日本で銀行口座を開設するときや、官公庁の窓口で手続きをするとき、本人確認として運転免許証や個人番号カード (マイナンバーカード) の提示を求められます。モバイル送金などのフィンテックサービスでも同様の手続きが必要で、サービスを使い始めるまでのハードルがどうしても高くなってしまいます。中国とエストニアの事例を取り上げ、インターネット時代にあわせた本人確認の手法の取り組みを紹介します。

支付宝の登録に必要な銀行カードとマイナンバーカード

よく「日本のフィンテックは本人確認がネックだ」と言われていますが、フィンテック大国の中国でもサービスの利用には銀行口座と中国版マイナンバーカード (居民身分証)が必要で、要求事項としては日本とさほど変わりません。ただ、一人でも多くの人がオンボーディング (登録して使い始めること) に成功するよう、銀行とスマホ決済事業者がフローの改善に努めてきました。

本人認証を携帯電話番号に一本化する中国の銀行

その最たる例が「携帯電話番号による銀行口座の本人確認」です。日本ではオンラインバンキングを使うのにログインID、複数のパスワード (第一、第二暗証番号)、さらにはセキュリティカード (乱数が印刷されている) やワンタイムパスワード生成器、法人であればICカードや電子証明書などが必要であり、銀行口座をサービスに登録するのに一苦労、二苦労もあります。オンラインバンキングに登録してない場合は窓口での手続きが必要だったり、通帳の記載事項を確認する銀行もあります。

図: 新生銀行のセキュリティ・カード。システムから指定された場所の英数字を答えることで認証します。 (例: D2 と指示されたら X と入力) 
(セキュリティ・カードとはどのようなカードか教えてください。 - よくあるご質問:FAQ | 新生銀行 より引用)

一方、支付宝 (Alipay) や微信支付 (WeChat Pay) を使い始めるときは、キャッシュカードと携帯電話さえあれば銀行口座にアクセスできます。銀行に登録した携帯電話番号に SMS が届くので、それで本人確認が完了します。

画像: 銀行から登録している携帯電話に届く数字6桁の確認コード。これを入力することで本人であることを証明し、手続きを進めます。

この仕組みが実現できるのは、中国では携帯電話番号を銀行がきちんと管理しているからです。中国では銀行口座の開設時に登録する携帯電話番号が本人のものであるのか、窓口で実際に SMS を受信してもらうことで確認しています。また回線の解約をした場合、電話会社から銀行にその事実が伝えられ、新しい携帯電話番号を登録するまで銀行口座は凍結されます。
「口座名義人が所有している携帯電話番号を銀行が正しく把握している」という仕組みを作り上げることにより、利用者は複雑なパスワードや認証デバイスを持ち歩く必要がなくなり、金融サービスへのオンボーディングがスムーズになったのです。

写真: 銀行口座の開設に用いる機器。携帯電話番号を入力すると SMS が来るので、そこに記載された確認番号を入力することで手続きを進められます。

(携帯電話がないと銀行サービスを全く使えないかというとそうでもなく、携帯電話番号を登録してない口座は支付宝や微信支付に登録できないだけで、キャッシュカードを使った店頭での取引は問題なく行えます。)

日本で銀行口座を開く際、住所こそ運転免許証の記載事項との照合をしますが、電話番号については本人の申告だけで確認は一切しません。窓口で「確認のため鳴らしてみますね」と言われたことすらありません。電話番号が変わっても更新をせずに使い続ける人も多いでしょう。日本の今の運用では、携帯電話番号は本人確認の手段になり得ないのです。

マイナンバーカードで本人の意思を確認してはいけない

日本では、本人確認の手段として一般に運転免許証や個人番号カード (マイナンバーカード) を用いています。多くの場面では「証券を提示している = 本人の意思である」という前提で運用されています。マイナンバー制度については、個人番号を厳重に扱うことをことさら強調した結果、「番号を教える = 本人の意思である」という誤解まで生じています。
そのため、マイナンバーカードのように個人番号が記載された身分証は持ち歩くのは危ないものと認識され、使い勝手がよろしくありません。ID を持ち歩くのではなく、パスワードを持ち歩いているようなものです。

中国の居民身分証はあくまで ID 、つまり名前としての役割であり、それを本人の意思とするには別の認証を加えています。例えば携帯電話を購入するときには、スマートフォンのカメラで自分を撮影し、さらに指示された数字を読み上げさせています。身分証の顔情報と照合することで本人確認としています。

動画: 指示された数字を読み上げた動画をアップロードすることで、本人の意思であることを確認します。
(腾讯王卡最新激活视频教程_腾讯视频 より引用)

また中国の高速鉄道 (新幹線) は、きっぷの代わりにマイナンバーカードを改札にかざすことで乗れるのですが、顔認証のゲートが駅の入口にあり、これにパスしないと電車には乗れません。このように ID と本人確認は別のモノとして捉えています。たとえ第三者が個人番号を手にいれたとしても別の手段で本人確認ができない限り、悪用はできないのです。

写真: 中国の鉄道は記名制です。きっぷの氏名と本人の顔を照合して本人であるかを確認しています。
(西安北站首次启用人脸识别检票机 剃光头可能过不了|西安北站|人脸识别-滚动新闻_华商网新闻 より引用)

遅れる外国人への対応とe-residency

中国版マイナンバーである居民身分証は中国 (中国大陸) の国籍を持っている人にしか発行されません。旅行者はもちろん、居留許可をとった長期滞在外国人すら持てません。例えばテンセントのスマート銀行「微衆銀行 (WeBank)」の口座開設は居民身分証を持つ中国籍の人以外は不可能です。

図: 微衆銀行のカスタマーサポートに「外国人は微衆銀行使えるの？」と聞いたところ「中華人民共和国の二代居民身分証を持った中国籍のひとしかつからないから無理」と言われてしまいました。

日本の場合、マイナンバーは日本に住民票を置くことで発行されます。日本人のほか、長期滞在の外国人でも取得できます。しかし「インバウンドに向けてQRコード決済！」と高らかに宣言しても、短期滞在の観光客にマイナンバーは発行されないので LINE Pay などの銀行口座を登録するサービスを外国人観光客は利用することはできません。

パスポートを本人確認として使うにも問題があります。パスポートは更新の度に番号が変わります。また二重国籍者を考慮すればパスポートは１人１冊とは限りません。そのため、本人の唯一性を継続して証明することができないのです。

外国人に金融サービスへのアクセスを与えるための取り組みはエストニアが参考になります。

エストニアはソビエト連邦から近年独立した小さな国であり、自国の経済規模はあまり大きくありません。そこで自国でのビジネスや金融サービスの利用を増やそうと、外国人に独自の ID を付与することにしました。それが e-Resident 制度です。

インターネットの発展により、居住地にとらわれることのないビジネスが生まれました。また WeWork や OYO のように世界中好きな場所で生活するスタイルも可能になってきています。そうしたニーズのある外国人は e-Resident ID を発行することで、エストニアの登記や税、金融のサービスを利用することができます。

エストニアは税制がシンプルで (タックスヘイブンではありません) 登記や会計などのオンライン化も進んでいます。こうした制度面での整備に加え、e-Resident により外国人の本人確認手段が確立したことで銀行などの伝統的な規制産業が世界を相手にビジネスできるようになりました。Holvi は e-Resident の ID があれば世界どこからでも法人口座を開設することができるオンライン専用の銀行です。

画像: Holvi の e-Residents 向け口座。"100% digitally" というのがカッコイイですね。(同社Webサイトより)

法人確認という新たなニーズ

本人確認はなにも個人だけが対象ではありません。会社で金融サービスなどの契約をするときには代表者の本人確認書類だけではなく登記簿や印鑑証明書など、個人以上に多くの書類が必要となり、本人確認の手間がとても煩雑です。

また法人は合併や分割、本社の移転や代表者の変更、担当者の退職など個人以上に想定すべきイベント (コーポレートアクション) が多いです。そのため、何か魅力的な SaaS があったとしても手続きのハードルの高さに尻込みし、契約に至らないケースが多々あります。仮に契約が成立しても、締結にかかる労力は決して小さくありませんし、前述のコーポレートアクションなどに対応するメンテナンスにもコストがかかります。

画像: 仮想通貨の口座を法人で開こうとしたときに求められた情報の数々。

以前紹介した 螞蟻金服 (Ant Financial) の芝麻信用は「芝麻企業認証」という法人確認のオンラインサービスを提供しています。法人番号や代表者の身分証番号、法人証明書のアップロードなどの画面を提供し、契約締結の相手方となる法人の確認を芝麻信用が代行してくれます。すでに芝麻信用を使用したことのある法人であれば、次からの契約では提出書類が簡略化されるメリットもあります。

画像: 芝麻企業認証 (螞蟻金服のWebサイトより)

エストニアの e-Resident では、自分が代表権を持つ会社のアクションも実行できるようになっています。e-Resident には認証 (本人確認) と署名 (本人の意思表明) の2つのパスワードが内蔵されていて、署名パスワードを用いることで、自分が代表権を持つ会社として電子署名をすることができます。

写真: e-Resident カードの証明書を用いて、契約書に電子署名をしました。

法人の本人確認という領域は、個人の本人確認に比べてサービスの整備が進んでおらず、フォーマットの統一や証憑収集の自動化、国を跨いだ契約処理など解決されてない多くの課題があり、問題解決の道のりは長いです。

本人確認はSaaSになる

これまでオンラインの取引は自国の金融サービスとオンラインショッピングがほとんどでしたが、フィンテックの進展により、保険や就労、起業や法人間取引など多くのサービスがインターネット上で行われるようになり、本人確認の機会が増加しています。一方、脱税やマネーロンダリングの防止のために精度の高い本人確認も必要とされます。

螞蟻金融は支付宝のユーザベースを活かして、本人確認の機能を外部に提供し始めました。例えば携帯電話をオンライン契約するアプリに螞蟻金融が提供する SDK を導入することで、螞蟻金融が本人確認手続きを代行してくれます。本人確認機能の開発の手間が省けるだけでなく、支付宝に登録しているユーザに向けて支付宝の登録情報を用いた迅速な本人確認フローをつくることができます。

画像: 芝麻認証は自社のアプリに本人確認機能を組み込めるサービスです (公式Webサイトより引用)

エストニアは、自国の認証基盤をフィンランドなど他国に輸出しはじめました。公共事業のコスト回収に寄与することはもちろんのこと、他国でも同様のシステムが稼働することにより、越境ビジネスへの対応を視野にいれることができます。

本人確認の手続きはユーザフローだけでなく法令への準拠、不正防止、さらにはセキュリティへの対応など、考慮すべき事項が多岐に渡ります。大量の個人情報を安全に扱うため、螞蟻金融もエストニアもブロックチェーンを用いた非中央集権型のデータベースの研究を積極的に進め、一部は既に稼働しています。フィンテックの進展により重要度が増した本人確認プロセスは、早々に個々の企業がそれぞれに開発する時代ではなくなり、専門的に取り組むプレイヤーが SaaS として提供するようになるでしょう。日本においても国、地方自治体、法務局、警察、社会保険、金融機関、携帯電話事業者など数多くのプレイヤーが別個に行ってきた本人確認という業務を整理し、フィンテックサービスの成長を促せる本人確認の仕組みを作り上げていくことが望まれます。

----

次回はフィンテックから離れて5Gの話をしようと思います。

お仕事募集中です。(お陰様でだいぶ埋まってきましたが、まだ余力があります)