近年さまざまな産業のデジタル化が進む一方で、金融取引におけるリスクの高まりが指摘されている。情報環境の変動に伴い新たな規制もつくられる中、どのようにデジタルを活用しながらセキュリティに取り組んでいくべきなのか。10月14日に行われたFIT2021（金融国際情報技術展　主催：日本金融通信社）では、金融業におけるこれからのセキュリティのあり方が明かされた。

安全・安心な社会をつくる4種類のeKYC

　コロナ禍によって社会のデジタル化は加速し、領域を問わずさまざまなサービスがオンライン上で完結するようになりつつある。しかしあらゆるサービスがオンライン化しつながることは、個人情報などが流出し悪用されるリスクが高まることでもあるだろう。デジタル化の推進とセキュリティの強化は不可分にあるはずだ。

　「セキュリティリスクへ対応する上で今注目されているのが、本人確認の仕組みです。相次ぐ口座不正取引の発覚やFATF勧告によるAML/CFT対策の強化に伴い、厳格かつ継続的な本人確認が求められていく中で、犯罪収益移転防止法（以下、犯収法）の改正を受けて『eKYC』と呼ばれるオンラインで完結する本人確認がより重要になっていくとわたしたちは考えています」

　そう語るのはNEC デジタルインテグレーション本部 マネージャー 山下隆だ。NECは、安全・安心なデジタル社会を実現すべくeKYCの活用を進めており、活用の機会も口座開設などの金融サービスはもちろん、携帯キャリアの回線契約や各種行政手続きなど多くの場に広がっている。山下によれば、本人の顔画像や銀行情報、マイナンバーカードなど「eKYC」に活用できる情報は複数あり、NECは活用シーンやニーズに合わせて4つの手法を提供しているという。

　顔認証を活用した「Digital KYC」は、スマホクライアントSDKタイプの本人照合SDK （Software Development Kit）と、ウェブブラウザベースで利用可能な本人照合WEBという2つのタイプを提供している。これは犯収法6条1項1号「ホ」または「ヘ」に対応し、本人確認書類の顔画像と、スマホなどで撮影された本人容貌を顔認証技術で照合するものだ。MM総研大賞2021のスマートソリューション部門セキュリティ分野で最優秀賞を受賞するなど、スマホで簡単な本人確認を行える点が高く評価されている。

　3つめは、顔写真ではなく銀行のもつ情報を活用した「マルチバンク本人確認プラットフォーム」の提供だ。これは犯収法「ト（1）」に対応し、銀行が保有する本人特定事項（氏名、住所、生年月日）を本人の同意に基づいた上で事業者へオープンAPI形式で提供することで本人確認が可能となるサービスである。すでに約6,200万口座が同プラットフォームに対応しており、現在参加しているメガバンク・地銀の9行の他50行以上の銀行が参加を検討中だ。

　4つめの手法は、犯収法「ワ」に対応する「マイナンバーカード認証サービス」。マイナンバーカードのICチップを読み取り、電子証明書を活用することで本人確認を行える本サービスは、総務大臣から認定された企業のみが提供できるもの。もちろんNECは認定を取得しており、今後マイナンバーカードが広まるにつれてさらに活用の場も広がっていく予定だ。

　「eKYCの入り口を増やすことでユーザビリティを上げ、世界No.1(※1)の精度を誇る顔認証技術を使ったDigital IDとの連携により、安全・安心と利便性の両立を実現していきます。さらにはより便利な決済プラットフォームやDigital IDと紐付いた情報に基づきパーソナライズされたサービスを提供するなど、ユーザも事業者も公的機関もつながる世界を実現していきたいと考えています」

　そう山下が語るとおり、デジタル社会におけるeKYCとは、単にセキュリティリスクへと対応するものではなく、より便利で快適な顧客体験を生み出すために使われていくことになるのだろう。

• （※1) 米国国立標準技術研究所(NIST)による顔認証ベンチマークテストでこれまでにNo.1を複数回獲得
  https://jpn.nec.com/biometrics/face/history.html
  NISTによる評価結果は米国政府による特定のシステム、製品、サービス、企業を推奨するものではありません。

不公正取引対策へのAI活用～AIと人間が融合するために必要な「解釈性」とは

　より複雑化するリスクや規制へ対応するためには、一社だけではなく複数の企業が協力していく必要があるだろう。NECもデジタル社会の中心となる金融取引を対象に「Digital Finance」というコンセプトを実現すべく顔認証やAI、ブロックチェーンといった先端技術を活用したサービスを開発し、多くの企業とのコラボレーションを進めている。

　「NECはDigital Financeを実現するために、お客様接点改革、業務改革、リスク対策という3つのカテゴリごとにサービスを提供しています。なかでもリスク対策において注力しているのが、AI不正・リスク検知サービスです。本サービスはAML(※2)向けのサービスと証券向けのサービスから構成されており、証券サービスにおいてはSBI証券との取り組みを進めています」

　NEC 金融システム本部 プロジェクトマネージャー 成田昇平がそう語るように、リスク対策においてはAIの活用が鍵となる。取引の数が増えれば増えるほど従来の不公正取引の審査業務は負荷が増大していき、人間だけで処理することが難しくなるからだ。成田は「本サービスではAIモデルによるスコアリング結果をSaaSとして提供することで審査業務の効率化・高度化に取り組んでいます」と続け、AI活用は単純な白黒判定ではなく怪しさの度合いを数値化できること、多くの情報を分析することで多角的な判断を可能にすること、人の思い込みを排除できることという3つのメリットを生み出すことを明かす。

• (※2) Anti-Money Laundering アンチ・マネーロンダリング

　NECのAI不正・リスク検知サービスによって、SBI証券は2017年より不公正取引対策にAIの導入を進めているという。これまでSBI証券は顧客取引を起点として自社の顧客情報や過去の審査結果などを参考に取引が公正なものか審査してきたが、業務負荷の増大のみならず専門人材の育成や審査の複雑化に課題を抱えていた。そこでAIを導入することで審査業務の効率化・平準化・高度化を図ったというわけだ。

　「審査業務の中でも相場操縦取引審査については2017年からAI適用による実証実験を開始し、2019年からは証券コンソーシアムを立ち上げて業界を横断的につなぐ活動を展開してきました。同年12月からは実際にAIを導入し、現在運用を進めています。他方で、インサイダー取引審査は不公正取引か否かの判断が難しくより高度な技術が求められます。そこでわたしたちは昨年から国内初となるインサイダー取引へのAI導入検証を進めており、2022年から本格的な導入を予定しています」

　株式会社SBI証券 売買審査部 次長 田尻啓太氏はそう語り、同社が着実にAIの導入を進めてきたことを明かす。田尻氏によれば、インサイダー取引審査においてはNECのホワイトボックス型AIアルゴリズムである「異種混合学習」を採用したことがポイントだったという。今回生成したAIモデルは、過去に人が実施した判定結果を教師ラベルとして人の判断と近い判定を行うものだ。実証実験では一次審査で90％もの効率化を図るなど、確かな手ごたえを得たという。

　「AIを実務で活用するためには、判定の精度だけではなくAIが判定した理由を解釈できる必要があります。単にスコアをつけて危険性を判断できたとしても、外部機関へ届け出する際には、“なぜ届出対象としたか”の理由が必要となるため、判定理由がブラックボックス化してしまうと不公正取引の審査には使いづらくなってしまいます。また、判定理由が分かることで、AIの判断に納得感が持てること、審査員がきちんとAIの審査観点を把握できることで審査員のスキル向上にもつながること、AIが正しい判定ができているのかを定期的に検査して最適化していくことができる等の効果も期待できるでしょう」

　田尻氏がそう語るように、単にAI技術を導入すればリスク対策が完了するわけではない。むしろ導入は始まりに過ぎず、導入後も改善を続け日々AIを成長させていくことで、リスク対策の更なる効率化・平準化、そして高度化が期待できるだろう。

多要素認証と外部連携で口座不正利用を防止

　NECとSBIグループの取り組みは、不公正取引対策だけにとどまるものではない。日々リスクが拡大していくからこそ、多面的な取り組みが続けられているのだ。なかでも先進的なものの一つが、SBIセキュリティ・ソリューションズとNECによる合弁会社SBIデジトラストによる、本人確認済みIDの発行と多要素認証を両立する「Trust Idiom®」だろう。

　「金融機関が外部サービスとの連携を進めるなかで、口座の不正利用や不正出金といったトラブルも生じるようになりました。リスク対策のために全国銀行協会が発行した口座連携へのガイドラインに応じて従来のセキュリティの限界に対処するだけでなく、FinTechサービスの発展や金融サービスのオープン化へ対応するうえでも、不正利用を防ぐことは非常に重要です」

　SBIデジトラスト株式会社 セールスマネージャー 脇山慧介氏はそう語り、金融機関として身元確認や当人認証について実行的な多要素認証の導入が求められていることを明かす。銀行口座とオンライン決済などのサービス連携が増えていくなかで、顧客の利便性を重視したことで生じる本人確認の脆弱性が同社内では課題となっていたという。とくに本人確認においては、従来のIDとパスワードによる認証だけではなく、ユーザのみが所有する端末やカード、あるいは顔や指紋などユーザ固有の情報をかけ合わせた多要素認証が重要になっていた。

　こうした経緯から生まれたTrust Idiom®は、金融機関向けの本人確認済みIDを発行するIDaaSサービスだ。本サービスが発行するIDが各種銀行や証券・カード会社、ECサービス、資金移動などさまざまなサービスと連携することで、安全性を担保した取引を実現。ユーザと1対1で紐づくID、安全な外部連携の実現、ユーザビリティの考慮という3つのコンセプトを掲げ、さまざまな市場の課題への対応を進めている。

　「Trust Idiom®は契約時に身元確認と当人認証を同時に実施し同一性を担保するとともに、生体情報を紐付けて登録することでなりすましや不正を排除します。本人確認を行う際にTrust Idiom®のアカウントと金融機関アカウントを紐付けることで、ユーザビリティを保持したまま高度なセキュリティを実現していきます」

　本サービスの特徴は、SBIデジトラスト自体は顧客の個人情報を扱わない点にあるだろう。同社はあくまでもTrust Idiom®のID情報を保有するだけであり、重要な個人情報はすべて金融機関とエンドユーザが保有する仕組みがとられている。本システムはすでに活用が始まっており、2021年6月には島根銀行が展開するアプリとの連携を実現しているという。今後はアプリ版だけでなくSDK版の展開や、マイナンバー認証など認証方法の強化、マルチKYC対応など多面的に機能が強化されていく予定だ。

　社会のデジタル化が進めば産業を超えて多くのサービスが連携していくが、ただつながればいいわけではないだろう。安全・安心を前提としながら、ユーザの利便性や快適性を高めるシステムやサービスがあることで初めて「連携」は実現する。現代における金融取引上のリスクや規制への対応とは、より円滑で活発な活動をもたらすデジタル社会の土台を創っていくことでもあるのだろう。