2020年に銀行口座からキャッシュレス決済事業者への不正出金が一斉に判明した問題で、銀行や決済サービス事業者がセキュリティ対策を強化した。その中で、頻繁に話題に出てくるのが「2要素認証」と「2段階認証」、そして「eKYC」だ。eKYCについては、携帯キャリアでもオンライン契約で導入を進めつつある。不正へのセキュリティ対策として、万全ではないし唯一の解でもないが、各社が採用を進めるこれらの技術について、一通りまとめてみたい。 2段階認証の例
オンラインで身元確認を行う「eKYC」
スマホ決済不正利用の問題は、大きく言えば「本人確認の問題」だ。この本人確認とは、「その人が確かにその人である」という身元確認と、「アクセスした人が確かにその人である」という当人認証という2つの意味を持っている。この2つは意味が異なり、それぞれのシーンにおいては確かに本人確認であるが、区別が必要だ。 身元確認とは、文字通りその人の身元を確認するもの。その人が確実に本人であることを明らかにするために、一般的には公的な身分証明書と本人を照合することで確認される。写真付き身分証明書としては運転免許証やマイナンバーカードが代表例だ。その身分証明書と本人が一致して、住所や氏名、電話番号などを登録するのが身元確認だ。法的には、銀行口座の開設には本来厳密な身元確認があるし、音声通話を利用する携帯電話の契約にも身元確認が必要だ。 こうした身元確認は「KYC(Know Your Customer)」という。身分証明書を使った身元確認では、通常は対面した状態で人の目で確認するが、これをスマートフォンのカメラなどを使って遠隔で行うのがeKYCだ。「electronic(電磁的な)」という言葉が付け加えられたわけだ。 eKYCは、基本的には顔写真付き身分証明書をスマートフォンのカメラで撮影。角度を変えて撮ることで、きちんと厚みがあって偽造ではないことを示し、さらに本人の顔を自撮りする。こちらも角度を変えて写真を張り付けるなどした偽物ではないことを示し、さらにランダムな指示に従って頭を動かすなど、過去の映像ではないことを証明する手法も組み込まれている。これを送信することで身元確認を行う。 顔写真付き身分証明書にICチップがあれば、それを読み込んで送信するといった、幾つか手法の違いはあるが、機械的なチェックとともに最終的に人間が目で確認するのは変わらない。 顔写真のない身分証明書でも、郵送などを組み合わせることで身元確認とする方法もある。銀行口座の開設でもこうした手法が法的に認められているが、ゆうちょ銀行が偽造証明書で口座を開設してしまった例もある。その点、eKYCは顔写真付き身分証明書限定だ。 eKYCのメリットは、現地に行かずに、いつでも身元確認できるようになることだ。人間のチェックが入るため即時対応できるわけではないが、深夜でもデータを送信しておくことはできる。時間と場所に制約されないという点は大きなメリットといえる。
からの記事と詳細 ( 「eKYC」「2要素認証」「2段階認証」は万全? スマホ決済や携帯のセキュリティ対策をおさらい(ITmedia Mobile) - Yahoo!ニュース )
https://ift.tt/3q2DB5M
確かに
No comments:
Post a Comment