By staff | 2025年08月18日
2019年より継続して活動しているKYC WGは、2025年時点で延べ参加人数 434名、参加企業・団体 延べ169団体超(年度ごと)による参加のもと、本人確認・KYCの現状の課題の分析を通じて次世代KYCのあるべき姿、法令やガイドラインとして調整・整備すべき事項、およびOpenID Connect等のID連携標準が具備すべき機能の洗い出し・検討を行い、社会実装へつなげていくためのきっかけを作ることを目的として活動しています。
2023年には、民間事業者向けデジタル本人確認ガイドライン を発行し、多くの事業者に活用いただいています。
このたび、金融庁からの、掲題の公表に対して、有志で下記の通りパブリックコメントを提出いたしました。
提出意見:
当団体有志は、金融庁が公表した「金融商品取引業者等向けの総合的な監督指針等の一部改正(案)」における、インターネット取引における認証方法や不正防止策の強化に関する取り組みに賛同いたします。その上で、以下の点についてご考慮いただきたく、意見を提出いたします。
- 「フィッシング耐性のある多要素認証」の表現について
現在多くの被害が発生している経路は、SMS等を用いた多要素認証であり、単に「多要素」であることが安全性を担保するものではありません。重要なのは「フィッシング耐性」であり、認証方式の安全性を評価する際にはこの点を強調すべきです。多要素を求めるために、フィッシング耐性のより低い認証方式が採用されないよう十分留意されるべきです。
- 認証器の登録・再登録時の身元確認の重要性
フィッシング耐性のある認証方式を採用しても、顧客が認証器を初回登録する導線や、紛失時の再登録導線において、確実な本人確認が行われなければ、攻撃を防ぐことはできません。認証器の登録・再登録については、同様にフィッシング耐性のある認証方式を利用するか、それができない場合、確実な身元確認をした上で認証器の登録・再登録を実施するべきです。
- 他業種との連携による本人確認の高度化
取引時等の本人確認においては、犯収法に基づいた本人確認が必須であることが前提ですが、上記認証器の登録時等において、確実な本人確認を行うためには、金融機関に限らず、他業種で確実な本人確認を実施している事業者との認証連携も有用です。OpenID Foundationが策定する「OpenID Connect for Identity Assurance」等の標準仕様を活用し、証跡やメタデータを含めた身元確認済情報の連携を行うことで、安全性の向上が期待されます。
- 業者間での情報連携による被害拡大防止
警察庁が令和5年度に開催した「キャッシュレス社会の安全・安心の確保に関する検討会」の報告書「2.1.3 ID・PWを窃取された場合でも被害に遭わないための方策 」において、「不正取引に関するアカウント情報(略)は、組織的に複数のEC加盟店等に対して不正取引が行われる場合があることを踏まえると、他のEC加盟店等における被害防止対策にも有用である場合があると考えられる。」とされています。金融商品取引業者等においても、顧客が身に覚えのない第三者による不正なログイン・取引・ 出金・出金先口座変更等の、不正取引に関する情報を業界横断で連携することで、一つの取引業者で被害を受けた顧客が、他の取引業者で被害を受けることを防ぐことができると考えられます。
OpenID Foundationの策定する仕様である Shared Signals and Events (SSE) Frameworkを活用することで、世界標準に準拠し、相互運用性を担保した形でリアルタイムな情報連携が促進されることが期待されます。
- 家計簿ソフト等への影響とAPI対応の必要性
フィッシング耐性のある認証方式の導入により、Webスクレイピングを用いた家計簿ソフト等のサービス提供が困難となる可能性があります。家計簿ソフト等の利用が、顧客による強固な認証の利用を妨げないためには、金融APIへの対応が不可欠です。その際には、APIセキュリティを強化するため、OpenID Foundationが策定する「FAPI」の採用を強く推奨いたします。
- 本人確認、身元確認、当人認証の用語の使い分け
デジタル庁が令和5年に開催した「本人確認ガイドラインの改定に向けた有識者会議」による検討の結果、「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」において、「本人確認」は、「身元確認」と「当人認証」から構成されると明確に定義される見込みです。当団体が2023年に発表した「民間事業者向けデジタル本人確認ガイドライン」においても、同様に定義しております。本監督指針においても、本人確認と身元確認と当人認証の違いに留意され、より本監督指針の意図が明確に関係者に伝達されるように文言を見直されることを提言いたします。
今後の制度設計において、これらの点が十分に考慮されることを期待いたします。以下に具体的な修正案を提案いたします。
- 「フィッシング耐性のある多要素認証」の表現について
IIIー2ー8ー2ー2 主な着眼点
(2)セキュリティの確保
■修正案
「フィッシングに耐性のある多要素認証」「多要素認証」を、「フィッシングに耐性のある強固な認証」「強固な認証」に、それぞれ修正
- 認証器の登録・再登録時の本人確認の重要性
IIIー2ー8ー2ー2 主な着眼点
(2)セキュリティの確保
■修正案
「さらに、例えば、以下のような不正防止策を講じているか。」に、下記を追加・ 顧客の認証手段の設定時、再設定、もしくは解除時に、新たな認証手段と同等以上のフィッシング耐性のある認証、もしくは本人確認の実施
- 他業種との連携による本人確認の高度化
IIIー2ー8ー2ー2 主な着眼点
(2)セキュリティの確保
■修正案
注2に加えて、注3を以下のように追加
(注3)代替的な認証手段として、デジタル庁の提供するデジタル認証アプリの利用や、民間事業者が提供する本人確認支援サービスを認証要素の一つとして利用することも検討すること。特に後者を本人確認済顧客の認証手段の1つとして利用する場合には、当該事業者が必ずしも犯罪による収益の移転防止に関する法律第二条第二項に規定する特定事業者である必要はない。さらには、当該事業者が確実に本人確認を実施していることを確認するため、OpenID Connect for Identity Assurance等の国際的に標準化された技術仕様を用いて本人確認根拠情報の連携を行うことを検討すること。
- 業者間での情報連携による被害拡大防止
IIIー2ー8ー2ー2 主な着眼点
(2)セキュリティの確保
■修正案
「さらに、例えば、以下のような不正防止策を講じているか。」に、以下を追加・不正なログイン・異常な取引等を検知した場合に、OpenID Foundationが策定するShared Signals and Events (SSE) Frameworkを用いた被害状況のリアルタイムな業者間での情報連携等によって、当該顧客の他業者での被害拡大の防止に努めること。
- 家計簿ソフト等への影響とAPI対応の必要性
IIIー2ー8ー2ー2 主な着眼点
(2)セキュリティの確保
■修正案
注2、注3に加えて、注4を以下のように追加
(注4)顧客が電子決済等代行事業者が提供する家計簿サービス等を利用している場合において、電子決済等代行事業者が顧客の口座情報にアクセスする際に強固な認証手段を利用できないことによって、顧客による強固な認証手段の設定を妨げないように、オープンAPIを提供し、電子決済等代行事業者が安全な方法で顧客の口座情報等にアクセスできる手段を講じること。
また、オープンAPIの提供にあたっては、OpenID Foundationが策定するFAPI等のセキュリティプロファイルを用いるなど、不正アクセスの防止に努めること。
※ APIセキュリティプロファイルであるFAPIについては、日本銀行金融研究所ディスカッションペーパーをご参照のこと。