• 会員限定
  • 2021/02/12 掲載

「eKYC」の顔写真をどう管理すべきか? Anyca、Liquidの漏えい問題で考える

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
個人間カーシェリングサービスの「Anyca(エニカ)」と仮想通貨取引所「Liquid(リキッド)」で、顔写真の不正利用と情報漏えいのインシデントが相次いで発生した。これらの画像は、デジタルによる本人確認の仕組みである「eKYC」のためにユーザーがアップロードし、保存されていたものだ。eKYCは、脱印鑑、テレワークといったニューノーマルのビジネスシーン、さらにオンライン口座振替の不正利用で注目を浴びる技術だが、改めてこの技術とセキュリティ対策について考えてみたい。

執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
オンラインの本人確認で「顔写真データ」のアップロードが増えている
(Photo/Getty Images)

業務のオンライン化で進むeKYC

 近年の行政・民間サービスでは、かなりの手続きでオンライン化が進んでいる。たとえば2020年の持続化給付金では、マイナンバーカードなどを利用してすべての申請をオンラインで行うことができた。

 押印業務など古いビジネス慣習や就業規則が、パンデミック後のテレワークやソーシャルディスタンスの妨げ、さらには日本のデジタルトランスフォーメーション(DX)の障害になるとして、業務のオンライン化、非対面化はますます広がっている。

 しかし、オンライン化によって新たな問題や課題が生じることもある。ディー・エヌ・エーとSOMPOホールディングスの合弁会社、DeNA SOMPO Mobilityが運営する個人間カーシェアサービス「Anyca」では、従業員が登録された顧客の情報を不正に使ってカードローンを組むという事件が発生した。またQUOINE社が運営する仮想通貨取引所「Liquid」では、不正アクセスによって2万8000件もの個人情報が流出した。2つの事件で共通するのは、悪用・流出した個人情報に顔写真データが含まれていたことだ。

 顔写真・セルフィー画像は、オンライン上で完結させる本人確認「eKYC」で欠かせない要素となる。住所・氏名・生年月日、あるいは銀行口座の番号だけで本人確認を行えば、昨年のゆうちょ銀行やドコモ口座など口座連携システムでのインシデントの二の舞を演じることになる。


 アカウント登録時に、リアルタイムでセルフィー画像・動画を送信させればその場で本人確認が可能だ。保存しておけば、後日対面で確認したり不正利用の証拠にもなり得る。確認方法も工夫されている。

 システムによっては、セルフィー画像に自分の免許証やパスポートなど顔写真入りのIDを映り込ませ、AIで同じ顔かを判定させているものもある。セルフィー動画にして、ランダムに選んだ表情や動作を指定すれば、写真などによるなりすまし対策も可能だ。

認証に生体情報を使う場合の課題

画像
eKYCで増える顔写真データ、どう管理する?
(Photo/Getty Images)

 AIなどの認識精度にもよるが、eKYCは今後、さまざまな場面で利用が広がっていくと思われる。同時に問題となるのが、撮影した顔写真データをどう管理するかだ。

 一義的には、アカウント作成時に登録する名前や住所などと同じレベルの個人情報と考えることができる。顔写真のような生体情報は個人情報保護法でも明確に保護すべき対象(個人情報)としている。生体情報は、パスワードのように容易に変更できるものではないため、扱いには十分に配慮する必要がある。

 この議論は、2021年完全施行される改正個人情報保護法の中でもされている。一般に本人確認に利用する生体情報は、そのまま保存するのではなく、照合用の特徴データなどへの変換が推奨される。これはデータサイズの問題もあるが、データを暗号化する(容易に元情報に復元させない)という意味もある。

生体認証と改正個人情報保護法をめぐる動き
https://www.jstage.jst.go.jp/article/essfr/11/2/11_108/_pdf/-char/ja

 他の生体認証システムとの照合をさせないこと、漏えいした場合、それを無効にして照合データを再生成できるようなシステムであることが主な要件となる。さらに、システム全体としての精度(本人拒否率、他人受入率)も保たなければならない。

 ただし、これまでの議論は「生体認証技術としての顔認証」を前提としている。生体情報を鍵として記録する場合の注意やセキュリティ上の課題にフォーカスしており、前述のような「オンラインサービスでの本人確認業務」を想定したものではない。

【次ページ】eKYCでは画像データの扱いがポイントとなる

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます