対面以外での本人確認(なりすまし防止)はどうあるべきかについての雑感。大した意見があるわけではなく、現時点での感想レベルのブログです。
犯収法施行規則が平成30年11月30日に改正され、令和2年4月施行されたとのこと。
犯収法はマネロン対策等のために、銀行等に対して顧客等の本人特定事項等の確認を義務付けている。犯罪でお金を得るために、架空名義口座や違法売買口座等を悪用する例があるわけで、きちんと確認しておくことで、大きく捉えれば犯罪の抑止にもつながるわけである。
非常に重要な目的です。とはいえ、「厳格な本人確認をしなければいけず、対面で不審者かどうかをチェックします。全部、銀行窓口で手続してください、本人確認に大変長い時間をかけて丁寧にチェックしますよ。」では、普通の一般ピープルは、「なんでこんなに銀行の手続は面倒なんだ」「ただ口座開設するだけなのになんなんだ」となってしまって、顧客も銀行も大変。そこできちんと確認するも現実的な確認方法はどうあるべきかという議論になるわけです。
これは、銀行等だけではなくて、どんな手続でも同じようなことが言えるかと思います。なりすましで別人が手続をしてしまうと、それによって犯罪等が生じる可能性がある。かといって、顧客の利便性、手続を受け付ける側の業務効率を考えないと、現実の社会で、遵法が期待できない可能性もある。
どうあるべきか。
LINEを使った住民票交付申請に対する雑感でも、ブログで書きましたが、行政サービスが、住民の本人確認をするときも同じような話が出てきます。行政サービスといっても様々なものがありますが、中でも住民票交付、戸籍交付、印鑑証明交付のようなものは、本人確認書類等を渡すわけですから、ここでなりすましが行われてしまうと、不正になりすまして得た本人確認書類を元に、さらなるなりすましがどんどん発生してしまうおそれがあるわけで。
cyberlawissues.hatenablog.com
あとは、電話の契約、インターネットプロバイダへの加入等も、同じかなと。ネットを介して犯罪が行われた、違法な書き込みがなされたというときに、誰による行為かを明らかにするわけで(ここも現在進行形で発信者情報開示請求の改善検討がなされているところですが)、そもそもが架空名義で契約していると、それもわからなくなってしまう。電話やインターネットが犯罪の手段に使われることもあるわけですし。
楽天やAmazon、メルカリ、Yahoo!ショッピングなんかの出品者なんかもそうですよね。架空名義で登録されてしまうと、違法出品物対策等が困るわけで。出品者だけではなく購入者側にしても、不払いとかもあるから、プラットフォーマー側では出品者のみならず購入者を実名で把握しておかないといけないですよね(出品者-購入者間で実名を教えあう必要があるかは別問題ですが)。
ああ、あとBtoBのクラウドワークスとかランサーズとかも、架空名義だと困りますよね。架空名義の人と契約するわけにはいきませんからね。万一紛争になった際に、訴訟もできませんよね。
このように、ネット上での本人確認の必要性というのは、非常に様々な場面で出てくる話かなと思います。
で、話を犯収法施行規則改正に戻すと、令和2年施行分では、
- オンラインで完結する自然人の本人特定事項の確認方法の追加
- 郵便等での確認方法の厳格化
がなされていて。
オンラインだけで完結する本人確認が認められ、
かつ、郵便での本人確認はこれまでより厳しくなった、と。
LINEの住民票の時も思いましたけど、オンラインについては、「なりすましが怖い!」っていう話になりがちですけど(某市町村の審議会でもオンラインの本人確認で紛糾したが郵送請求となぜ比較しないのかと私は思ってしまった)、だったらなんで郵送請求は比較的緩くていいんですか? 今まで悪用があまりなかったからなんですか? オンラインは比較的新しめの手段だから怖い怖いちゃんとやろう論になりがちだけど、郵便は飛脚の時代からあったし役所に行くのは大変だったりするし今までもやってきたから比較的緩いのですか? みたいに感じてしまいます。
それを論理的に考えると、オンラインでも郵便でもリスクはあるわけで、そうなるとやっぱり郵送請求の厳格化みたいになりますよね、となんとなく思ってしまいました。みんなオンラインは厳格化に傾けがちだけど、オンラインと郵送とで、それぞれリスクを洗い出してみると、郵送だって、コピーの悪用、写真・対面なしの悪用ってあるわけであって。
犯収法だと、郵送請求の際に、運転免許証でもマイナンバーカードでも1種類じゃだめで、もう1種類の計2種類が必要で、かつ、書留郵便等により転送不要郵便物等として送信するわけです(犯収法4条1項・犯収則6条1号リ)。
原本と写しを分けて考えていて、運転免許証でもマイナンバーカードでも原本を銀行に個人顧客が送るわけにはいかないわけで、コピーだと本人確認書類がいくら写真付きでも1種類じゃだめよ、と。まあコピーだと画像粗くて、孫コピー、ひ孫コピーとかを装って、偽造して貼りつけた部分をうまくごまかす悪用とかってできなくはないですからね、たしかに。
で、住民票の写しの場合はコピーでは なく、市役所等から交付された住民票の写し原本であれば、これ1種類だけでよく、あとは書留郵便等により転送不要郵便物等として送信すればよいこととされています(犯収法4条1項・犯収則6条1号チ)。
これなら、住民票の写しの方が楽じゃないか。まあ写しという名称が悪いけれども、これは原本でコピーじゃないから、画像粗くして孫コピーを装った偽造とかが難しいですからね。
金融庁の解説図↓
https://www.fsa.go.jp/news/30/sonota/20181130/02.pdf
マイナンバー怖い論と、オンラインのなりすまし怖い論はある意味似ているところがあるというか、なんとなく新しい感じのものだと未知というと言い過ぎかもしれませんが、得体のしれないことが起こるのではないか、厳格な対処が必要だ、そもそもやらない方がいいのではという話になりやすいですが、そうはいっても、オンライン請求も識別子も、そこまで未知の話ではなくて、現実生活の中ではかなり使っていっているものなので、これを一切止めるというのは現実的ではなく。
どういうリスクがあるのかを具体的に挙げていって、ではどういう本人確認手段が適切なのかっていうのを検討していくべきではないかと思います。
署名・押印の有無で分けるという考えをする人もいますが、結局、署名・押印でもなりすましがどこまで防げるのかっていう話になってくるので。
様々なリスクを想定して、それへの対策として、では具体的にどういう本人確認方法ならなりすましリスクを許容可能なレベルまで極度に低減させることができるのかっていう検討の在り方がいいのかなと思います。
ただ、他方で思ったのが、犯収法で、オンラインの口座開設で画像送信が認められているから、じゃあどんな手続でも犯収法に倣えばいいじゃん、というわけではないと思います。住民票の請求でも画像送信で良いかはまた別の論点かなとも思います。
犯収法でも画像情報を送信すればいいというわけではなくて、画像情報は、厚み等が確認できる必要があり(施行規則6条1項1号ホ)。
さらに、犯収法でも、その本人確認の基礎となる住民票の写しなわけで。そこの住民票の写しがなりすまし請求されてしまうと、つまり、本人確認書類自体を不正に取得できちゃうと、どんどんいろんなことができてしまいますよね。なりすましのまさに温床たりうるわけで。そこの重みをどう考えるのかという話があるので、犯収法に倣えばいいというわけでもない。
ただ、犯収法の本人確認だとこう、マイナンバー法だとこう、何々法だとこうとか、もうあまりに法律ごとにバリエーションが多すぎるのも、遵法可能性・期待性が下がると思うのです。役人は自分の所管法令を見ていればいいわけですが、民間事業者は自分に適用される法律を全て守る必要があって、A法だとこう、B法だとこう、C法だとこう、D法だとこう、法だとこうって無限に本人確認方法がバリエーション増えていかれると本当に困わけで。
対面・非対面ともに、各法律や実務上の本人確認方法を精査して、あるべき姿に統一化を一定程度図っていく必要はあるだろうと思います。ただ、全部を一緒にするというのは無理なんで、リスクレベルごとにABCとかわけて、リスクレベルAだとこういう方法、Bだとこういう方法みたいな感じがいいのではないかと思います。