インターネットが広く普及している現代では、オンライン上での取引が当たり前になっています。そこで重要となるのが本人確認です。オンライン上で取引している相手が本当に実在する人物なのか、他人になりすました偽者ではないのか、きちんと確認する必要があります。本人確認は2つのプロセスで構成されているほか、リスクに応じて複数のレベルにわかれているので、それぞれについてよく知っておきましょう。
本人確認における2つのプロセス
本人確認は、「身元確認」と「当人認証」という2つのプロセスで構成されています。
【身元確認】個人情報が正しいものであることを確認・証明するプロセス
「身元確認」とは、ユーザーから提出された身分証をもとに、登録されている氏名や住所、生年月日などの個人情報が正しいものであることを確認・証明するプロセスです。身元確認を怠ると、実在しない架空の人物をユーザーとして登録されてしまい、サービスを不正利用されるおそれがあります。身元確認には免許証やパスポートなどを用いるのが一般的ですが、レベルに応じて確認方法が異なります。
【当人認証】身元確認された本人であることを確認するプロセス
一方の「当人認証」は、オンライン上で取引したユーザーが身元確認された本人であることを確認するプロセスのことです。非対面のオンラインサービスでは、身元確認を行った人物と、実際にサービスを利用した人物が同一人物であるかどうかをきちんと確認する必要があります。当人認証を怠ると、身元確認をしたユーザーになりすました第三者が不正に取引を行う可能性があります。その際、なりすました第三者が不当にサービスを利用できるようになったり、身元確認をしたユーザーが心当たりのない請求を受けたりするおそれがあります。当人認証は、生体・所持・知識の3つの要素のいずれかの照合によって行われますが、用いられる要素の数はレベルによって変わります。
本人確認(身元確認)の3つのレベル
経済産業省が令和元年1月から実施していた「オンラインサービスにおける身元確認に関する研究会」において、身元確認のレベルは以下3つに区分されています。[※注1]
レベルの数字が高いほど身元確認において高い保証を確保できます。最も保証の低いレベル1は身分証を用いず、ユーザーが自分自身の情報を自己申告する方法です。
レベル3:対面で公的身分証をもとにした身元の確認
レベル3は対面で身分証を提示し、本人確認を行う方法です。身分証の顔写真と、対面した本人によって身元確認を行うため、保証レベルとしては最高になります。しかし、対面で身分証の提示を行わなければならないため、オンライン取引が主流のサービスでは実現が難しいのが実状です。
レベル2:郵送などの非対面で公的身分証を活用した身元の確認
レベル2は免許証やパスポートといった身分証のコピーを郵送し、本人確認を行う方法です。Web上で入力された情報と、郵送されてきた身分証の写しを照らし合わせ、内容に相違がないかどうかチェックすることで身元確認を行います。レベル1に比べると保証は強くなりますが、第三者が不正に取得した身分証を利用して登録した場合、なりすましを見抜くのは難しくなります。
レベル1:自己申告をもとにした身元の確認
レベル1の場合、ユーザーはWeb上で氏名や住所、生年月日などを入力するだけで登録を済ませることができます。ユーザー側からすれば面倒な手続きを踏まずに済むので、登録へのハードルが低いところが特徴です。しかし、登録された情報はすべてユーザーの自己申告によるものなので、実在する人物なのかどうか判断しにくいのが難点です。
[注1]経済産業省:オンラインサービスにおける身元確認手法の整理に関する検討報告書を取りまとめました
https://www.meti.go.jp/press/2020/04/20200417002/20200417002.html
本人確認(当人認証)の3つのレベル
身元確認と同じく、当人認証も3つのレベルに区分されています。当人認証のレベルは、生体・所持・知識という3つの認証要素の内容や数に基づき分類されます。
| 生体要素 | 顔や指紋など、そのユーザーのみが有している生体的特徴 生体要素はコピーが困難なため、なりすましをしにくい要素 |
| 所持要素 | そのユーザーのみが有している物のことで、マイナンバーカードやユーザーに発行されたトークン、スマートフォンを使ったSMS認証、電話番号を使った着信電話認証など。 この世にひとつしかない物を使用して認証するため、保証レベルは比較的高めですが、盗難された物を利用して認証される可能性もゼロではありません。 |
| 知識要素 | そのユーザーだけが知っている情報で、本人が設定したパスワードや、秘密の質問の回答など。 複雑なパスワードの設定や第三者が予測しにくい質問・回答を設定することで、なりすまし防止になりますが、簡単なパスワードや予測しやすい回答だと、第三者によるなりすましが発生する可能性があります。 |
こうした要素に基づいた、当人認証のレベルは以下の通りです。
耐タンパ性とは、内部情報を不正に読み取られたり、改ざんされたりすることに対する耐性のことです。たとえばマイナンバーカードなどのICカードがこれにあたります。
レベル3:3要素のうち耐タンパ性を持つハードウェアを含めた複数の要素を用いる認証
レベル3はこうしたICカードを含め、3要素のうち複数(2つまたは3つ)を用いて認証を行います。レベル3を採用すれば、高確率でなりすましを防止できますが、そのぶん企業側、ユーザー側両方の負担が大きくなります。
レベル2:3要素のうち複数の要素を用いる認証
レベル2は3要素のうち、複数の要素を用いて認証するという点はレベル3と共通しています。しかし、ICカードなど耐タンパ性の強いハードウェアを含まないため、レベル3よりも保証はやや低くなります。
レベル1:3要素のうち1つを用いる認証
レベル1は3要素のうち、ひとつのみを用いて認証する方法です。企業、ユーザーの負担が少なくて済むところが利点ですが、所持要素や知識要素ではなりすましが発生する可能性が高くなるため、強固な保証を得たいときは生体要素を用いたほうがよいでしょう。
本人確認におけるセキュリティレベルを上げるコツ
本人確認のセキュリティレベルを上げるには、なるべくレベルの高い身元確認を取り入れるとともに、複数の認証方法を組み合わせるのが基本となります。ただ、レベル3の身元確認はオンラインサービスが主流になっている現代では難しいため、レベル2を用いた身元確認に、複数の要素を用いた当人認証を組み合わせるのが一般的です。身元確認のレベルが1でも、当人認証の保証レベルが高いほど、なりすましを防止することが可能です。認証の手段は要素ごとに複数存在するため、どの認証方法を採用するか、慎重に検討しましょう。
【まとめ】
認証システムを活用してセキュリティレベルを上げよう
本人確認のプロセスには、身元確認と当人認証の2つがあり、それぞれ3つのレベルに区分されています。とくに重要なのはサービスを利用しているのが身元確認した本人であることを確認する当人認証です。当人認証には生体・所持・知識の3要素がありますが、複数の要素を組み合わせることでセキュリティを強化できます。セキュリティを強化したい場合は、着信電話認証やSMS認証などの認証サービスの導入も検討しましょう。認証サービスを賢く活用し、ユーザーと企業の双方にとって安全な仕組みを構築することが大切です。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化
