顧客の本人確認とは、顧客が間違いなく本人であることを確認するプロセスであり、事業者はこれを行うことにより、不正利用を防ぎ、法的要件を満たすことができます。
通常、このプロセスでは、顧客の個人情報を収集し、それを公的な記録や書類と比較します。多くの場合、運転免許証やパスポートなどの身分証明書の提出を求め、それを信用報告書や公的な記録と照合します。より高度な本人確認方法として、指紋や顔認証を利用する生体認証による確認などがあります。
顧客の本人確認では、正確性とスピードが重視されます。最終的な目標は、サービス提供のスピードを低下させることなく、各個人の本人確認を行うことです。このプロセスを適切に行うことができれば、顧客の信頼を築くことができます。
電子取引の件数が増加し続ける中、顧客の本人確認の重要性が高まっています。Juniper Research の予測によると、このような本人確認の件数は 2023 年の 610 億件から 2024 年には 700 億件を超える見込みです。増加の大半は中国と西ヨーロッパに集中しています。
顧客の本人確認を行うことにより、顧客にとって安全な空間を作り出し、不正行為者を閉め出し、すべての顧客の個人情報を安全に保つことになります。以下では、顧客の本人確認について、すべての事業者が知っておくべきことをご紹介します。
この記事の内容
- 顧客の本人確認の仕組み
- 顧客の本人確認の種類
- 顧客の本人確認が事業者にとって重要な理由
- 法律と規制に関する考慮事項
- 顧客の本人確認における課題
- 顧客の本人確認の実装と事業者にとってのベストプラクティス
- 顧客の本人確認のために Stripe にできること
顧客の本人確認の仕組み
顧客の本人確認では、一連の手順を通じて、相手がその人本人であることを確認します。このプロセスは、顧客が新規アカウントとしてサービスに登録し、事業者がその顧客の名前、生年月日、住所などの個人情報を尋ねた時点で始まります。事業者から顧客に対して、公的な身分証明書 (政府発行の身分証明書など) の提供も求める場合もあります。
事業者はこの情報の有効性を確認しますが、単に顧客のメールアドレスまたは電話番号に確認コードを送るという簡単な方法で行う場合もあります。銀行口座の開設、ローンの申し込み、高額の振込など、規制当局の厳しい監視の目が向けられる取引の場合、事業者は顧客から提供された情報をさまざまなデータベースと照合して、既存の記録と一致するかどうかを確認します。
さらに厳しい監視が求められる場合は、生体認証による確認を利用することもあります。この照合では、顧客の身体的特徴 (指紋や顔の形など) を分析して、本人確認書類と一致するかどうかを確認します。
本人確認プロセスでは、顧客の負担を最小限にしつつ、不正防止を強化する必要があり、不要な中断なしに顧客が購入を進められるように本人確認を行う必要があります。
顧客の本人確認の種類
顧客の本人確認にはさまざまな方法があり、取引の状況と要件に応じて、それぞれ用途があります。
書類による確認
よく使われる確認方法であり、顧客はパスポートや運転免許証などの身分証明書を提供します。事業者は、この書類に記載された情報を、顧客から提供された情報と照合して真正性をチェックします。生体認証による確認
この方法では、顧客本人であることを確認するために、指紋、顔認識、声紋など、個人によって異なる身体的特徴を使って顧客の本人確認を行います。複製したり盗んだりするのが難しい特徴を利用するため、書類による確認よりも安全性が高い方法です。オンラインのリアルタイムでの確認
物理的な書類を使わずに、オンライン情報とデータベースを利用して本人確認をスピーディーに実施します。たとえば、公的記録、信用データベースその他のオンラインソースを使って、顧客の詳細を調査します。リアルタイムでの確認は即時に行われ、多くの場合はサービスの登録手続きや取引を実行している最中に実施されるため、顧客と事業者の双方にとって便利な方法です。ナレッジベース認証
顧客に対し、本人だけが答えることができる個人的な質問をする場合があります。たとえば、以前住んでいた場所の住所、古いアカウント、ペットの名前などです。2 段階認証または多要素認証
この方法では、顧客は本人確認のために 2 種類以上の要素を提供する必要があります。本人確認の要素の例としては、自分が知っていること (パスワードなど) や身体的特徴 (指紋など) があります。この方法は、異なる確認方法を組み合わせることで、セキュリティレベルを高めます。
各方法にはそれぞれの強みがあり、安全で信頼できる確認プロセスとするために、複数の方法を組み合わせて使用する場合もあります。どの方法を選ぶかは、必要なセキュリティレベル、実施する取引の種類、顧客が何を負担と思うのかによって変わってきます。
顧客の本人確認が事業者にとって重要な理由
顧客の本人確認は、法令遵守、不正防止、信頼と評判の維持、セキュリティ強化、顧客体験の改善、グローバルな運営の促進のために不可欠です。
規制の遵守
金融や医療などの多くの業界が、厳しい規制要件によって管理されています。本人認証 (KYC) に関する標準やマネーロンダリング防止 (AML) 指令により、企業は法令遵守のために顧客の本人確認を行う必要があります。これを怠ると、多額の罰金や法的な影響を招く可能性があります。不正防止
顧客の本人確認を行うことで、アカウントへの不正アクセスを防ぎ、なりすまし犯罪の可能性を減らし、不正利用に関連する経済的損失を防ぐことができます。セキュリティの強化
本人確認により、事業活動における全体的なセキュリティを高めることができます。これにより、機微な情報と取引へのアクセスが、本人確認済みの個人に対してのみ許可されるため、結果として、データ侵害や不正アクセスを防ぐことができます。顧客体験の向上
本人確認を適切に実施することにより、ユーザー登録と取引をスムーズに行うことができます。正当な顧客が経験する負担を減らしつつ、疑わしい行為に警告を出すことで、全体的な顧客体験の向上を実現します。市場の拡大とグローバル展開
グローバルに事業を運営する事業者や、新たな市場への拡大を目指している事業者にとって、本人確認は重要です。本人確認を実施することにより、法令を遵守し、操業を続けることができます。複数の法域にまたがる複雑な法的問題に対処しなくて済むようになります。
法律と規制に関する考慮事項
顧客の本人確認の法的、規制上の影響は広範囲にわたります。以下に、事業者が留意すべき考慮事項をいくつかご紹介します。
グローバルな規制と基準
本人確認を規定するグローバルな規制と地域の規制が複雑に交差しています。事業者はこれらの規制に対処する必要があります。たとえば、国際的な金融活動作業部会 (FATF) の勧告、EU のマネーロンダリング防止指令 (AMLD)、アメリカの愛国者法などがあります。それぞれの規制では顧客の本人確認に一定の基準を義務付けています。多くの場合、この基準は取引の種類に関連するリスクレベルの影響を受けます。本人認証 (KYC) とマネーロンダリング防止 (AML)
KYC とマネーロンダリング防止の規制では、特に金融分野の事業者に顧客の本人確認を義務付けています。この規制は、事業者が知らず知らずにマネーロンダリングやテロへの資金供与を促進するのを防ごうとするものです。データ保護とプライバシー法
EU の一般データ保護規則 (GDPR)の導入により、企業は本人確認の目的で顧客データを収集する際に顧客の同意を得ること、収集したデータを安全に取り扱うことが必要になりました。顧客には、自分の情報がどのように利用され、保管されているかを知る権利があります。業種固有の規制
業種によっては、さらなる規制があります。たとえば、アメリカの医療分野では、患者情報のセキュリティに関する規定が定められている医療保険の相互運用性と説明責任に関する法律 (HIPAA)を遵守する必要があります。地域による違い
法的要件は国によって大きく異なり、同じ国の中でも地域によって違いがある場合もあります。さまざまな法律に従うには、顧客の本人確認プロセスをカスタマイズする必要があります。記録保持と報告の義務
多くの場合、企業は法律に従って、顧客の本人確認プロセスの詳細な記録を残すことが義務付けられていて、規制機関に報告書を提出する必要がある場合もあります。正確に記録しておく義務を怠ると、罰則が課される場合があります。継続的なモニタリング
顧客の本人確認は 1 回実施すればよいというものではありません。法令遵守を維持するには、継続的なモニタリングが必要であり、顧客情報を定期的に更新し、再確認することが求められます。
顧客の本人確認における課題
顧客の本人確認には、テクノロジーの進歩、規制状況、進化する不正利用のテクニック、データセキュリティの懸念、顧客の期待の変化というさまざまな要素が関係しますが、これらに適切に対処する必要があります。効果的に行うには、適切なテクノロジーに投資することと、本人確認の法的側面と社会的側面をよく理解することが求められます。以下は、事業者が直面する主な課題です。
セキュリティとユーザー体験の両立
徹底した本人確認とスムーズなユーザー体験を両立させるのは難しく、この適切なバランスを見つけることは、主な課題の 1 つです。本人確認を厳しくしすぎると、顧客に二の足を踏ませてしまい、取引が中断されて、売上を失うことになります。一方、セキュリティに関連する手続きを緩めると、不正利用のリスクが高まります。テクノロジーの課題
生体認証や人工知能の利用による本人確認テクノロジーの進化は、新たな機会と課題の両方を提示しています。このようなテクノロジーを既存のシステムに実装するにはコストと労力が必要になりますが、イノベーションの急速な発展の結果、せっかく実装したテクノロジーがすぐに陳腐化するリスクもあります。高度な不正手法への対処
本人確認プロセスが改善される一方で、不正行為者の手法も進化し、フィッシング、ディープフェイク、身分証明書の偽造といった手口が、より巧妙になってきています。新たな不正利用の形態に対処するには、本人確認のプロセスとテクノロジーを絶えず更新する必要があり、これには多くのリソースが必要になります。データセキュリティとプライバシーに関する懸念
本人確認の目的で収集される個人データの増加に伴い、データセキュリティとプライバシーが最重要課題となっています。データ漏えいは、顧客の信頼に関する大きな問題、さらには多額の罰金へとつながる可能性があります。アクセシビリティと包摂性の問題
本人確認プロセスは、幅広いユーザーがアクセスできなければなりません。たとえば、高速インターネットや最新のスマートフォンを利用できない人もいますし、一部の生体認証システムは、特定の集団に対して偏見があるという批判を受けています。包摂性とアクセシビリティを備えた本人確認システムを構築する取り組みを続ける必要があります。顧客の期待の進化
顧客はスピーディーで簡単なプロセスを期待します。これは本人確認プロセスにも当てはまることで、顧客の期待に応えながらセキュリティを維持する必要があり、このバランスを取るのは簡単ではありません。データプライバシーの問題への顧客の認識が徐々に広まり、個人情報の取り扱いに関する透明性とコントロールに対する期待が高まっています。
顧客の本人確認の実装と事業者にとってのベストプラクティス
顧客の本人確認を実装し、ベストプラクティスに従うことで、不正利用を防止し、関連する規制を遵守すると同時に、良好な顧客体験を維持することもできます。顧客の本人確認プロセスを構築し、維持するための手順を以下に示します。
実装
ニーズとリスクを評価する
最初に、自社に固有のニーズとリスクを評価します。たとえば、自社ビジネスに影響を与える可能性が最も高い不正行為の種類、自社の業種や地域の規制要件、顧客基盤の特徴を調査します。適切なテクノロジーを選ぶ
自社のニーズに合った本人確認テクノロジーを選びます。選択肢としては、パスワードや PIN などの従来からある方法のほか、生体認証や 2 段階認証、AI を活用した、より高度な方法もあります。利用するテクノロジーは、安全で使いやすいものでなければなりません。既存のシステムと連携させる
本人確認方法を、現在の顧客管理システムやセキュリティシステムと連携させます。データの完全性とスムーズな運営を実現するために、この手順は慎重に取り組む必要があります。法令とデータを守る
GDPR、KYC、マネーロンダリング防止、その他の関連する規制に従います。機微な顧客情報を守るために、強固なデータ保護対策を実装します。ユーザー体験を設計する
本人確認プロセスをできるだけ直感的に設計します。大きな負担や遅延を生じさせることなく、顧客の本人確認を行うことが目標です。テストして最適化する
本格的な実装の前に、システムを十分にテストして、問題が見つかったら修正します。実装後は、プロセスを継続的に監視し、利用者のフィードバックやセキュリティのニーズの変化に応じてプロセスを最適化します。
ベストプラクティス
多要素認証 (MFA)
可能な限り MFA を利用しましょう。そのためには、ユーザーが知っていること (パスワード)、ユーザーが持っているもの (セキュリティトークン)、ユーザーの身体的特徴 (生体認証による確認) のうちの 2 つ以上を組み合わせて使用します。定期的な更新と監査を実施する
最新のセキュリティパッチを適応してシステムを最新の状態に保ちましょう。潜在的な脆弱性を見つけるために、本人確認プロセスの監査を定期的に実施します。トレーニングを実施して意識を高める
本人確認の重要性と機微な顧客データの取り扱い方法について、従業員教育を行いましょう。意識を高めることにより、セキュリティ侵害のよくある原因である人的ミスのリスクが減ります。自動化と人による監視の両方を実施する
自動化は本人確認に役立ちますが、それだけでは十分ではありません。例外や潜在的な誤検出に対処するには、人による監視が重要です。顧客教育
本人確認の重要性と、顧客データの保護にどう役立つかについて、顧客に説明しましょう。これにより、本人確認プロセスを顧客がすんなりと受け入れ、不満が軽減されるという効果が期待できます。設計段階からプライバシーに配慮する
本人確認プロセスの各段階でプライバシー保護を考慮し、どのデータを収集し、それをどのように利用するかについて、顧客に明確に伝えましょう。拡張性と柔軟性
本人確認システムがビジネスの拡大に合わせて拡大できること、新たな脅威や手法に適応できることを確認します。さまざまな本人確認方法を提供する
さまざまな顧客に配慮し、複数の本人確認方法を提供しましょう。たとえば、生体認証を使いたくない、または使えない利用者に配慮して、生体認証以外の確認方法を提供します。
顧客の本人確認のために Stripe にできること
Stripe の Stripe Identity を利用すると、自社で構築済みの KYC プロセスとリスク管理業務のテクノロジーを利用して顧客の本人確認を簡単に行うことができます。このテクノロジーには、以下が含まれます。
さまざまな国のユーザーの本人確認に対応
Stripe Identity は、100 カ国以上の身分証明書の真正性を確認できます。政府発行の身分証明書の基準には国による違いがありますが、この課題に対処できます。最適化された本人確認フロー
身分証明書を取得し、書類からデータを抽出し、収集した身分証明書と顔写真の画像にアクセスするというフローは、購入完了を促進するように最適化されています。画像の質の最適化
画像の質が悪いために正当なユーザーが拒否されることのないように、Stripe Identity が写真の撮影の手順を案内し、最も判読可能な画像を自動的に選択します。不正防止テクノロジー
Stripe では、機械学習を利用して偽の身分証明書や偽造写真を検知します。身分証明書の写真と書類の持ち主の顔写真の照合や、社会保険番号や住所とグローバルデータベースの照合を行うことができます。不正利用低減のためのシステムの連携
Stripe Identity を支払い、サブスクリプション、入金などの中核業務と連携させると、多層的に本人確認を行って不正利用に対処することができます。ユーザーの本人確認後に、関連付けられた銀行口座の名義人を確認することで、アカウントの乗っ取りのリスクを減らすことができます。
Stripe は、顧客の本人確認において高度なテクノロジーを利用し、使いやすい方法で連携させることで、セキュリティと法令遵守の両方の要件を満たす、多用途のソリューションを提供します。詳細はこちらをクリックしてください。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。