犯罪収益移転防止法、略して犯収法ーー。仰々しい名称の法律が最近クローズアップされています。この法律に則って、私たちの生活シーンに密接にかかわる「本人確認」が大きく厳格化されるためです。その対象は金融取引や不動産、貴金属の売買、税理士や行政書士といった士業など多岐にわたり、これらの契約時にマイナンバーカード等のICチップ読み取りが原則義務づけられることとなりました。特に非対面(オンライン)ではマイナンバーカードの公的個人認証サービス(JPKI)*に原則一本化されます。これに伴い、B2C企業をはじめとしたさまざまな事業者がJPKIへの対応を迫られます。本記事で事業者がとるべき対応策について徹底解説します。*公的個人認証サービス(JPKI = Japanese Public Key Infrastructure):マイナンバーカードのICチップに搭載された電子証明書を利用し、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に認証する仕組みのことです。安全・確実かつ厳格な本人確認が手軽にできる点が特長です。そもそも犯収法ってどんな法律?警察庁によると、犯罪収益移転防止法は読んで字のごとく「犯罪による収益の移転」の防止を図り、国民生活の安全と平穏を確保し、経済活動の健全な発展に寄与することを目的として制定されました。平成20年(2008年)3月から施行されています。「犯罪による収益の移転」の弊害は次のようなことです。犯罪による収益が組織的な犯罪を助長するために使用される犯罪による収益が事業活動に用いられると、健全な経済活動や企業活動に悪影響を与える犯罪による収益が他へ移転すると、その剝奪(没収)や被害者への補償などに充てることが困難になる犯罪で得られた収益の移転として真っ先に思い浮かぶのがマネー・ロンダリング(マネロン:資金洗浄)ではないでしょうか。マネロンとは、違法な手段で得たお金の出どころを、あたかも合法的な起源であるかのように偽装する行為です。資金を口座から別の口座へ転々とさせたり、金融商品や不動産、宝石・貴金属に形態を変えたりすることで、捜査機関による収益の発見や検挙を逃れようとするわけです。そして、この問題は国内にとどまりません。マネロンやテロ資金供与への対策は、一国だけが規制を強化しても規制が相対的に緩い国で行われることから、国際的な協調が求められます。このため、38か国・地域やEUの執行機関EC(欧州委員会)などが加盟する国際的枠組みであるFinancial Action Task Force(ファトフ:金融活動作業部会)が活動指針を定めています。もちろん日本もFATFに加盟しています。FATFは加盟国・地域・機関の取り組みをモニタリングしており、加盟国・地域・機関は勧告等に沿って、絶えずマネロン対策とテロ資金供与対策のアップデートを実施しているのです。その結果、日本では段階的に、金融機関に本人確認が義務づけられ、疑わしい取引を当局へ届け出る制度が創設されていきました。今後も国際的な対策強化に向けた圧力を背景に、国内でも種々の規制が強化され、届け出義務の範囲も広がっていくと思われます。※参考:「犯罪収益移転防止法の概要」(警察庁) 「教えて!マネロン・テロ資金供与・拡散金融対策」(財務省)不正の余地がない厳格な本人確認そうした中、政府は2024年6月18日に第39回犯罪対策閣僚会議を開催し、重要な決定を下しました。犯罪収益移転防止法(犯収法)に基づく非対面(オンラインなど)の本人確認の手法を、マイナンバーカードを用いた個人認証サービス(JPKI)に原則として一本化することを決めたのです。対面での本人確認も、マイナンバーカードや運転免許証などのICチップの読み取りが義務化されることとなりました。犯収法では現在、非対面の本人確認について、健康保険証や運転免許証の券面の画像を送信するなどの手法を規定しています(いわゆるeKYC = electronic Know Your Customer)。これらが原則としてJPKIに一本化されるのです。さらに、携帯電話不正利用防止法に基づく本人確認(非対面)も犯収法と同様にJPKIに一本化となります。この背景には、本人確認をすり抜けて不正に入手された携帯電話(スマートフォン)や銀行口座などが、特殊詐欺の「ツール」になってしまっているという現実があります。また、本人確認書類を偽造して他人になりすまし金品を詐取する行為も続発しています。どれもこれも、券面画像を送る方法では、他人のなりすましを防ぐことが困難なことが原因です。実際、下記のような手口による犯罪が後を絶ちません。他人名義の偽造運転免許証を用いてクレジットカード契約し、キャッシングや買い物をする(https://www.asahi.com/articles/ASS934PWTS93UTIL00BM.html)マイナンバーカードの券面事項(氏名、生年月日、住所)を他人の内容に偽造し、その他人になりすまして携帯電話のSIMカードの再発行を受け、乗っ取る※氏名、生年月日、住所が公表されている地方議員が多数被害に遭った(https://www.yomiuri.co.jp/national/20240528-OYT1T50131/)この点、JPKIを用いた本人確認では、上記のような手口は通用しなくなります。なおかつ特殊詐欺の「ツール」の氾濫も抑制することが期待できるというわけです。では、どうして公的個人認証サービス(JPKI)による本人確認はそうした不正が困難なのでしょうか。その理由は、JPKIの仕組みにあります。冒頭で触れたとおり、JPKIはマイナンバーカード裏面のICチップに搭載された電子証明書を利用することで、利用者が本人であることの確認・認証や契約書等の文書が改ざんされていないことの確認を公的に保証する仕組みです。具体的には、マイナンバーカードのICチップには、オンラインで本人確認をするための様々なアプリケーション機能(AP)が埋め込まれているのですが、そのうちの1つである公的個人認証AP(JPKI-AP)を活用することによって、厳格な本人確認を行います(下図)。そして、なりすましや改ざん防止に関しては何重もの対策が取られています*。まず、マイナンバーカードの電子証明書は、市町村の窓口において厳格な対面による本人確認を経て発行されます。さらに電子証明書が格納されているICチップは耐タンパー性**を備えているほか、電子証明書を利用するときは利用者自身が設定した暗証番号が必要です。詳細はマイナ活用.comの別記事「公的個人認証サービス(JPKI)とは|マイナンバーカードを活用した本人確認の未来」第1章で詳しく解説していますので、興味のある方はそちらもご覧ください。* :公的個人認証サービス利用のための民間事業者向けガイドライン(第1.4版)の11頁**:耐タンパー性:ICチップ自身が備える偽造・不正防止策のこと。例えば無理に情報を読み取ろうとすると、ICチップのメモリの内容が消去されるといった対策がある(公的個人認証サービス利用のための民間事業者向けガイドライン(第1.4版)より)こんな取引が犯収法の対象にでは今後、オンラインでの本人確認手法が公的個人認証サービス(JPKI)へ一本化されることで、どんな変化がもたらされるでしょうか。まず、現状の非対面(オンライン)での本人確認手法は次のようになっています。※参考資料・犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法の概要(金融庁)・マイナンバーカードの「安全・便利なオンライン取引」構想を進めるために(デジタル庁)本人確認書類の画像と容貌の画像(自撮り)の組み合わせなどでOKだった手続きも、原則としてJPKIによる認証(ワ方式)を求められるようになります。感覚的にも、不正はほぼできなくなることが分かるのではないでしょうか。また、犯収法に基づく本人確認が求められる取引は「特定取引」と呼ばれ、金融機関や宅地建物取引業者、士業などの特定事業者が行う次のようなものが該当します(一例です)。不動産の売買貴金属の売買電話転送サービス契約カジノ事業預貯金口座の開設クレジットカード契約などなど、犯罪収益移転防止法施行令第7条で規定されています*。*「犯罪収益移転防止法の概要」(警察庁)の15ページまた、マッチングアプリも例外ではありません。政府とデジタル庁は、アカウント開設時の本人確認の厳格化に向けてマッチングアプリへのJPKIの導入を推奨しており、義務化される時期が来るかもしれません。「Pairs(ペアーズ)」を運営する株式会社エウレカはいち早く対応し、当社ポケットサインが提供するサービスを組み入れることでJPKI導入に踏み切っています。※参考:プレスリリース 【マッチングアプリ初】ペアーズの本人確認にPocketSign Verify採用(2024年8月22日)利用者(消費者)側としては、マイナンバーカード機能をスマートフォンに搭載することで、いちいち手元にマイナカードを用意せずとも、スマホだけでJPKIを利用できます。詳細はマイナ活用.comの別記事「マイナカード機能ついにiPhone搭載へ|私たちの生活は何がどう変わる」で解説しています。PocketSign Verify / Stampで低コストにJPKI導入以上みてきたとおり、多くの取引におけるオンラインでの本人確認が公的個人認証サービス(JPKI)に一本化されることで、事業者には自社サイトや自社アプリをJPKIに対応させなくてはなりません。しかし、自社で対処しようとすれば多大な開発リソース(投資額、時間、人工)がかかります。そこで、自社開発よりもはるかに容易にJPKIを導入できるようにするのが、当社ポケットサインのAPIサービス「PocketSign Verify(ポケットサイン・ベリファイ)」と、Webサービス向けのオンライン本人確認サービス「PocketSign Stamp(ポケットサイン・スタンプ)」です。API連携を提供するPocketSign VerifyPocketSign Verifyは、事業者がJPKIを様々なサービスやアプリに組み込むためのAPIサービスです。開発者向けプラットフォーム「PocketSign Platform(ポケットサイン・プラットフォーム)」を通して、各事業者がそれぞれの自社アプリでJPKIを導入できるようになります。▼PocketSign Verifyの詳細はこちらhttps://pocketsign.co.jp/service/pocketsignplatform#verifyWebサービス向けのPocketSign StampPocketSign Stampは、事業者がWebサービス上でJPKIを簡単に行える手段を提供するサービスです。これまで事業者が犯収法「ワ」方式を導入するには、利用者(消費者)がスマートフォンで使うための専用アプリも開発せねばなりませんでした。マイナンバーカードをNFCリーダーで読み取る必要があるため、ネイティブアプリが必須だからです。これに対し、PocketSign Stampを活用すれば、利用者(消費者)は当社のスマホアプリ「ポケットサイン」を利用すればよいことから、新たにネイティブアプリを開発することが必須でなくなります。事例を1つご紹介します。株式会社ゴルフダイジェスト・オンライン(GDO)が実施主体となる、マイナンバーカードを用いたゴルフ場での顔認証チェックイン(受付)実証実験においてPocketSign Stampが採用されています。この実証実験は、デジタル庁の「顔認証端末におけるマイナンバーカード活用に係る実証事業」として実施されます。※詳細はこちら:プレスリリース デジタル庁のゴルフ場「顔パス受付」実証実験をPocketSign Stampで支援(2024年8月9日)ゴルファーがGDOの予約サイトで利用者登録を行い、サイトからの誘導でスマートフォンからPocketSign Stampを活用した電子署名によりゴルファーの本人確認を実施します(あらかじめスマホにポケットサインアプリをインストールする必要があります)。これを済ませておくと、ゴルファーはゴルフ場で顔パスでチェックインできるという仕組みです。GDOは、ポケットサインアプリとPocketSign Stampを活用するだけでJPKIを導入できたのでした。▼PocketSign Stampの詳細はこちらhttps://pocketsign.co.jp/service/pocketsignplatform#stampなお、こうしたJPKIを他者に提供するには、公的個人認証法に基づき主務大臣の認定を受けて「プラットフォーム事業者」になる必要があります。当社は2023年3月に民間事業者としては16 社目となるプラットフォーム事業者認定を取得しています。マイナンバーカードのご活用に関する事柄は、ぜひ実績豊富な当社にご相談ください。▼問い合わせはこちらからhttps://pocketsign.co.jp/contact▼ポケットサインについてはこちらhttps://pocketsign.co.jp/