犯罪収益移転防止法(犯収法)の施行規則が一部改正され、令和9年(2027年)4月1日に施行されるまで1年半を切りました。この改正では、金融機関や証券会社などの事業者がオンラインで顧客の本人確認を完結させる方法(eKYC)が大きく変わります。本人確認書類の偽造・変造による他人へのなりすましによって不正な取引が行われるリスクが格段に低くなると期待されているのです。その半面、事業者はシステム改修や社内規定、マニュアルの整備といった準備に早急に取りかからなければならず、個人(利用者側)も注意が必要です。本記事で犯収法におけるオンライン本人確認の最新情報をまとめました。関連記事:犯収法上のオンライン本人確認がJPKIに原則一本化へ! 企業の対応策は(マイナ活用.com/2024年9月19日公開)関連記事:本人確認の主流はJPKIへ!犯収法「ワ方式」「ホ方式」の現在地(マイナ活用.com/2024年11月29日公開)目次27年4月から「本人確認書類の画像」廃止警察庁は2025年2月27日、犯罪収益移転防止法(犯収法)の施行規則の一部改正案を公表しました。目的は、2024年6月18日に閣議決定した「国民を詐欺から守るための総合対策」の具現化です。本人確認書類の偽造・変造によって他人になりすまして開設された口座が特殊詐欺の「道具」となっている実態を打破するため、犯収法の施行規則を改正して口座の不正開設を断とうというものです。・参考:国民を詐欺から守るための総合対策のP.20〜21(22〜23枚目)現在、犯収法は非対面(オンライン)の本人確認について、健康保険証や運転免許証といった本人確認書類の画像を送信するなどの手法を規定しています(eKYC = electronic Know Your Customer)=下図。例えば、顧客に運転免許証等の券面の画像と顧客の容貌の写真(セルフィ = 自撮り)を送信してもらい、これらを照合して本人確認する方法は多くの金融機関で用いられています。これは現行の施行規則6条1項1号の「ホ方式」と呼ばれています。しかしホ方式は、本人確認書類の表面を確認して偽造や変造を見破るのが難しく、なりすましによって口座が不正に開設されるリスクが高くなっています。実際、2025年2月27日の記者会見で警察庁長官が「本人確認書類の偽変造によって他人になりすまして開設された預貯金口座等が(特殊詐欺で)悪用されている実態がみられる」と名指ししていました。・参考:令和7年2月27日 国家公安委員会委員長記者会見要旨そこで警察庁は施行規則を改正してホ方式を廃止することを決めました。2025年3月29日までパブリックコメントが実施され、2027年4月1日に施行されることになりました。この結果、犯収法で認められるeKYCは原則としてICチップを搭載した本人確認書類のICチップ読み取りに限られることになります。具体的には、マイナンバーカードを用いた公的個人認証サービス(JPKI)*や運転免許証などのICチップ情報の送信が挙げられます(次章で解説)。つまり、2024年6月の「国民を詐欺から守るための総合対策」で打ち出されていたホ方式の廃止の時期が具体的に決定されたということです。*公的個人認証サービス(JPKI = Japanese Public Key Infrastructure):マイナンバーカードのICチップに搭載された電子証明書を利用し、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に認証する仕組みのこと。安全・確実かつ厳格な本人確認が手軽にできる点が特長。メガ3行が揃って2026年度中に対応へ警察庁が「ホ方式」の廃止を2027年4月からとしたのは、事業者がシステム改修や社内規定・マニュアルの整備等の準備に時間を確保できるようにするためです。しかし、一部の金融機関は当局の想定を超えるスピード感を持って対応するようです。2025年9月21日の日経電子版記事によると、メガバンク3行(三菱UFJ銀行、三井住友銀行、みずほ銀行)は2026年度中にホ方式を用いた口座開設を取りやめるとのことです。・参考:身分証の画像で口座開設、3メガが来年にも廃止/不正対策、マイナカード活用(日経新聞電子版2025/9/21公開)以下に同記事を一部引用します。警察庁は犯罪収益移転防止法の施行規則の改正に伴い、27年4月に身分証明書の画像を撮影して送信する手法を廃止する。日本経済新聞が3メガバンクに新たな施行規則に伴う対応を聞いたところ、3行ともに27年4月を待たずに見直すことを明らかにした。(中略)各行は26年秋などを軸に、口座開設者に占める撮影の割合もみながら具体的な廃止の時期を詰める。3メガバンクが前倒しで撮影による口座開設を廃止する方針を決めたことで、他のインターネット銀行や地銀でもICチップの読み取りによる本人確認に移行する動きが広がりそうだ。ホ方式が預金口座の不正開設のいわば“温床”となっている現状に、メガ3行は忸怩たる思いを抱いているのかもしれません。背景事情はどうあれ、金融業界をリードするメガバンクが揃って前倒し対応に踏み切ることは、特殊詐欺対策としては大きな前進となるでしょう。なお、犯収法が規定する本人確認方法は、特定事業者(下図)が少額取引を除く特定業務*において、特定取引等を行う際に適用されます。*:特定業務と特定取引等については、警察庁「犯罪収益移転防止法の概要」のP.15(18枚目)で詳しく解説されています。新たな本人確認方法はどうなる犯収法はICチップ読み取りに一本化前述のとおり、ホ方式が廃止された後、オンラインでの本人確認方法は「ICチップを内蔵した写真付き本人確認書類」のICチップ読み取りを活用した方式に原則一本化されます。 (↑ 再掲)まず、ICチップを内蔵した写真付き本人確認書類というのは、マイナンバーカードや運転免許証、在留カード、特別永住者証明書が該当します。なお、日本国のパスポート(旅券)にもICチップが搭載されていますが、旅券のICチップには当人の住居に関する情報が記録されていないため、犯収法上の本人確認には使用できません。そして、現行のヘ方式は維持され、ト方式は本人確認書類の画像の送信が除外されて「写真付き本人確認書類のICチップ読み取り + 銀行等への顧客情報の照合等」となります。そして、カード代替電磁的記録を利用した本人確認が新設されます(下図)。カード代替電磁的記録というのは、運転免許証やマイナンバーカードといった身分証明書を、安全なデジタル形式でスマートフォンに格納するための国際規格mdoc(mobile document = モバイル・ドキュメント)*のことです。(↑ 警察庁2025/5/9「カード代替電磁的記録を用いた本人確認方法の新設について」より)*:mdocについては別記事「スマホが身分証になる未来!『mdoc』とは? 仕組みから日本の導入状況までを解説」で詳説しています。そして現行のワ方式ももちろん継続します。ワ方式はJPKIを用いる方法です。マイナンバーカードのICチップに格納された電子証明書を用いて、JPKI対応アプリやカードリーダーを通じて本人確認を行います。ユーザーはマイナンバーカードをスマートフォンやリーダーかざし、暗証番号を入力して認証するため、不正利用リスクが非常に低く、高いセキュリティレベルを確保できるのが特長です。・参考:本人確認の主流はJPKIへ!犯収法「ワ方式」「ホ方式」の現在地(マイナ活用.com/2024年11月29日公開)一方で、住民基本台帳法の適用を受けない外国人や国外転出者、ICチップが搭載された本人確認書類を保有していない人たちを救済するため、偽造防止の措置が講じられた一定の本人確認書類(住民票の写しなど)の原本を送付する方法は引き続き認められることとなりました。携帯電話契約は26年4月から適用同様のルール見直しは携帯電話(スマートフォン)の非対面での契約にも及びます。総務省は携帯電話不正利用防止法の施行規則を改正し、2026年4月1日から施行します。なりすまし等により不正に契約された携帯電話は、金融機関口座と同様に特殊詐欺の「ツール」となっています。このためオンライン契約における本人確認手続きが厳格化されるわけです。顔写真付き本人確認書類の画像の送信は廃止され、原則としてJPKIやICチップ読み取りに限定されることになります。・参考:総務省「携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律施行規則の一部を改正する省令案の概要・別紙1」なお、携帯電話契約の対面での手続きについても非対面と同様にルールが見直されると見込まれています。ICチップの安全性が堅牢な理由ここで、なぜICチップが「なりすまし」防止の切り札として期待されているかを簡単に解説しておきます。例えばマイナンバーカードのICチップは耐タンパー性*を備えているため、偽造や不正なアクセスはほぼ不可能とされています(下図)。*耐タンパー性:ICチップ自身が備える偽造・不正防止策のこと。例えば無理に情報を読み取ろうとすると、ICチップのメモリの内容が消去されるといった対策がある(公的個人認証サービス利用のための民間事業者向けガイドライン(第1.4版)より)なおかつマイナンバーカードの電子証明書は、市町村の窓口において厳格な対面による本人確認を経て発行されますので、二重にセキュリティーが担保されていると言えます。マイナンバーカード活用のことならポケットサイン以上みてきたとおり、犯収法で規定される特定取引は非常に幅広く、私たち一般消費者の生活に根ざしているものばかりです。マイナンバーカードの普及が進む中、JPKI(公的個人認証サービス)や、マイナンバーカードのICチップ情報の読み取りと送信による本人確認のニーズは、今後ますます大きくなっていくでしょう。その半面、一般の事業者が自社サイトや自社アプリを自前でJPKIに対応させるには多大な開発リソース(投資額、時間、人工)がかかります。そこで自社開発よりもはるかに容易にJPKIを導入できるようにするのが、当社ポケットサインのAPIサービス「PocketSign Verify(ポケットサイン・ベリファイ)」です(下図)。PocketSign Verifyでは証明書を用いたデジタル署名の検証を行うAPIと、マイナンバーカードと通信して署名の生成や証明書の吸い出しを行うSDK(ソフトウェア開発キット)を利用できます。PocketSign Verifyは犯収法の現ワ方式と現ヘ方式に対応しています。なお、JPKIを他者に提供するには、公的個人認証法に基づき主務大臣の認定を受けて「プラットフォーム事業者」になる必要があります。当社は2023年3月に民間事業者としては16 社目となるプラットフォーム事業者認定を取得しています。かつPocketsign Verifyは、マイナンバーカードを使わずにスマートフォンのみで公的個人認証サービス(JPKI)を利用できる「スマホJPKI」への対応を完了しています。・参考:PocketSign VerifyがiOSの「スマホJPKI」に対応(2025年6月24日付プレスリリース)・PocketSign Verifyについて:https://pocketsign.co.jp/service/pocketsignplatform#verifyマイナンバーカードのご活用に関する事柄は、ぜひ実績豊富な当社にご相談ください。▼問い合わせはこちらからhttps://pocketsign.co.jp/contact▼ポケットサインについてはこちらhttps://pocketsign.co.jp/