銀行のオンライン本人確認手続きに見る「なりすまし」対策の実態

by

近年、銀行取引のデジタル化が急速に進む中、オンラインでの本人確認手続きの重要性が高まっています。今回は京都銀行と滋賀銀行のオンライン本人確認プロセスを通じて、金融機関がどのような対策を講じているのかを見ていきます。

QRコードからはじまる本人確認の流れ

まず最初に目に付くのは、紙の書類に印刷されたQRコードです。このQRコードをスマートフォンで読み取ると、本人確認用のウェブサイトへ誘導されます。QRコードは情報を暗号化して格納できるため、本人確認に必要な情報や認証キーを安全に伝える手段として使われています。

スマートフォンのカメラアプリでQRコードを読み取ると「Chromeで開く」というボタンが表示され、タップするとブラウザが起動します。この時点で表示されるURLは「kyotobank.bstsehub.com」や「fatf.dpost-k.jp」といった専用のドメインです。

利用者情報の確認プロセス

ウェブサイトに接続すると、「お客さま情報等確認のお手続き」という画面が表示されます。ここでは段階的に情報を入力していきます。

  1. 外国PEPs(Politically Exposed Persons)への該当有無
  2. 制裁対象国との取引の有無
  3. 取引目的(生活費決済など)
  4. 職業や事業内容

PEPsとは「政治的に影響力のある人物」のことで、外国の元首や政府高官、中央銀行幹部などの地位にある人(過去に対象だった人も含む)やその家族を指します。マネーロンダリング(資金洗浄)対策の一環として、銀行は顧客がPEPsに該当するかどうかを確認する義務があります。

本人確認書類のアップロード

次に本人確認書類の提出を求められます。日本国籍の方は運転免許証、運転経歴証明書、保険証のいずれかを、外国籍の方は在留カードや特別永住者証明書を提出します。

注目すべきは、書類の表面だけでなく裏面も含めて提出する必要がある点です。また、提出する画像は5MB以内のJPEG/JPG形式に限定されており、証明書の端が切れていないことを確認するよう指示があります。

個人情報の入力と確認

本人確認書類をアップロードした後、個人情報を入力します。氏名(フリガナ)、生年月日、住所、電話番号、メールアドレス、勤務先などの情報を入力し、最終的に入力内容を確認します。

入力した情報は画面上で確認でき、修正が必要な場合は「ご入力内容を修正する」ボタンから変更できます。情報の確認後、「OK」ボタンをクリックすると登録が完了します。

セキュリティ対策の多層構造

この一連の流れから、銀行のオンライン本人確認における多層的なセキュリティ対策が見えてきます。

  1. 物理的な郵送物とデジタル認証の組み合わせ: 紙の書類に印刷されたQRコードを使用することで、郵便物を受け取った人だけが次のステップに進めるようになっています。
  2. 詳細な個人情報の照合: 名前、住所、生年月日などの基本情報に加え、本人確認書類の画像データを照合することで、なりすましのリスクを低減しています。
  3. 国際的な金融規制への対応: PEPsや制裁対象国との取引確認は、マネーロンダリングやテロ資金供与対策として国際的に求められている対応です。FATFという国際的な資金洗浄対策の枠組みに基づいた対応が行われています。
  4. 複数ステップの認証プロセス: 一度に全ての情報を入力するのではなく、段階的に情報を入力・確認する仕組みになっています。これにより、途中でエラーや不正が発見された場合に早期に対処できます。

課題と今後の展望

このようなオンライン本人確認の仕組みは便利である一方、いくつかの課題も見えてきます。

特に高齢者や技術に不慣れな人にとっては、スマートフォンでのQRコード読み取りや画像のアップロードが難しい場合があります。また、URLが「bstsehub.com」や「dpost-k.jp」といった一見して公式かどうか判断しづらいドメインである点も、フィッシング詐欺との見分けが難しいという課題があります。

銀行のオンライン本人確認は、利便性とセキュリティのバランスを取りながら進化しています。今回見た京都銀行と滋賀銀行の例は、日本の金融機関がデジタル化の波に対応しつつも、厳格な本人確認を維持しようとする姿勢を示しています。

このようなオンライン本人確認プロセスは、今後も技術の進化とともに改良されていくでしょう。生体認証やAIを活用した本人確認技術の導入なども検討されています。

まとめ

銀行のオンライン本人確認手続きは、物理的な要素(郵送物)とデジタル認証を組み合わせた多層的なセキュリティ対策によって、安全性を確保しています。KYC(Know Your Customer:顧客確認)とAML(Anti-Money Laundering:マネーロンダリング対策)の国際基準に対応したこの仕組みは、銀行取引のデジタル化が進む中で、今後も重要な役割を果たしていくでしょう。