「もうええでしょう!」―― Netflixの大人気ドラマ『地面師たち』で、不動産の買い主が売り主(になりすました赤の他人)の本人確認を試みるものの、詐欺師グループの一味が強引に打ち切ってしまうシーンの名ゼリフです。不動産取引に限らず、「なりすまし」による詐欺犯罪が後を絶たない日本社会。その最大の原因は、あの手この手で「本人確認」をすり抜けることが可能になっていることです。デジタル技術・ツールが日々進化する昨今、本人確認書類を精巧に偽造するハードルが著しく低くなりました。そして捜査当局に摘発されるのはほんの一握りにすぎません。本記事では、日本のあらゆる商取引で慣例となっている現在の本人確認手法が、実はいかに脆弱なものかをあぶり出し、不正の余地がほぼ皆無であるマイナンバーカードの公的個人認証サービス(JPKI)*による本人確認について解説します。*公的個人認証サービス(JPKI = Japanese Public Key Infrastructure):マイナンバーカードのICチップに搭載された電子証明書を利用し、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に認証する仕組みのことです。安全・確実かつ厳格な本人確認が手軽にできる点が特長です。目次そもそも「本人確認」とは?まず、「本人確認」の意義を見ていきましょう。本人確認は次の2つの要素で成り立っています*。身元確認 = Identity Proofing当人認証 = Authentication身元確認とは、本人確認書類を用いて、その人物が実在することを確認することです。ユーザー登録や銀行口座の開設、携帯電話の契約などの際の本人確認が該当します。提⽰された本⼈確認書類が偽造されていないことを確認し、 提⽰された本⼈確認書類と申告内容を照合し、登録申請者に関するものであることを確認することになります。つまり、登録申請者の「実在性」を証明するわけです。一方、当人認証とは、利用申請者が入力したパスワードや提供した⽣体情報を、あらかじめ登録されているものと照合し、同⼀⼈物であることを確認することです。サービス利用時のログイン処理やスマートフォンのロック解除が典型例です。「認証」という単語を使うときは、こちらを指していることがほとんどでしょう。つまり、申請者の「当人性」を証明するものです。*参照先:「⺠間事業者向けデジタル本人確認ガイドライン 第1.0版」P.23多くの商取引では、この身元確認と当人認証を組み合わせて本人確認が行われています。⾝元確認に基づいて登録申請者を「加⼊者」とし、利⽤申請者が「加⼊者」かどうかを当⼈認証によって確認するわけです。冒頭で触れた地面師詐欺では、本人確認書類を精巧に偽造したうえで、赤の他人が本人になりすまします。取引相手(買い主)が偽造に気づかない限り、〈虚構の実在性〉が確認されてしまうのです。次に、当人性の確認は、物件の登記識別情報が当てはまります。が、これも紛失したことにして偽造した本人確認書類とともに司法書士に依頼するか公証役場で申し立てを行えば、登記識別情報に代わる「本人確認情報」を入手でき、法務局で所有権移転登記の申請はできてしまいます。ただ、偽の本人確認情報は当然ながら法務局には通用しないので、登記申請は却下されます。しかし申請した時点で売買代金の決済は終わっていますから、買い主が却下の通知を受け取った時にはもう後の祭りです。 公正証書遺言も偽造される恐れありまた、公正証書遺言(数ある遺言書の方式の中で、最も信頼性が高い方式の一つ)でさえ本人確認の瑕疵によって偽造が可能、と聞けば驚く人は少なくないのではないでしょうか。遺言(遺言書)は民法によって、いくつかの方式が定められており、これらの方式を満たさない遺言は無効となります。公正証書遺言は、法定の方式の1つです。遺言者が公証人に遺言の趣旨を口授し、それに基づいて公証人が作成します。公証人という専門家が作成に関与するほか、2人以上の証人が立ち会い、遺言者と証人がそれぞれ内容を承認して署名押印するため、遺言としての信頼性が高いというメリットがあります。このため家庭裁判所による検認が不要なのも相続人にとって利点です。ここで論点となるのが、遺言者の本人確認です。法的には遺言者の実印と印鑑登録証明書(印鑑証明)が必要となりますが、身分証明書は不要です。ただし、公証人が本人確認のために身分証の提示を求めることはあります。それが、運転免許証やマイナンバーカードのような顔写真付き身分証か、健康保険証のように顔写真なしのものかは公証役場ごとに差があるようです。以下は筆者が先日、知人の弁護士から聞いた実際の話です。首都圏に住む木村敦美さん(仮名、90代)という女性が先ごろ亡くなりました。木村さんはおよそ10年前、相続人の1人である姪の前田聡子さん(仮名、50代)に、土地建物など複数の不動産を相続させるとする公正証書遺言を作成していました。木村さんの死後しばらくして、それら土地建物の管理を受託していた不動産会社社長の野口信之氏(仮名)から前田さんに1通の通知が来ました。それを見て、前田さんは目を疑いました。前田さんが相続するはずだった土地建物の所有権が野田氏へ移るという内容だったからです。野田氏は木村さんの不動産の管理業者だったとはいえ、赤の他人です。そんな人物がなぜ遺産を受贈できるのか。その理由は、前田さんが受け取った通知書に添付されていた公正証書遺言(第2の遺言書)にありました。その遺言書は約5年前の2019年に作成されたもので、約10年前に木村さんが作成した公正証書遺言(第1の遺言書)を撤回し、野口氏に土地建物を包括遺贈すると書いてあったのです。しかし、これはあり得ないことでした。木村さんは2018年頃から認知症の症状が進み、身体も満足に動かせなくなっていたからです。公証役場に足を運んで公証人の前で「野口氏に包括遺贈する」などと口授できたはずがないのです。なおかつ、木村さんは第2の遺言書を作成したとされる数カ月後には、高程度の要介護度認定を受けるための診断書を医療機関で受け取っているのです。ただ、前田さんには思い当たるフシがありました。木村さん宅に通っていた家政婦の存在です。家政婦は前田さんが訪ねて行っても「木村さんはあなたを嫌っている」などと申し向けて会わせようとしませんでした。家政婦は木村さんの実印や印鑑証明、保険証などを自由に管理できる立場にありました。弁護士と前田さんは、誰かが木村さんになりすまして公正証書遺言を作成したのではないかと疑っていて、訴訟も検討しています。なりすましには、詐欺罪で検挙されるというリスクはありますが、被害額が億に満たない詐欺は捜査が後回しにされるのが実情です。旧来の本人確認方法には限界があるといえます。JKPIは不正の余地がない本人確認方法では、偽造された本人確認書類に頼らない本人確認の方法や、そもそも偽造が限りなく不可能な本人確認書類は無いのでしょうか。それが、あるのです。公的個人認証サービス(JPKI)とマイナンバーカードのICチップです。政府は2024年6月18日に開いた第39回犯罪対策閣僚会議で、以下の決定をしました。犯罪収益移転防止法(犯収法)に基づく非対面(オンラインなど)の本人確認の手法を、マイナンバーカードを用いた公的個人認証サービス(JPKI)に原則として一本化犯収法に基づく対面での本人確認は、マイナンバーカードや運転免許証などのICチップの読み取りを義務化携帯電話不正利用防止法に基づく携帯電話の契約時の本人確認(非対面)もJPKIに原則一本化犯収法では現在、非対面の本人確認について、健康保険証や運転免許証の券面の画像を送信するなどの手法が認められています(いわゆるeKYC = electronic Know Your Customer)。しかし、JPKIに原則一本化された後は、eKYCは認められなくなります。何故なら、健康保険証や運転免許証などの券面は偽造・変造が容易だからです。これに対し、JPKIやICチップ読み取りでは、当然ながら券面が偽造・変造された本人確認書類は通用しません。ICチップに搭載されている情報を改ざんすることは、券面の偽造・変造と比べてかなり難易度が高いのです。マイナンバーカード裏面のICチップには、オンラインで本人確認をするための様々なアプリケーション機能(AP)が埋め込まれています。その中で公的個人認証AP(JPKI-AP)を活用することで、利用者が本人であることの確認・認証や契約書等の文書が改ざんされていないことの確認を公的に保証します(下図)。このICチップは、耐タンパー性を備えています。耐タンパー性とは、ICチップ自身が備える偽造・不正防止策のことで、例えば無理に情報を読み取ろうとすると、ICチップのメモリの内容が自動的に消去されるといった対策が講じられています。参考:公的個人認証サービス利用のための民間事業者向けガイドライン(第1.4版、デジタル庁・総務省)参考記事:公的個人認証サービス(JPKI)を支える技術「デジタル署名」と「公開鍵基盤」を徹底解説(2024/10/15公開)なおかつ、マイナンバーカードは市町村の窓口において厳格な対面による本人確認を経て発行されます。そしてICチップに埋め込まれる2つの電子証明書のうち、署名用電子証明書には基本4情報(氏名・住所・生年月日・性別)や顔写真データが含まれます。これはオンラインでの身元確認に用いられます。またもう一つの利用者証明用電子証明書には、氏名などの情報は入っていませんが、PINコード(マイナンバーカード発行時に自身で登録した4桁の数字)とともに使うことで当人認証に利用できます。つまりマイナンバーカードのICチップを用いることで、対面・非対面問わず、高いレベルで身元確認と当人認証を実現できるのです。『地面師たち』風に言うと、最もフィジカル(物理的に堅牢)で、最もプリミティブ(根源的に堅牢)で、そして最もフェティッシュ(マニアックなくらい堅牢)な本人確認のやり方と言えるかもしれません。経済活動や日常生活に影響大きく今後、どのような場面で本人確認手法が公的個人認証サービス(JPKI)へ一本化されていくのでしょうか。まず、現時点で犯罪収益移転防止法(犯収法)は、金融機関をはじめとする特定事業者(後述)を対象に、下表にある方式の本人確認(オンライン)を規定しています。参考記事:犯収法上のオンライン本人確認がJPKIに原則一本化へ! 企業の対応策は(2024/9/19公開)代表的なのがホ方式です。ホ方式は、特定事業者が提供するソフトウェア経由で、マイナンバーカードや運転免許証など写真付き本人確認書類の画像とユーザーの容貌の画像(自撮り画像)を送信し、事業者側で照合する方法です。銀行口座の開設など、様々な場面で活用されており、現在最も主流とされています。また、ヘ方式はユーザーの容貌の画像(自撮り画像)とマイナンバーカードまたは運転免許証のICチップを読み取った情報を送信する方法です。容貌画像を撮影するところはホ方式と同じですが、ICチップ情報の送信は特定事業者が提供するソフトウェアを用いる手法と、ユーザーの手元のカードリーダーを使う手法があります。ICチップを読み取る点で、ホ方式より厳格な本人確認手法といえます。しかし、前章で解説した通り、JPKIに一本化されると、特定事業者のオンライン取引ではワ方式以外の「ホ」「ヘ」は原則として認められなくなります。対面での本人確認も、本人確認書類の提示ではなく、マイナンバーカードや運転免許証などのICチップの読み取りが必要になるのです。特定事業者は次の通りであり、非常に多岐にわたります(第2犯収法条第2項)。私たちの普段の生活にも広く影響が及ぶことが考えられます。PocketSign Verify で低コストにJPKI導入今後、犯罪収益移転防止法(犯収法)で規定された場面以外の本人確認にも、公的個人認証サービス(JPKI)が普及していくとみられます。となると、特定事業者でない事業者も自社サイトや自社アプリをJPKIに対応させなくてはなりません。しかし、自社で対処しようとすれば多大な開発リソースを要します。そこで、自社開発よりもかなり容易にJPKIを導入できるようにするのが、当社ポケットサインのAPIサービス「PocketSign Verify(ポケットサイン・ベリファイ)」です。API連携を提供するPocketSign VerifyPocketSign Verifyは、事業者がJPKIを様々なサービスやアプリに組み込むためのAPIサービスです。開発者向けプラットフォーム「PocketSign Platform(ポケットサイン・プラットフォーム)」を通して、各事業者がそれぞれの自社アプリでJPKIを導入できるようになります。事例を1つご紹介します。恋活・婚活マッチングアプリ「Pairs(ペアーズ)」を運営する株式会社エウレカです。ペアーズには、日本で展開するマッチングアプリとして初めて、利用者の本人確認にJPKIが導入されました。当社が事業者向けに開設している「PocketSign Platform(ポケットサイン・プラットフォーム)」にエウレカが登録し、ペアーズのアプリにPocketSign VerifyのSDK(ソフトウェア開発キット)を埋め込むことで、アプリ内でJPKIによる本人確認が完結できるようにしています。JPKIのプラットフォーム事業者*である当社に、サービスプロバイダ事業者であるエウレカがマイナンバーカードのICチップに搭載された電子証明書の有効性確認を委託することで、自社開発よりも容易にペアーズアプリにJPKIを搭載することができました。※詳細はこちら:プレスリリース 【マッチングアプリ初】ペアーズの本人確認にPocketSign Verify採用(2024/8/22)*プラットフォーム事業者:JPKIを他者に提供するには、公的個人認証法に基づき主務大臣の認定を受けて「プラットフォーム事業者」になる必要があります。当社は2023年3月に民間事業者としては16 社目となるプラットフォーム事業者認定を取得しました。▼PocketSign Verifyの詳細はこちらhttps://pocketsign.co.jp/product/verifyWebサービス向けのPocketSign Stampまた、PocketSign Verifyには、Webサービス向けのオンライン本人確認サービスも用意しています。それが「PocketSign Stamp(ポケットサイン・スタンプ)」です。これまで事業者がWebサービスにおいて犯収法「ワ」方式を導入するには、利用者(消費者)がスマートフォンで使うための専用アプリも開発せねばなりませんでした。マイナンバーカードをNFCリーダーで読み取る必要があるため、ネイティブアプリが必須だからです。これに対し、PocketSign Stampを活用すれば、利用者(消費者)は当社のスマホアプリ「ポケットサイン」を利用すればよいことから、新たにネイティブアプリを開発することが必須でなくなります。▼PocketSign Stampの詳細はこちらhttps://pocketsign.co.jp/product/verify#stampマイナンバーカードのご活用に関する事柄は、ぜひ実績豊富な当社にご相談ください。▼問い合わせはこちらからhttps://pocketsign.co.jp/contact▼ポケットサインについてはこちらhttps://pocketsign.co.jp/