コロナ禍を経て、ICT技術を利用して身分証明書の写真など使い非対面で本人確認を行うeKYC(electronic Know Your Customer)の普及が急速に進んでいます。eKYCには従来の本人確認手続きで発生していた本人確認書類のやり取りの手間や事業者側のコストの削減などのメリットがある一方で、本人確認情報の偽造等による「なりすまし」によるリスクなどのデメリットもあります。
実際にあったコワい話
2022年5月に、電子的に偽造した本人確認書類の写真を利用して、架空の人物になりすまし、不正にネットバンクの口座開設を申し込んでキャッシュカードをだまし取ろうとしたとして、逮捕者が出ています。
本人確認書類として送信されたマイナンバーカードの写真を銀行の担当者がチェックしたところ、印字された文字が不自然だったことなどからたまたま偽造に気づいたようです。AIによるチェックはすべて突破しており、最終的に人による目視チェックまで偽造だと判明しませんでした。
この事例では、銀行が口座開設の審査で断ったにもかかわらず、その後も複数回にわたって同様の手口で口座開設の申し込みがあったことから最後には警察に通報されました。しかし、気が付かずに口座開設できてしまったり、口座開設に失敗したまま発覚しなかったりした事例もあることが考えられます。
これは「一般人がかんたんに犯罪行為を行える」と示されてしまった事例だといえます。
本件では、犯罪組織とまったく関係のない一般人が画像処理ソフトを使って犯罪行為ができてしまいました。
本件では、犯罪組織とまったく関係のない一般人が画像処理ソフトを使って犯罪行為ができてしまいました。
また、eKYCの不正突破を試みるケースは、警察側での認知は難しく、銀行など不正を見破った側からの通報が必要となります。しかし被害者側の事情により警察の捜査に十分な協力ができないことが多く、立件に至らないケースもあるといいます。
このコワイ話の教訓は、eKYCの不正突破は低コストかつ低リスクで大きなリターンを得られるため、犯罪者のターゲットになりやすいということです。
デジタル時代の新しいなりすましDeepfake
このコワイ話では、一般の画像編集ソフトが使われましたが、より精巧な偽造ができるDeepfakeという技術があります。Deepfakeとは「深層学習(deep learning)」と「偽物(fake)」を組み合わせてできたことばで、膨大な人物画像や音声をAIが読み込み、リアルな動画や音声などを合成する技術を指します。
将棋などでは、深層学習型のAIが、AI同士の対戦を繰り返し、プロ棋士よりも強くなりました。Deepfakeでも同様のことが起きており、Deepfakeを作るAIと、見破るAIがお互いに切磋琢磨して、人間の手を離れて学習を深めていきます。この切磋琢磨で飛躍的に精度を高め、人間にはもはや見破れないレベルになってきています。
日本では芸能人の顔を合成した不適切な動画をインターネットに投稿し警察に逮捕(注1)されるなどの事例や、海外では電話口で他人の声を再現して振り込み指示を行い、実際に金銭の被害が発生するなどの事件も発生しています。今後もDeepfakeの精度が高まり、コストなどの利用のハードルが下がっていくことは間違いなく、ますます犯罪利用が増えていくことが予想されます。(注2)
しかし、こうした手口がわかれば、それに対抗する法律と技術があります。
将棋などでは、深層学習型のAIが、AI同士の対戦を繰り返し、プロ棋士よりも強くなりました。Deepfakeでも同様のことが起きており、Deepfakeを作るAIと、見破るAIがお互いに切磋琢磨して、人間の手を離れて学習を深めていきます。この切磋琢磨で飛躍的に精度を高め、人間にはもはや見破れないレベルになってきています。
日本では芸能人の顔を合成した不適切な動画をインターネットに投稿し警察に逮捕(注1)されるなどの事例や、海外では電話口で他人の声を再現して振り込み指示を行い、実際に金銭の被害が発生するなどの事件も発生しています。今後もDeepfakeの精度が高まり、コストなどの利用のハードルが下がっていくことは間違いなく、ますます犯罪利用が増えていくことが予想されます。(注2)
しかし、こうした手口がわかれば、それに対抗する法律と技術があります。
Deepfakeも取り締まる法律-犯収法
なりすましやマネーロンダリングへの対策として2007年に「犯罪による収益の移転防止に関する法律(以下犯収法)」が制定されました。(注3)
その後社会状況に合わせて、写真がない本人確認書類の場合は2種類の本人確認書類が必要とするなど改正が行われてきました。
不正技術と、認証技術のそれぞれの高度化に対応し、2018年にはオンライン手続きの増加に対応する形でeKYCについても認められるようになりました。
非対面の本人確認方式として、現在では郵送以外にも、オンラインのケースが認識されています。犯収法では、特定の個人が本人であることを確認する方式が、第6条1項1号で、古くからあるイロハニに始まり、今ではチリヌルヲワカまで、法律の号の細分に全部で16方式が細かく規定されています。
オンラインの主要な本人確認方式は、以下のホ、へ、ト(1)、ト(2)、チで二つ、ワの合計7通りあり、オンライン上のみで完結する方式、オンライン手続きと郵送を組み合わせた方式などがあります。
オンラインの主要な本人確認方式は、以下のホ、へ、ト(1)、ト(2)、チで二つ、ワの合計7通りあり、オンライン上のみで完結する方式、オンライン手続きと郵送を組み合わせた方式などがあります。
同法施行規則を元に筆者作成
現時点では、本人確認書類の写真と本人のセルフィ―写真を送付するホ方式の本人確認が主流で、金融機関などでの非対面手続きとしておおむね浸透してきています。
ホ方式では、受け取った金融機関が、AIなどを利用しながらも、最終的には人手によって本人確認書類の真がんをチェックするのですが、ここで写真の偽造を見抜けなかった場合に、不正利用が発生する、だまされた! となってしまうのです。
ホ方式では、受け取った金融機関が、AIなどを利用しながらも、最終的には人手によって本人確認書類の真がんをチェックするのですが、ここで写真の偽造を見抜けなかった場合に、不正利用が発生する、だまされた! となってしまうのです。
また、これは企業側だけに被害があるものではありません。だまし取った銀行口座を利用したり、個人間の取引で身元を偽ったりすることで、個人にも被害が及ぶことが考えられます。
Deepfakeにもマイナンバーカードと技術で対抗できる
先に本人確認時の偽装が「低コスト」「低リスク」となった場合において、犯罪に利用されることが増えると述べました。低コスト化は、技術の進展に伴うもので、この流れにはあらがいにくい。とすると、犯罪を防ぐためには「低リスク」の部分を「高リスク」に変えていかねばなりません。
法律で定められた本人確認方法の中でも、技術的に偽造の難しい方法を利用することすることが、最も近道になるでしょう。
先に挙げた犯収法に対応する本人確認方式の中では、マイナンバーカードICチップを使ったワ方式が、ICチップの偽造の難易度が非常に高い方法です。
先に挙げた犯収法に対応する本人確認方式の中では、マイナンバーカードICチップを使ったワ方式が、ICチップの偽造の難易度が非常に高い方法です。
マイナンバーカードは普及率が2023年9月現在で76.1%(注4)となっており、既に運転免許証の普及率を超えています。今後は犯罪対策という点でワ方式の導入が進むとみられます。(注5)
マイナンバーカード方式はユーザの手続きが少なく、申し込む側も簡単でスピーディに行えるということもあります。
政府としても、2023年6月9日の「デジタル社会の実現に向けた重点計画」の中で、マイナンバーカードの公的個人認証に原則として一本化することを表明し、運転免許証等の画像を送信する方法や、顔写真のない本人確認書類等は廃止することとしています。(注6)
マイナンバーカード方式はユーザの手続きが少なく、申し込む側も簡単でスピーディに行えるということもあります。
政府としても、2023年6月9日の「デジタル社会の実現に向けた重点計画」の中で、マイナンバーカードの公的個人認証に原則として一本化することを表明し、運転免許証等の画像を送信する方法や、顔写真のない本人確認書類等は廃止することとしています。(注6)
マイナンバーカードの安全性の高さ
より安心安全で便利な社会を目指して
技術が進化すれば、犯罪の手口も進化しますが、法律や犯罪を防ぐ技術もまた常に進化しています。新しい犯罪を防ぐ手段としてマイナンバーカードへの注目と期待は高まっていて、実際にワ方式を利用した本人確認サービスであるBizPicoやマイナPocketといった筆者が関わるサービスへの問い合わせが増えています。
ただ、これは犯罪リスクへの危機感というだけではありません。コロナ禍もあり、世の中は一挙に非対面を許容する社会となりました。これを受けて企業が非対面のサービスを充実させたいという表れと受け止められます。
こういったリスクに向き合い、しっかりと対策を行うことで、これまで以上に安心安全で便利な社会が実現されます。筆者もそんな新しいミライを、皆さんと一緒に作っていきたいと考えています。
こういったリスクに向き合い、しっかりと対策を行うことで、これまで以上に安心安全で便利な社会が実現されます。筆者もそんな新しいミライを、皆さんと一緒に作っていきたいと考えています。
注1 ディープフェイクポルノとは? どのような罪に問われるか? (vbest.jp)
注2 「ディープフェイク」脅威に 国内初摘発、海外被害も - 日本経済新聞 (nikkei.com)
注3 犯罪による収益の移転防止に関する法律施行規則 6条1項1号
注4 総務省|マイナンバー制度とマイナンバーカード|マイナンバーカード交付状況について (soumu.go.jp)
注5 第3節 安全運転の確保|平成28年交通安全白書(全文) - 内閣府 (cao.go.jp)
運転免許の取得可能な16歳以上の人口に占める運転免許保有者数の割合は,74.8%(男性85.6%,女性64.8%)
注6 2023年(令和5年)6月9日「デジタル社会の実現に向けた重点計画」(digital.go.jp)
注2 「ディープフェイク」脅威に 国内初摘発、海外被害も - 日本経済新聞 (nikkei.com)
注3 犯罪による収益の移転防止に関する法律施行規則 6条1項1号
注4 総務省|マイナンバー制度とマイナンバーカード|マイナンバーカード交付状況について (soumu.go.jp)
注5 第3節 安全運転の確保|平成28年交通安全白書(全文) - 内閣府 (cao.go.jp)
運転免許の取得可能な16歳以上の人口に占める運転免許保有者数の割合は,74.8%(男性85.6%,女性64.8%)
注6 2023年(令和5年)6月9日「デジタル社会の実現に向けた重点計画」(digital.go.jp)
eKYCについては、こちらの記事もあわせてご覧ください。
マイナンバー×金融の近未来については、本稿筆者の山森さんも登場するこちらの対談記事もあわせてご覧ください
<この記事を書いた方>
facebookに
X
LINEに送る
株式会社NTTデータ 第三金融事業本部 保険ITサービス事業部 サービス企画室 課長
NTTデータ入社後、政府系金融機関の営業として、大規模システムの提案に従事。2020年に保険ITサービス事業部に異動後、保険会社向けのサービスの企画提案を担当。2021年10月にJPKIを活用した本人確認・マイナンバー収集サービス「マイナPocket®」を立ち上げ、保険、銀行、クレジットカード等の業界に向けた提案を行っている。