電磁的記録について地方公共団体情報システム機構(以下「機構」という。)が電子署名(電子署名及び認証業務に関する法律(中略)第2条第1項に規定する電子署名であって、主務省令で定める基準に適合するものをいう。第18条の2第2項及び第3項において同じ。)を行ったものにより一体的に構成された電磁的記録をいう。
マイナンバーカードを保有している者に限り、カード代替電磁的記録の発行を受けることができる((未施行)マイナンバー法第18条の2第1項)。
(カード代替電磁的記録の発行等)
第18条の2 個人番号カードの交付を受けている者(個人番号カード用署名用電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(中略。以下この条(中略)において「公的個人認証法」という。)第3条第1項に規定する個人番号カード用署名用電子証明書をいう。以下この条において同じ。)の発行を受け、当該個人番号カード用署名用電子証明書が効力を失っていない者に限り、第3項又は第11項の規定により既に自己に係るカード代替電磁的記録の発行を受け、当該カード代替電磁的記録が効力を失っていない者を除く。)は、自己に係るカード代替電磁的記録をその者が使用する移動端末設備(電気通信事業法(中略)第12条の2第4項第2号ロに規定する移動端末設備をいう。以下この条(中略)において同じ。)に組み込まれた主務省令で定める電磁的記録媒体(電磁的記録に係る記録媒体をいう。以下この条において同じ。)に記録して利用するため、その者の申請により、当該カード代替電磁的記録の発行を受けることができる。
以上