IT資産管理とは?ツールの目的や活用メリット、選定ポイントを解説
企業におけるIT資産管理は、現代のビジネス運営において非常に重要な役割を果たしています。企業が保有す...
ヤマトシステム開発株式会社
eKYCが企業と利用者の双方でメリットがある仕組みであるために、金融サービスの口座開設など、本人確認を求めるサービスで業務としての適用・運用が進んでいます。その結果、手続きの簡略化とコストの削減に繋がっています。
その反面、本人確認書類を撮影しただけで、マスキングを施さないと法的に抵触したり、個人情報、機微情報※の漏洩になる要因がはらんだりと、新たなリスクを抱えます。
本記事では、マイナンバーカードをはじめとした本人確認書類を、企業側がeKYCで活用するにあたり、マスキングを施すべき情報について解説します。また、ヤマトシステム開発の企業向けサービスである「証明書類Web取得サービス」の活用方法にも触れていきます。
※機微情報とは、人種や信条、社会的身分、病歴、犯罪の経歴などを指します。本人確認のために顔写真や現住所などは必要ですが、不要な情報は受理してはいけません。
2016年1月1日以降、マイナンバーカードを本人確認書類として用いることが可能ですが、個人番号などの情報収集は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」第15条および第20条に基づき、原則として禁止されています。
その他、本人確認の際にお客様がマイナンバーカードを提示された場合は、企業側が個人番号を書き写すこと、マイナンバーカードの裏面のコピーを取ることは、法律で禁止されています。
個人番号が記載されている裏面のコピーが可能なのは、条件を満たす場合に限られます。満たす条件とは、行政機関や雇用主などの決められた機関のみ、コピー・保管が認められています。 したがって、マイナンバーカードは、金融機関などの本人確認が必要な窓口において、本人確認書類の一つとして利用できます。
しかし、法律に規定されていない機関や事業者の窓口において、個人番号が記載されている裏面をコピー・保管することは法律違反となります。 また、お客様が提出したマイナンバーカードの写しにより本人確認を行う場合に、裏面の写しを受理した場合は、裏面の写しを復元不可能にして破棄するか、個人番号の部分を復元できない程度にマスキングを施したうえで当該写しを確認記録に添付することが必要です。
マイナンバーカードの裏面には、12桁の個人番号とともに、個人番号が記録された二次元コードが記載されています。この二次元コードを他人のスマートフォン等で読み取られると、容易に個人番号が流出する恐れがあります。 また、個人番号だけではなく臓器提供の意思という機微情報も表示されており、他人が容易に目視できないように隠す目的の保管ケースが付属されています。
しかし、このケースは、二次元コードが隠れていないので、セキュリティは万全ではありません。 裏面にリスク要因を持つマイナンバーカードは、外出時に紛失するケースや、ショップ会員の登録で店員に身分証明書としてコピーを取られるケースなど、他人に個人番号を知られるリスクが高いと言っても過言ではないでしょう。
マイナンバーカードの表面には、氏名、住所、生年月日、性別、顔写真と、本人であることを確認できる情報がそろっています。住所変更の記載が裏面にある運転免許証や、顔写真がない健康保険証は、表裏のコピーを用意したり、他の身分を証明する書類を添えて提出したりするなど手間がかかります。
しかし、マイナンバーカードは表面のみ提示すれば本人確認書類として通用するために使い勝手が良く便利です。表面ではなく、裏面に個人番号が記載されていることが重要なポイントとなります。
本人が企業に本人確認書類を提出する際のマスキングについて、現状では本人がマスキングを施すことが一般的です。以下、4種類の方法・パターンを紹介しますが、特に「郵送する場合」と「アプリで送付する場合」が該当します。
【郵送する場合】
1.本人確認書類に記載されている機微情報に対し、付箋・マスキングテープや紙片などでマスキング
2.マスキングした本人確認書類をコピー、郵送手続き
【アプリで送付する場合1】
1.郵送の場合と同様に機微情報を付箋・マスキングテープや紙片などでマスキング
2.マスキングした本人確認書類の画像をアップロード
【アプリで送付する場合2】
1.本人確認書類を撮影後、画像編集ソフトを活用して機微情報をマスキング
2.マスキングした本人確認書類の画像をアップロード
【企業側で自動マスキング機能を持つ場合】
1.利用者は本人確認書類を撮影後、画像をアップロードする
2.企業側が不要項目に対して自動でマスキング処理
以下の注意点を認識したうえで、正しいマスキングを施しましょう。
1.提示が必要な情報(氏名や住所など)が隠れてない
2.マスキング対象の機微情報にマスキング処理をしている
3.画像編集ソフト活用する場合は、編集時に他の情報の編集も可能な状態にする
マスキングが必要な項目は、個人情報のうちの個人関連情報と機微情報の2つです。機微情報というのは、臓器提供意思の有無、個別に付与された番号、本籍地、障害の等級、犯歴といった情報で受け取ってはなりません。 マスキングが必要となる情報は、本人確認書類・身分証明書ごとに異なります。
| マイナンバーカード | 表面の「性別」「臓器提供意思表示欄」 (※裏面は受理不可) |
| 運転免許証 | 「免許の条件等欄」「臓器提供意思表示欄」 |
| 健康保険証 | 「保険者番号」「記号」「番号」「性別」 「二次元コード」「枝番」「臓器提供欄」など |
| 住民基本台帳カード | 「性別」 |
| 住民票 | 「個人番号(マイナンバー)」「本籍地」「性別」 |
| パスポート | 「性別」 |
| 身体障害者手帳・療育手帳・精神障害者保健福祉手帳 | 「障害名」「障害の等級」「性別」 |
| 年金証書 | 「基礎年金番号」 |
| 特別永住者証明書 | 「性別」 |
| 在留カード | なし |
2020年10月1日より施行された「健康保険法改正」により、「記号」と「番号」が個人単位化されました。本人確認書類として健康保険証を用いる場合、プライバシー保護の観点から機微情報として扱われ、「保険者番号」と「二次元コード」の情報提供が不要になったことで、マスキング対象の項目に加わりました。
法的に縛りがあるマイナンバーカードの裏面の写しがアップロードされた場合、即破棄が原則ですが、法的な縛りがない書類に関しては、たとえ不備がなくても企業が破棄するかマスキング処理を行います。基本的には受理せずに、書類の再提出をお願いする企業が多いです。
すべての機微情報にマスキングを施しているかを判断したうえで、本人確認書類として認められたものを後続する手続きに進めさせなければなりません。不合格とみなされた本人確認書類は、企業側のルールに従って処理を行う必要があります。この際の判定作業と不合格の処理による負荷は大きいです。
画像アップロード時のセキュリティを確保できれば、自動で処理を行う「自動マスキング」により、お客様自身がマスキングを行わなくて済むだけでなく、本人確認書類のマスキングの合否判定も必要なくなるため一考の価値があります。
マスキングの合否判定で合格した本人確認書類の画像が、企業側へ提出した手続き書類と個人情報の突合確認により、本人であることが証明されると、その後は企業の本来の事務手続き処理に進むことになります。
マスキングの合否判定と本人であることの認定作業は、企業の本業ではありませんが、非常に重要な工程の一つです。そして、この作業を自動化するには、紐づけするシステム開発が欠かせないことから、人手や目検に頼る範疇とはいえ、アウトソースが可能な工程であると考えられます。
ヤマトシステム開発の「証明書類Web取得サービス」は、手続き書類と本人確認書類の突合を行うアウトソーシングを提供しています。企業における負荷の大きい作業や処理を外部委託することで、本業に専念できます。 自動マスキングを導入したとしても、突合作業は人手に頼らざるを得ないのであれば、「証明書類Web取得サービス」を活用し、本人確認書類のマスキングの合否判定を行うことで、法律や各社の企業ルールに則ったきめ細やかな対応が実現できるでしょう。
eKYCを端に発するオンライン完結の本人認証サービスは、手続き処理のオンライン化が進む現代社会において欠かせない存在です。しかし、個人情報や身分証をネット上にアップロードすることは、企業にとっては不正利用のリスクと常に隣り合わせだということは間違いありません。
セキュリティ面も含めて、ヤマトシステム開発は、本人確認書類をWeb上で回収できる「証明書類Web取得サービス」を提供しています。金融機関に限らず、オンラインでの本人確認を必要とする企業様は、このような本人認証に関わる外部サービスを積極的に活用して、負荷の大きい作業を効率化してみてはいかがでしょうか。
企業におけるIT資産管理は、現代のビジネス運営において非常に重要な役割を果たしています。企業が保有す...
名刺はビジネスにおいて重要な情報源です。しかし、紙のまま名刺フォルダーや名刺ボックスを使って個人で名...
GIGAスクール構想は、全ての生徒に対して1人1台の端末整備と、高速大容量の通信ネットワークの整備を...
Windows10は、2015年にマイクロソフトからリリースされたオペレーティングシステムです。セキ...
2024年12月2日で健康保険証の新規発行が停止され、それに伴い犯収法上の「本人確認書類」から「健康...