LASSIC Media らしくメディア

2026.07.16 らしくコラム

eKYC(オンライン本人確認)システム|犯収法対応と外注

LASSIC IT事業部|元請(プライムベンダー)としてシステム開発・保守を受託

オンライン本人確認のイメージ

この記事のポイント

  • eKYCは犯罪収益移転防止法(犯収法)施行規則が定めるオンライン完結型の本人確認方法で、身分証画像と容貌画像を用いるホ方式やICチップ・公的個人認証を用いる方式などが規定されています。
  • 警察庁は2025年、偽造書類によるなりすまし対策として、画像送信を用いるホ方式を廃止し公的個人認証等へ寄せる改正命令案の意見募集を行い、施行は2027年4月1日が予定されています。
  • 対応手法の網羅・偽造検知の精度・既存基幹や顧客DBとの連携・本人確認記録の保存といった要件が、パッケージ採用か外注開発かの判断軸になります。

eKYCとは、犯収法に基づくオンライン完結型の本人確認

本人確認書類のイメージ

eKYC(electronic Know Your Customer。オンラインで完結する本人確認)とは、対面や郵送によらず、スマートフォン等を通じて本人確認書類と本人の容貌を送信し、非対面で本人特定事項を確認する仕組みを指します。日本では犯罪収益移転防止法(犯収法)の施行規則が、こうしたオンライン完結型の確認方法を具体的に定めています*1。金融機関の口座開設や暗号資産交換業、携帯電話の契約など、法令で本人確認が義務づけられる取引で広く使われてきました。

図
図:eKYCの一般的な処理の流れ(申込・撮影→容貌撮影→照合・検証→審査→記録保存)

eKYCが制度として整備された起点は、金融庁が2018年11月30日に公表した犯収法施行規則の改正です*2。この改正で、顧客から写真付き本人確認書類の画像と本人の容貌の画像の送信を受ける方法などが、オンラインで完結できる新たな確認方法として追加されました*2。それまで郵送での転送不要郵便が中心だった非対面の本人確認が、スマートフォンで完結できるようになった転機といえます。

本記事では、犯収法施行規則が定めるオンライン本人確認の方式、2027年に予定される改正の方向性、偽造・なりすまし対策、業種ごとの要件、そしてシステムを外部に発注する際の確認点を、公的情報に基づいて整理します。

犯収法施行規則が定める主なオンライン本人確認方法(ホ・ヘ・ト・ワ)

犯収法施行規則第6条第1項第1号は、自然人(個人)の本人特定事項を確認する方法を、記号を振って列挙しています。オンラインで完結できる主な方式は、身分証の画像を使うもの、ICチップの情報を使うもの、他の事業者の確認結果を利用するもの、そして公的個人認証を使うものに大別できます*1。それぞれ求められる要件が異なるため、どの方式に対応するかがシステム設計の出発点になります。

ホ方式——身分証の画像と容貌画像を照合する方式

ホ方式は、顧客から写真付き本人確認書類の画像と本人の容貌の画像の送信を受け、両者を照合して確認する方式です*1*2。特別なICチップ読み取り機能を必要とせず、カメラ付きのスマートフォンがあれば実施できるため、多くの事業者が採用してきました。ただし後述するとおり、書類の質感などから偽造を見抜くことが難しいという課題が指摘されています*3

ヘ方式——身分証のICチップ情報と容貌画像を用いる方法

ヘ方式は、写真付き本人確認書類のICチップ情報と本人の容貌の画像の送信を受ける方法です*1。運転免許証やマイナンバーカードのICチップを読み取るため、券面画像だけの場合よりも偽造耐性が高まります。読み取りにはNFC対応端末やアプリ側の実装が必要になり、ホ方式より技術的な作り込みが増える点が特徴です。

ト方式・ワ方式——他事業者の確認結果や公的個人認証を用いる方法

ト方式は、一枚に限り発行される本人確認書類の画像またはICチップ情報の送信を受けるとともに、銀行等の預貯金取扱金融機関やクレジットカード会社に対し、その顧客の本人特定事項を確認済みであることを確かめる方法です*1。ワ方式は、公的個人認証サービス(マイナンバーカードの電子証明書を用いる仕組み。JPKI)による確認です*1。電子証明書を検証することで、券面や容貌の照合を経ずに本人特定事項を確認できます。

主な方式の違いを整理すると次の通りです。

方式 用いる情報 実装上の特徴
写真付き書類の画像+容貌画像*1 カメラのみで実施可、偽造看破が課題*3
書類のICチップ情報+容貌画像*1 NFC読み取りが必要、偽造耐性が高い
一枚限り発行書類+他事業者の確認結果*1 金融機関等との照会連携が前提
公的個人認証(JPKI)の電子証明書*1 容貌照合が不要、電子証明書の検証で完結

記号や要件は改正で見直されるため、実装にあたっては施行時点の施行規則と金融庁の金融機関向けQ&Aを一次情報として確認することが欠かせません*1

2027年改正——ホ方式廃止と公的個人認証への寄せ替え

eKYCを取り巻く制度は、いま大きな転換点を迎えています。警察庁は2025年、犯収法施行規則の一部を改正する命令案について意見募集を実施しました*3。改正の柱は、券面画像を送信する現行のホ方式を廃止し、非対面の本人確認を公的個人認証やICチップ読み取りの方式へ寄せていくことにあります*3*4。施行は2027年4月1日が予定されています*3

背景にあるのは、偽造された本人確認書類を用いたなりすましへの警戒です。運転免許証などの写真付き書類と容貌の画像を照合するホ方式は多くの事業者で使われてきましたが、書類の質感などから偽造を看破することが難しいという課題が指摘されてきました*3。特殊詐欺などで悪用される口座の不正開設を防ぐ観点から、より偽造に強い方式への移行が求められています*3

この方向性は、政府がデジタル社会の実現に向けた計画のなかで、非対面の本人確認をマイナンバーカードの公的個人認証に原則として一本化する旨を示してきた流れとも整合します*3。改正後は、ICチップを持たない書類しか用意できない顧客への配慮など、経過的な取扱いも議論されています*3。事業者にとっては、現在ホ方式のみで運用している場合、ICチップ読み取りや公的個人認証への切り替えを見据えたシステム改修が必要になります。

制度改正の正確な内容や施行期日は、警察庁および金融庁が公表する一次情報で確認する必要があります*3*4。改正案の段階では、細部が最終的な省令と異なる可能性がある点にも留意します。

なりすまし・偽造への対策——ライブネス判定と目視の併用

eKYCの実効性を左右するのが、なりすましと書類偽造への対策です。容貌の撮影では、あらかじめ用意した写真や他人の顔写真の使い回しを防ぐため、ライブネス判定(撮影されているのが実在する人物本人か、生体かを判定する技術)が用いられます。まばたきや顔の向きの変化を求める能動的な方式と、単一の画像から判定する受動的な方式があり、利用者の負担と検知精度のバランスが設計上の論点になります。

書類側では、券面の改ざんや合成、他人の書類の流用を検知する仕組みが求められます。ホ方式のように画像だけを扱う場合、精巧な偽造を機械的に見抜くには限界があるため、AIによる自動判定と人による目視確認を併用する運用が採られることが少なくありません*3。ICチップの情報を読み取るヘ方式や、電子証明書を検証するワ方式は、券面の見た目に依存しない分だけ偽造耐性が高いといえます*1

どこまでを自動判定に任せ、どこから有人チェックに回すか。その線引きは業務量とリスク許容度によって変わります。判定に迷う案件を保留にして目視へ振り分けるフローや、否認時の再申請の導線まで含めた設計が、実務では大切です。検知ロジックだけでなく、こうした運用フロー全体を見据えた要件定義が欠かせません。

業種で異なる要件——銀行・証券・暗号資産・携帯・古物

セキュアなアプリのイメージ

eKYCが必要になる場面は業種によって幅があり、根拠となる法令も一様ではありません。銀行の預金口座開設や証券口座の開設、暗号資産交換業の利用登録は、いずれも犯収法に基づく取引時確認の対象です*1。これらの分野では取引の性質上、なりすまし対策への要求が高く、より厳格な方式が選ばれる傾向があります。

携帯電話の契約は、携帯電話不正利用防止法に基づく本人確認が別途求められる分野です。近年は、契約時の本人確認を公的個人認証など偽造に強い方式へ寄せる動きが進んでいます。古物営業では古物営業法に基づき、非対面取引での本人確認方法が定められており、扱う商材や取引形態に応じた対応が必要です。

このように、同じeKYCという言葉でも、根拠法・確認事項・保存すべき記録の範囲は業種で異なります。自社が属する業種で求められる確認方法を法令に沿って洗い出し、その要件を満たす方式を選ぶことが出発点です。パッケージを導入する場合も、自社の業種要件に対応した方式が実装されているかどうかを見極める必要があります。

IDaaSとの違いとパッケージ・スクラッチの判断軸

eKYCは、しばしばID管理やログイン認証と混同されます。しかし両者は目的が異なります。IDaaS(Identity as a Service。ID管理やシングルサインオンをクラウドで提供する仕組み)や多要素認証は、既に登録された利用者が本人であることを繰り返し確かめる「認証」の技術です。これに対しeKYCは、口座開設などの入口で、その人物が申告どおりの実在の本人かを一度確認する「身元確認」に主眼があります。犯収法が求めるのは後者であり、ログイン認証を整備してもeKYCの要件は満たせません*1

システムを用意する方法は、eKYCのSaaS(クラウド型パッケージ)を利用する道と、自社向けにスクラッチ開発する道に大別されます。パッケージは対応方式や偽造検知の機能が作り込まれており、短期間で導入しやすい一方、既存の基幹システムや顧客データベースとの連携、自社固有の審査フローの作り込みには制約が生じることがあります。

スクラッチ開発や、パッケージを組み込んだうえでの連携開発は、既存業務に合わせた柔軟な設計ができる反面、法令要件の反映や偽造検知の精度確保、記録保存の実装まで自社で担保する必要があります。判断軸は、対応すべき方式の範囲、既存システムとの連携の深さ、審査運用の独自性、そして改正への追随体制です。多くの事業者にとっては、パッケージの本人確認エンジンを軸に、連携部分を開発で作り込む折衷が現実的な選択肢になります。

外注時に確認したい4つの点

eKYCシステムの構築を外部に委託する場合、確認しておきたい点は大きく4つあります。第一に、対応手法の網羅です。ホ・ヘ・ト・ワといった方式のうち自社に必要なものへ対応できるか、そして2027年の改正を見据えたICチップ読み取りや公的個人認証への対応方針を持っているかを確認します*1*3

第二に、偽造検知の精度と目視併用の設計です。自動判定の仕組みだけでなく、判定に迷う案件を有人チェックへ回すフローや、否認・再申請の導線まで設計に含められるかを見ます*3。第三に、既存の基幹システムや顧客データベースとの連携です。確認結果を審査や口座管理へどう引き渡すか、二重登録をどう防ぐかといった連携設計が、運用の安定性を左右します。

第四に、本人確認記録の保存です。犯収法は確認記録の作成と保存を求めており、保存すべき情報の範囲や保存期間を満たす実装になっているかを確認します*1。委託先が犯収法や関連法令の一次情報を踏まえて設計できるか、改正時に追随できる保守体制があるかも、あわせて見ておきたい観点です。

まとめ:eKYCシステムで押さえる3つの判断軸

本稿では、eKYC(オンライン本人確認)システムの制度と設計の要点を、公的情報をもとに整理しました。要点は3つに集約できます。第一に、eKYCは犯収法施行規則が定めるオンライン完結型の本人確認であり、身分証画像を使うホ方式やICチップ・公的個人認証を使う方式など、複数の方式が規定されています*1。第二に、2025年の改正命令案では偽造対策の観点からホ方式の廃止と公的個人認証等への寄せ替えが示され、2027年4月1日の施行が予定されています*3。第三に、対応手法の網羅・偽造検知の精度・既存システムとの連携・記録保存という要件が、パッケージ採用か外注開発かの判断軸になります。

LASSICに相談するメリット

LASSIC IT事業部は、金融・不動産・通信などの業務システム開発を元請(プライムベンダー)として受託しています。eKYCの方式選定から、既存の基幹システム・顧客データベースとの連携、審査フローや本人確認記録の保存まで、法令の一次情報を踏まえて一貫して支援できる体制を整えています。2027年改正を見据えた既存システムの見直しから、現状の構成診断としてご相談いただけます。

よくある質問

eKYCと通常のログイン認証やIDaaSは何が違うのですか。

ログイン認証やIDaaSは、既に登録済みの利用者が本人であることを繰り返し確かめる「認証」の技術です。一方でeKYCは、口座開設などの入口で申告どおりの実在の本人かを確認する「身元確認」に主眼があります。犯収法が求めるのは後者であり、ログイン認証を整備してもeKYCの要件は満たせません*1

2027年の犯収法改正で、いま使っているeKYCはそのまま使えますか。

警察庁が2025年に意見募集した改正命令案では、券面画像を送信するホ方式の廃止と、公的個人認証やICチップ読み取りへの寄せ替えが示されています*3。施行は2027年4月1日が予定されており*3、ホ方式のみで運用している場合はICチップ読み取り等への改修が必要になります。最終的な内容は警察庁・金融庁の一次情報でご確認ください*3*4

eKYCはパッケージ(SaaS)とスクラッチ開発のどちらがよいですか。

対応方式や偽造検知が作り込まれたパッケージは短期導入に向きますが、既存の基幹システムや審査フローとの連携に制約が出ることがあります。連携の深さや審査運用の独自性が高い場合は、パッケージのエンジンを軸に連携部分を開発で作り込む折衷が現実的です。対応方式・連携・記録保存・改正追随の4点で比較して判断します。

eKYCシステムの開発を外注するとき、まず何を確認すべきですか。

対応手法の網羅、偽造検知の精度と目視併用の設計、既存の基幹・顧客データベースとの連携、本人確認記録の保存という4点をまず確認します*1。あわせて、2027年改正を見据えた対応方針と、改正時に追随できる保守体制があるかを委託先とすり合わせておくと、切り替え時の混乱を抑えやすくなります*3

本人確認の記録はどのように保存する必要がありますか。

犯収法は取引時確認について確認記録の作成と保存を求めています*1。保存すべき情報の範囲や保存期間は法令で定められているため、システム側で確認記録を適切に生成・保管し、後から検索・提出できる実装にしておく必要があります。具体的な要件は施行規則や金融庁のQ&Aで確認してください*1

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:金融庁「犯罪収益移転防止法におけるオンラインで完結可能な本人確認方法に関する金融機関向けQ&A」(令和7年7月1日)(https://www.fsa.go.jp/common/law/guide/kakunin-qa.html
  2. *2 出典:金融庁「『犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令』の公表について」(平成30年11月30日)(https://www.fsa.go.jp/news/30/sonota/20181130/20181130.html
  3. *3 出典:警察庁「『犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令案』に対する意見の募集について」(2025年5月9日)(https://www.npa.go.jp/news/release/2025/20250509.html
  4. *4 出典:警察庁JAFIC「犯罪収益移転防止法の解説、パブリックコメント」(https://www.npa.go.jp/sosikihanzai/jafic/hourei/law_com.htm


View