マイナンバーカードを用いた本人確認はどのように行なわれるのか

2025年6月にデジタル庁で開催された「マイナンバーカードの利用に関する恋愛・結婚マッチングアプリ協会との協定締結式」において紹介されたスライド。民間活用を広く開拓していくことで利便性や本人確認の安全性を担保していく

先日、朝日新聞など複数の報道機関で「マイナカード偽造容疑で中国の男逮捕」といったニュースが流れた。報道によれば、逮捕された人物は2022年12月にマイナンバーカードを偽造し、23年3月にこの偽造カードを使って日本国内の暗号通貨取引所を運営する事業者にアカウントの新規開設を申請したものの、未遂に終わったという。

事業者は本人確認のために申請時に提示されたマイナンバーカードに記載の住所に書類を送ったものの、そのまま返送されてきたためアカウントが開設されなかったことが理由だ。後に当該の人物は別件で自宅が家宅捜索されたことで偽造マイナンバーカードが発見され、逮捕につながった。偽造されたカードの顔写真は当該の人物だが、住所は以前に同人物が住んでいたものが記載され、名前は日本人の偽名が記されていたという。

報道ではマネーロンダリングを行なうグループの一員であることに触れられているが、ここでのポイントの1つは“本人確認”がきちんと行なわれたことで将来的な犯罪の芽を事前に摘むのに成功したことにある。

こうした金融などを含む各種サービスにおける本人確認の必要性は警察庁が管轄する「犯罪収益移転防止法(犯収法)」の中で説明されているが、近年は携帯電話契約時の本人確認の厳格化など、その適用をより厳格に行なう方向に向きつつある。今回はこのあたりの情報を整理する。

「対面」と「非対面」の"本人確認"

本人確認が求められる場合、「対面」と「非対面」の2種類のシチュエーションが存在する。

「対面」は例えば銀行の窓口などで口座開設時に身分証を求められる状態で、係員が本人の提出した身分証明書を確認することで"本人確認"とする。近年は偽造された公的身分証明書の存在が問題になっており、より厳格化のためにマイナンバーカードなどのカード券面情報の確認にとどまらず、カードに内蔵された"ICチップ"を読み取ることで、カードが本物であり、かつ窓口に現れた本人のものであるかどうかを確認する方向へと進みつつある。

これは、券面は精巧に再現できたとしても、ICチップの情報まで偽造することは非常に難しいという性質を利用したもの。現在、マイナンバーカード、運転免許証、(外国人向けの)在留カードが主に"本人確認"のための身分証明書として活用されているが、これらはすべてICチップを内蔵しており、その検証を通して真贋判定が可能になっている。

逆に、従来まで本人確認書類として通用していたものの、現在では"単体では利用できない"ものは、健康保険証のようにICチップを搭載していなかったり、パスポートのように現住所が記されていないといった何らかの"不足"があることを意味する。実際、厳格な"本人確認"で先行する携帯電話契約ではICチップ確認が必須化されており、「対面」時での"本人確認"がより厳密なものとなっている。

対面取引の例。これは三井住友銀行の渋谷支店においてマイナンバーカードを使った対面での本人確認デモンストレーションを当時のデジタル大臣だった河野太郎氏が行なっているところ

一方で、今回着目したいのは「非対面」の方だ。昨今はスマートフォン経由で"本人確認"が必要な銀行口座開設や各種サービスの申し込みが可能となっているが、このように「非対面」ながら"電子的"な手段で"本人確認"を行なう仕組みは「eKYC(electronic Know Your Customer)」などと呼ばれる。

「非対面」ゆえに本人でない者がサービスの申し込みを行なうケースがより想定されるため、より厳格な"本人確認"を行ない、セキュリティレベルを一定程度に保つには何らかの工夫が必要だ。運転免許証などの身分証明書の券面を"厚み"を込みで撮影し、さらに身分証明書に記載の写真に写っている人物が実際に申請していることを示すため、首を振る動画を撮影させたりと、eKYCにもさまざまな工夫が施されていたりする。

冒頭で触れた偽造マイナンバーカードのケースだが、暗号通貨取引所での口座開設で行なったのは、このeKYCによるオンラインでの申請となる。

eKYCでどのような“本人確認”の方法が可能かは、警察庁の「犯罪収益移転防止法の概要」で説明されているが、今回用いられたのは、この中の5の項目にある下記の方法だと思われる。

「チ方式」と呼ばれるものの(3)にあたる部分で、取引所を運営する事業者に対して本人確認書類を撮影して送付し、そこに記載されている住所に転送不要の郵便物を送付することで本人確認を行なう。この書類を受け取ってはじめて口座開設が可能になるというわけだ。

なぜ「チ方式の(3)」なのかといえば、前述のようにICチップの偽造までは行なわれず、偽造カードの撮影画像を事業者へと送付した可能性が高く、そこに写っていた住所に対して事業者が転送不要の郵便物を送付したもののそのまま返送されてきたため、"本人確認"が行なわれなかったため口座開設に失敗したという流れになったからだ。

顧客等又は代表者等から、特定事業者が提供するソフトウェアを使用して、本人確認用画像情報(当該ソフトウェアにより撮影された本人確認書類(23ページ1①又は②のうち一を限り発行されたもの))の送信を受けるとともに、当該本人確認用画像情報に記録されている顧客等の住居宛に、取引関係文書を書留郵便等により、転送不要郵便物等として送付する方法

「犯罪収益移転防止法の概要」から当該ページを抜粋したもの。赤枠の部分が該当する

確認可能書類が1点というところから、「チ方式」の(3)を選んだ可能性が高いとみられる(出典：警察庁)

法律改正によって"本人確認"はどう変化するのか

「犯罪収益移転防止法の概要」でも説明されているように、eKYCの方法は複数存在している。

「非対面」での"本人確認"では項目順に「ホヘト……」の"いろは"読みで方式名が割り当てられているが、これは犯罪収益移転防止法に修正がかかるたびに項目の廃止や変更が行なわれるため、そのたびに順番が入れ替わるというやや面倒臭い状態になっている。

先ほど紹介したPDFリンクの文章では「令和7年6月24日時点(2025年6月24日時点)」となっているが、この時点で法律改正され、6月23日以前とは内容が変わって項目の追加が行なわれている。

何が変化したのかといえば、「ル方式」に新たに「カード代替電磁的記録」による"本人確認"の方法が追加されている。6月24日にスタートした「iPhoneのマイナンバーカード」向けに追加された方式だ。

2025年6月24日より新たに追加された「ル方式」に関する記述

加えて、「非対面」でのeKYCによる"本人確認"ではさらなる厳格化のため、従来主流だったICチップを使わない本人確認方式を「令和9年4月1日(2027年4月1日)」をもって廃止する予定だ。例によってまた名称が変更され順番が入れ替わるが、これについて先日会見を行なった「みんなの銀行」が比較的分かりやすい表を用意していたので、ここで利用させていただく。

同社はスマートフォンアプリでの口座開設にマイナンバーカードを用いた公的個人認証(JPKI)による"本人確認"を7月中旬から導入しており、その説明の図版だ。JPKIを用いた"本人確認"は今年5月23日までは「ワ方式」だったが、本サービス開始時には「カ方式」になっている。これが、2027年4月1日以降はさらに「ヲ方式」となる。

みんなの銀行でのプレゼンテーションの説明資料。さらに詳細な解説は本文を参照のこと

JPKIを用いた(現状の)「カ方式」では、署名用電子証明書のパスワードを入力することで本人確認が行なわれる。では、同じくICチップと本人をその場で撮影したセルフィー写真(容貌撮影)を組み合わせる(現状の)「ヘ方式」との違いは、「カ方式」ではパスワード入力を経由して先方に提供される電子証明書によって本人であることを証明するのに対し、「ヘ方式」では本人確認の部分をICチップ内の画像データと撮影したセルフィー写真のデータを照合することで行なっている点にある。

どちらもICチップ内のデータを用いている点には変わりないが、パスワードを用いるのか顔認証を用いるのかの違いだと考えればいい。シンプルさでいえば「カ方式」だが、「ヘ方式」でもセキュリティレベルが下がるといったわけではないため、両方サポートされたうえでユーザーが好みで選ぶというパターンがいいと思われる。

では、2027年4月1日の改正で何が変わるのか。Trustdockの解説にあるように、大枠では現行の「ホ方式」「リ方式」が廃止されて再び並び順が変わり、さらに住民基本台帳法の"外側"にいる海外在住者を対象とした新しい「ワ方式」「カ方式」が追加される。現行の「ホ方式」はICチップの代わりに身分証明書のカード券面を撮影して送信する方法。もう一方の「リ方式」は本人確認のための書類2点の"写し"を事業者に送付し、転送不要郵便物を指定住所に送付することで"本人確認"とするものだが、そもそも"写し"を送付するという時点で偽造や改ざんのリスクが存在し、近年の偽造技術の向上によってさらにリスクが高まっているため、これを機会に一気に安全な方法へと舵を切ったという流れだ。

新「ワ方式」「カ方式」については、海外在住者によってマイナンバーカード自体が扱いにくかったという問題があり、その解決策として提案されたものと考えられる。

UI/UXの向上が"本人確認"の利用率を引き上げる

一般に、セキュリティの向上と使い勝手は相反する関係があり、安全性を高める施策を施せば施すほど使い勝手は悪くなる傾向がある。例えば認証精度を上げるためにパスワードを複数用意したり、専用のハードウェアキーを用意するとセキュリティは向上するが、利用者にとっては面倒なだけだ。安全な取引や犯罪対策のための"本人確認"がインターネット上のさまざまなサービスを利用するうえで必要とされているが、本人確認プロセスが面倒では肝心のサービスを上手く利用してもらえない。

PayPayなどの決済サービス事業者が登録ユーザー数と同時に毎回本人確認済みユーザー数をアピールするのも、こうしたハードルをいかに越えてユーザーを"本人確認"の先に誘導できたかを誇示するためでもある。

そのため、サービス上で"本人確認"を必須とする事業者は、それぞれに創意工夫を凝らしてこの壁をユーザーに上手く突破してもらえるよう試行錯誤を続けている。

例えば先日発表会を開催したマッチングサービスのペアーズ(Pairs)では、ユーザーが本人確認プロセスにおいてどこで躓いているかを分析し、UI/UXを改良することでより多くのユーザーにICチップ経由による"本人確認"を利用してもらえるようになったという。このように面倒な作業ではあるものの、インターネットの世界においては誰が実際にサービスを利用しているかを"確実に確認"するための手段は"本人確認"であり、それをより確実なものとするのが一連の施策だといえる。

ペアーズではJPKIによるeKYCに対応

マイナンバーカードを提示する際のUI/UXの見直しにより、同方式を用いての本人確認利用率が向上したという