■ eKYC と FIDO 認証
真の本人確認とは? 認証≠確認
2019年11月の犯罪収益移転防止法の一部改正により、オンライン上で完結する本人確認方法( eKYC )が一部許容され、本人確認での書類の郵送を必要とせず、ユーザーの利便性の向上に大きく寄与すると期待されています。今年に入り、各銀行、証券会社様のネット口座開設のアプリケーションで eKYC の実装が本格化しています。
国内の金融関連向け eKYC サービスでは、大手金融系システム会社やSIerなどが実績を作りつつありますが、本格的なモバイル対応をしているところはまだまだ少なく、eKYC を広めていくにはモバイルアプリ専門の開発会社と連携して、モバイルの eKYC の UI/UX を最適化することが重要だと考えます。
金融のオペレーションにおいて、本人確認は、口座開設時に限らず、本来すべてのトランザクションで必要なものです。しかし、これまでは、厳密な本人確認ではなく、システムを「使う権限」を「 ID とパスワード」により確認していただけでした。現在では、そこから一歩進んで、指紋認証デバイスなどの普及により「パスワード記憶」以外の要素、「持つ」「備える」「場所」などを組み合わせた2要素(多要素)認証が広まっています。
しかし、現状の(特にスマホ)の生体認証では、「生体認証を用いてパスワードを取り出す」だけの2段階認証となっており、「本人確認」という意味では不十分と考えられています。
(例えば、ID/Password は親のものだが、スマホの指紋認証は子供が行う場合など)
また、所詮、ID/Password がスマホに保存され、ログインするたびにネットワークを流れていくことになり、セキュリティ上、好ましいものではありません。
そこで、公開鍵暗号を利用した「 FIDO 認証」という仕組みが考案され、金融アプリケーションでの利用が広まりつつあります。 FIDO 認証では、秘密鍵、公開鍵の生成が生体認証登録と一体となっており、上記のような問題はありません。また、サーバーには公開鍵のみが保存されるため、外部からの攻撃にもより安全な仕組みといえます。
FIDO 認証の利点は、ログイン認証だけにとどまりません。
上記のように「生体認証」=「本人確認」という利点を生かし、コールセンターなどでの活用も実績を上げつつあります。実際に、米国ベライゾン社のコールセンターでは、導入により大きな成果を上げています。
・パスワードが不要になったことで「パスワード忘れ」の対応の電話が劇的に減った。
・各種手続きの前の電話口での「本人確認」を軽減し(生年月日や秘密の質問などを毎回聞かない)
ユーザーの不満を解消し、利便性を大幅に向上した。
弊社では大手金融機関での採用実績のある NokNokLabs 社の FIDO 認証製品を、国内リセラーである DDS 社と提携し、一歩進んだ FIDO ソリューションとしてご提案させていただく準備を進めています。