TRUSTDOCKが考える、デジタルアイデンティティ社会実装の進め方〜BG2C FIN/SUM BB Report 2

　金融庁と日本経済新聞社が共催する、ブロックチェーン（分散型台帳）技術に関する国際会議「BG2C FIN/SUM BB」。

　「ブロックチェーンの健全な発展と新しいビジネス創造のために」をメインテーマに掲げ、8月24日〜25日の2日間で、東京・日本橋およびオンラインのハイブリッド型で開催された、大規模国際ビジネス＆テクノロジーカンファレンスである。

　レポート第2弾となる本記事では、「日本版デジタルアイデンティティの社会実装における課題と挑戦」というテーマで設置されたセッションの様子をお伝えする。Report1でもお伝えした個人の“アイデンティティ”について、日本ではマイナンバーカードの公的個人認証をはじめ、犯罪収益移転防止法のeKYC、OIDC for Identity Assurance等、デジタル上の環境整備が進んでいる。そのような背景のもと、規制に寄り添ったデジタルアイデンティティの社会実装はどうあるべきなのか。eKYCソリューション等を提供する株式会社TRUSTDOCKによる、「具体的な実装」に向けた概念とプロセスの解説がなされた。

千葉孝浩（写真左）
株式会社TRUSTDOCK 代表取締役

肥後彰秀（写真右）
株式会社TRUSTDOCK 取締役

「KYC as a Service」と「デジタル身分証」

　まずはTRUSTDOCKの事業内容について。同社は、あらゆる業種業態に応じたKYC業務を“API組み込み”のみで実現する「e-KYC/本人確認APIサービス」と、スマホ上で動く「デジタル身分証アプリ」を提供するスタートアップである。

　KYCとは “Know Your Customer” 、つまりは「本人確認業務」のこと。犯罪収益移転防止法をはじめ、携帯電話不正利用防止法や古物営業法、労働者派遣法、出会い系サイト規制法、民泊新法など、各種法律に準拠する形で実施されているものや、そうでなく業界の慣習やリスク防止の観点で任意的に行われているものまで、そのあり方は幅広く存在する。例えば銀行口座を作るときに本人確認書類を提示することや、マッチングアプリで年齢確認審査をする際に運転免許証画像などを送信することなどは、まさに企業のKYC業務で必要となるオペレーションというわけだ。

画像出典：TRUSTDOCKホームページ。犯罪収益移転防止法の「ホ」の要件、顧客から写真付き本人確認書類画像と本人の容貌画像の送信を受ける方法について、TRUSTDOCKアップローダーを貼った際の本人側オペレーションフロー図

　TRUSTDOCKでは、これら一つひとつのKYCオペレーションを業務レベルでモジュール化し、独立したAPI群として用意。「必要なタイミングで必要なAPIだけ提供する」という“KYC as a Service”の形態で提供している。よって、サービス事業者は本人確認用の管理画面開発や、オペレータの採用・教育、24時間体制でのシフト管理を行うことなく、低コストで本人確認を行うことが可能となっている。

　特に昨今の社会においては、コロナ禍を経てサービスの一部ないしは全てをオンライン化するトレンドが増加しているからこそ、同社ソリューションへのニーズは確実に高まっている。

「法律 x 技術 x 業務」のアプローチで、立体感ある現場の理解が必要

　そんなTRUSTDOCKは、元々はソーシャルメディアとシェアリングエコノミーに注力する株式会社ガイアックスの研究開発から生まれた会社だという。CtoCをベースにした一種の信用経済であるシェアリングエコノミーが普及していく途上で、必要となるアイデンティティのあり方を研究。その流れを受け、具体的な社会実装フェーズへと落とし込む必要があるとの考えから法人化し、当初は「株式会社デジタルアイデンティティ」という会社名のもと、「シェアリングID」なる概念の研究開発を進めていった。

　その後、2017年からは総務省事業の一環で秋田県湯沢市と「デジタル身分証」に関する実証実験を実施。マイナンバーカードの読み取りによる公的個人認証を用いた本人確認を実現するTRUSTDOCKアプリ（当時の名称は「TRUST DOCK 公的個人認証」）を公開し、併せて総務省の IoT サービス創出支援事業「デジタル身分証とスマートロックを利用した自治体スペースシェア」にて、秋田県湯沢市の自治体スペースシェアでの試験運用を行った。

　これを皮切りに、シェアリングIDから現在の公的個人認証等を含めた「デジタル身分証」へと事業をシフトし、現在に至るというわけだ。その背景には、以下3点の重要性への気づきがあったという。

現在の“本人確認書類”とは何なのか、それぞれへの理解と歴史
法律・規制などの“制度”への理解と、その背景にあるモノゴト
業種・業界ごとの“商慣習”への理解と、その背景にあるモノゴト

千葉氏：「最初はシェアリングIDをブロックチェーンでやるという、まさに山の頂上から始めようと思っていたのですが、どうやらそういう状況でもないことに気づきました。つまり、現在行われている本人確認プロセスは、その全てに意味があるということなんです。

まずは現場を理解しよう。テックの中身がどうこうではなく、現場の立体的な理解が必要だからこそ、「法律 x 技術 x 業務」のアプローチで、現場に寄り添ったe-KYC/本人確認APIサービスと、日本で唯一のデジタル身分証アプリを提供しています。」

デジタルアイデンティティとKYCは、コインの表と裏の関係

　BG2Cでは「デジタルアイデンティティ」というワードが頻出するのだが、その意味するところは様々だ。Report1でも議論の的となった「Self-Sovereign Identity（自己主権型アイデンティティ）」や、非中央集権型の識別子である「Decentralized Identifiers（分散型アイデンティティ、通称：DIDs）」、個人が自らの意思で自らのデータを蓄積・管理するためのシステム「Personal Data Store」など、複数のレイヤーにおける複数のワードが存在する。

　その中で、TRUSTDOCKが扱う領域は「Regulatory Digital Identyity」、つまり法律及び規制に準拠するデジタルアイデンティティということだ。

千葉氏：「24時間365日、毎日休まずにデジタルアイデンティティを研究開発している会社として、大きく4つ、関係性・相互運用生・連携・流通網という視点から、Regulatory Digital Identyityを“線”で捉えることが大事だと考えています。」

　どういうことか。

　世の中一般的にデジタルアイデンティティと聞くと、それは即ち、我々個人を代表とする「名乗る側」を示すものとなる。だが、これだけではデジタルアイデンティティがワークするものではない。その対面として、必ずそのデジタルアイデンティティを確認する「確かめる側」がいるというのだ。

　考えてみれば当然の話である。いくら個人に立脚したIDシステムを構築したところで、使われなければ意味がない。確かめる側の方法として、カスタマーデューデリジェンス（以下、CDD）やKYCがあるというわけだ。

千葉氏：「僕たちは、これらがコインの裏表の関係だと考えていて、この片方にだけ取り組むのはすごく危険だと思っています。だからこそ、まずはKYC側に取り組んで確かめる側の整備を進めつつ、デジタル身分証も開発・提供しています。」

　よく「完璧なデジタルアイデンティティシステム」が構築されたとしたら、KYCやCDDは必要ないのではないか、という議論がある。だがこれに対しては、千葉氏は極めて懐疑的だ。

千葉氏：「民間企業のCDDやKYCは確かめる側の話であって、誰がどの手段でどう名乗ろうが、それと関係なく必ず発生するプロセスだと考えています。つまり、CDDやKYCに、デジタルIDは直接的には関係がないということです。

まずは安全で安定的な手続きや取引の構築が目的なのであって、デジタルIDがどう作られているのかは、あい対する取引においては実は二の次ということになります。規制は常に後追いでできますし、トラブルの抑制や発生時の対応設計が必要なことから、CDDやKYCが今後も必須であることに変わりはないでしょう。」

確かめる側には、各々の「確かめたい方法」がある

　ここまでは同社のKYCサービスという「確かめる側」の話であったが、もう一つ、同社が手がけているデジタル身分証アプリの開発についても言及された。

肥後氏：「名乗る側のアプリであるデジタル身分証では、運転免許証はもちろん、マイナンバーやパスポート、在留カードなど、様々な本人確認書類に対応しています。また、運転免許証などの本人確認書類を持っていない人に向けて、NTTドコモや三菱UFJ銀行経由などのAPIも揃えています。このように、身分証を複数紐つけて、一つのスマホアプリの中に入れるようなイメージとなります。」

千葉氏：「この際に、ただ機能を実装するだけではダメで、法律や規制ごとに求められる要件が異なるので、例えばいつどのタイミングで渡すだとか、どのように記録を作るかなど、確かめる側の理解は必要不可欠です。」

　確かめる側には、各々の「確かめたい方法」というものがある。古物商を営む会社であれば古物営業法に準じた本人確認が必要だし、人材派遣業であれば労働派遣法や風営法等に準じた年齢確認が必要となる。また、明確な法律や規制がない業種業態の場合でも、反社チェックや任意の本人確認など、ユーザーオペレーションが発生するものについては、何かしらの本人確認処理を運用していることが多い。その一つひとつを確認し、咀嚼した上でシステムにのせることが、中長期的な「名乗る側」の利便性向上に繋がるということになる。

　今年7月には、福岡市の実証実験プロジェクトにも採択されており、行政手続きのデジタル化や効率化に向けた検討と、窓口業務等の実行プロセスにおける完遂度と満足度の検証を進めるとしている。

常に半歩先の未来に向けて段階的に進んでいく

千葉：「日本にいる外国人労働者が働く裏側で、実は僕たちが本人確認をしています。また彼らが本国に送金する際の裏側でも、僕らが本人確認をしています。生活サイクルの中に、すでに僕らが組み込まれている人たちが一定数いるわけです。」

　世界に目を向けると、実に10億人以上が個人のIDを持っておらず、Unbanked問題の一因として解決が望まれている。また日本においても、運転免許証の取得意識が逓減しており、マイナンバーカードを始め、健康保険証やパスポートなど、画一的な本人確認書類というものが定義しにくくなっている。

　一つのデバイスもしくはアプリでの集約対応ができるプラットフォームがSociety5.0時代においては必須となることは間違いなく、だからこそ、「名乗る側」だけでなく「確かめる側」も含めた両側保護のアプローチを進めるTRUSTDOCKソリューションは、グローバルスタンダードとなるポテンシャルを秘めていると言えるだろう。

千葉氏：「最後にまとめると、僕たちはまず、現行法の運用に載せれる形での社会実装を進めます。そのためにはデジタルIDをいきなりではなく、あらゆる本人確認プロセスを理解した上で束ねていきます。その上で、使う技術を問わず、デジタル化してきちっと保持をさせ、その次にやっと、最初からデジタルの視点でビルドアップしていくという実装が可能になります。これが、日本版デジタルアイデンティティの社会実装方法だと考えます。

社会全体は一足飛びにはいけない中、非常に泥臭くて面倒ですが誰かがやらねばならないところなので、僕らは常に半歩先の未来に向けて段階的に進んで参ります。」