Identity Card/Anti-Money Laundering White Paper 消費者向けアイデンティティカード 金融機関の収益増加とアンチマネーロンダリングのために 2007 年 2 月 1 Identity Card/Anti-Money Laundering White Paper 目次 はじめに.............................................................. 2 はじめに.............................................................. 3 市場機会.............................................................. 4 顧客の本人確認...................................................... 4 政府指令.............................................................. 8 マーケットからの支持の獲得............................................ 8 IdenTrust............................................................. 9 IdenTrust の優位性.................................................. 9 IdenTrust PLOT..................................................... 12 IdenTrust PLOT の独自性 ............................................ 14 アンチマネーロンダリング対策......................................... 15 カードデバイス..................................................... 15 非接触型決済と多目的スマートカード................................. 16 ソリューション/サービス............................................ 17 銀行のメリット..................................................... 18 サマリー............................................................. 18 本文書は機密文書であり、IdenTrust の営業秘密情報を含んでいるため、守秘義務契約に基づき当事者間で 開示されるものです。本契約は銀行の情報および評価のみを目的としており、それ以外の目的で使用また は開示することはできません。 2 Identity Card/Anti-Money Laundering White Paper はじめに アンチマネーロンダリング(AML)は次の 3 つの犯罪行為が典型といわれています。 1. Placement-不正な資金を通貨代替物へと置換する、またはそれらを金融機関へ預ける。 2. Layering-資金の出所を分からなくするように複数の金融機関へ移動させ、隠匿する。 3. Integration-資金を合法的な財産の取得のために使われているよう見せかける。 ここ数年来、デビットカード(店舗で買い物をする際に、自分の銀行口座から直接引き落としが できる銀行のキャシュカード)などを使ってのネットワーク社会における犯罪を防ぐため、AML 関 連の取り組みにフォーカスが当っています。 監督機関は AML 対策のため、IP ベースのデビッ トカードネットワークの規制を求めるようになってきており、この規制と金融機関がマネーロン ダリング対策のために講じようとしている様々な対策とを、連携させることが重要となっていま す。 一例ですが、デビットカードベースのマネーロンダリングのケースには、ある国に不正活動の 「中心(front)」として合法的な企業体を設立しているマネーロンダラー(launderer)がいま す。 マネーロンダラーはその活動の「中心」となる企業名で、口座を開設し、クレジットカー ドやデビットカードを取得します。不正活動による資金を、彼らは米国やその他の国で開設した 銀行口座に預け入れています。 マネーロンダラーは米国の銀行の系列銀行が所在する他国にて クレジットカードやデビットカードを使い、米国の銀行口座の預金を引き出します。 米国にい る彼らの仲間によって不正資金が預金され、クレジットカードローンの支払いや前払いに使われ ています。 銀行のオンラインサービスを使うことで、資金移動に関するトランザクションを開 示することなく、小切手・預金・クレジットカードなどの口座間で資金移動ができてしまうのが 現状です。 銀行は、企業の口座開設時のプロセスに厳格な審査手順(due diligence)を設けています。銀 行は、該当企業の事業内容・規模・取引頻度・支払方法など、企業の特徴から、口座開設者が銀 行サービスを利用する際の行動を予見し、その後の実際の行動と検証が行えるようにしておく必 要があります。 銀行は、企業の日常の入出金状況と予期せぬ行動を常に監視しなければなりま せん。 銀行は、該当企業に関するあらゆる活動とアイデンティティを紐も付けておくことによ り、例えば、クレジットカードの高額な前払いなど該当口座の大きな変化のパターンを捉えたり、 不審な取引を検知したり、これら疑わしい取引報告(Suspicious Activity Report (SAR))を用 いて、アイデンティティ単位に詳細な追跡・検査・分析を行うことができるようになります。単 一なアイデンティティにより、銀行は一口座の監視に留まらず、このアイデンティティに関する すべての口座取引を名寄せし、照合・監視ができるようになります。 マネーロンダラーの手口は年々巧妙化しており、銀行は監視機能を継続的に強化しています。 銀行が取引にかかわる者の個人のアイデンティティの把握を深化させておけば、アイデンティテ ィ毎の疑わしい取引が検知されればされるほど、犯罪者の特定ができるようになります。 IdenTrust はこれらを考察し、本文で種々の提案をさせてもらいます。また、本文で触れている 消費者向けアイデンティティカードの収益予測は、本章の主旨をご理解いただいた上で、次のス テップでお客様と共同で作成させていただきます。 3 Identity Card/Anti-Money Laundering White Paper 市場機会 顧客の本人確認 多くの金融機関が専用線ネットワークからインターネットベースのネットワークに移行する中で、 ネットワーク侵入や情報窃盗リスクは増加の一途をたどっています。 規制当局はオンライン詐 欺、アイデンティティ窃盗、マネーロンダリングを抑制するための法整備を急いでおります。 報道されているサイバー犯罪には、個人・企業のアイデンティティの盗難・不正使用、顧客情報 などの窃盗があり、消費者の電子商取引に対する信用が失われ、企業はセキュリティの脅威に怯 えています。なりすましによる不動産の購入・融資の取得・クレジットカードの変更・犯罪被害 者口座からの資金移動、などアイデンティティの窃盗に関する連日のマスコミの報道は、銀行が 直面するセキュリティの脆弱性について、銀行サービスを利用する消費者の不安を高めています。 消費者は自身のアイデンティティの保護を求めています。 このような状況下、各国政府は、政 府が監督する金融機関に対し、インターネットベースの取引をより厳格に認証・追跡・検査する よう、様々な規制を課すようになって来ています。 近年、世界の政府はアイデンティティ窃盗に対し、近代的・堅牢・安全な技術を利用するよう金 融機関・業界・企業に直接的にも間接的にも指導する法律を制定しています。米国、EU、アジア 太平洋、中南米の各国は、公文書(パスポート、結婚許可証、電子投票権、ビザ、市民権、運転 免許証など)の発行にあたり、本人確認と本人の資金移動の追跡・調査に係る諸規制を立案・施 行しています。これらの国々は、ネットワーク社会における不正犯罪の削減を図る一方で、金銭 徴収業務の管理・効率化のため電子請求システムや電子租税申告システムの導入を加速していま す。企業によっては、機密かつ安全性の高いデータへのアクセスを担う従業員を採用する際、そ の審査手続きのため真正な身分証明書の提示を要求するようになってきています。企業は消費者 プライバシーの保護、企業データの完全保証、企業の監督責任、などの統制を重大視してきてい ます。 マネーロンダリングやテロリストの資金調達防止規制関連には、政府間組織である金融 活動作業部会(FATF(Financial Action Task Force))が、強力且つ包括的な顧客の本人確認 ルールなどの枠組みを、国・金融機関に提言し、これら枠組みが現在150以上の国々で支持され、 マネーロンダリング対策の国際基準となっています。(FATF支持国、次ページ以降ご参照) FATFは政府間機関であり、マネーロンダリングおよびテロリストの資金調達防止のため各国の国 内外政策の策定を推進しています。本機関は1989年に「政策策定機関」として設立され、各国の 法的改革や規制改革で必要となる諸施策を策定しています。FATFはマネーロンダリングに関する 40の勧告およびテロリスト資金調達に関する9勧告を発表しています。 各国がFATFの勧告を遵 守することにより、真正且つ一律な顧客の本人確認(Know Your Customer (KYC))ルールがFATF メンバー・FATF型国間に適用されています。 FATFと協調するFATF型地域機関は多く存在します。このFATF型機関は、FATFの国際基準に照らし 合わせ地域のメンバー国の制度を監督評価しています。 FATFメンバー国の中には、以下のFATF 型機関のメンバーにも加盟している国もあります。 アジア太平洋マネーロンダリング対策グループ(Asia Pacific Group for AML) カリブ金融活動作業部会 (Caribbean FATF) 欧州評議会マネーロンダリング対策評価専門家委員会 (Council of Europe Select Committee of Experts on the Evaluation of Anti-Money Laundering Measures (MONEYVAL)) 4 Identity Card/Anti-Money Laundering White Paper ユーラシアグループ (Eurasian Group) 東部・南部アフリカマネーロンダリング防止グループ (Eastern and Southern Africa Anti-Money Laundering Group (ESAAMLG)) 南 ア フ リ カ 金 融 活 動 作 業 部 会 ( Financial Action Task Force of South America Against Money Laundering (GAFISUD)) 中 東 ・ 北 ア フ リ カ 金 融 活 動 作 業 部 会 ( Middle East and North Africa Financial Action Task Force (MENAFATF)) 上記機関はFATFの国際基準である以下の勧告の遵守をコミットしています。 マネーロンダリングに関する40勧告 テロリスト資金調達に関する特別9勧告 前記のFATFとFATF型メンバー国は、特にアンチマネーロンダリングに関する特別な任務を担って います。これら全ての国々がFATFの勧告を遵守することにより、他の国からも信頼される、一律 な顧客の本人確認方法(Know Your Customer (KYC))が実現し、本人確認情報が他の国へも適用 される仕組みとなります。 上記の勧告は、政府機関と企業に強力かつ一律なアイデンティティ認証方式を導入し、国を超え ての電子商取引の信頼性を保証することを機関・企業に要求しています。現在また今後の規制に は、アイデンティティ認証(デジタル証明書、バイオメトリクス、ワンタイムパスワード (OTP)、トークンなど)の取り組みが盛んに議論されてくるようになってきています。 5 Identity Card/Anti-Money Laundering White Paper • • • • • • • • • • • • • • • • • • • Argentina Australia Austria Bahrain, Kingdom of Belgium Brazil Canada China, People's Republic of Denmark Finland France Germany Greece Iceland Ireland Italy Japan Kuwait • • • • • • • • • • • • • • • • • • Mexico Netherlands New Zealand Norway Oman Portugal Qatar Russian Federation Saudi Arabia Singapore South Africa Spain Sweden Switzerland Turkey United Arab Emirates United Kingdom United States of America Luxembourg Figure 1 - FATF Member Countries 6 Identity Card/Anti-Money Laundering White Paper • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • Albania Algeria Andorra Antigua and Barbados Armenia Azerbaijan Bahamas Bangladesh Barbados Belarus Belize Bolivia Bosnia and Herzegovina Botswana Brunei Darussalam Bulgaria Chile Colombia Costa Rica Croatia Cyprus Czech Republic Dominica Dominican Republic Egypt El Salvador Estonia Fiji Georgia Grenada • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • Kazakhstan Kenya Korea – Republic of (South) Kyrgyzstan Latvia Lesotho Liechtenstein Lithuania Macedonia Malawi Malaysia Malta Marshall Islands Mauritius Moldova Montenegro Morocco Mozambique Namibia Nepal Nicaragua Pakistan Panama Paraguay Peru • • • • • • • • • • • • • • • • • • • • • • • • • Saint Vincent & the Grenadines Samoa San Marino Sao Tome and Principe Serbia Seychelles Slovakia Slovenia Sri Lanka Suriname Swaziland Syria Tajikistan Tanzania Thailand Trinidad and Tobago Tunisia Uganda Ukraine Uruguay Uzbekistan Vanuatu Venezuela Zambia Zimbabwe Philippines Poland Romania Saint Kitts and Nevis Saint Lucia Guatemala Guyana Haiti Honduras Hungary India Indonesia Jamaica Figure 2 - FATF Style Regional Body Members 7 Identity Card/Anti-Money Laundering White Paper 政府指令 「はじめに」の章で述べたように、世界の主要国が、様々な目的のために個人のデジタルアイデ ンティティやデジタル署名を用いて、国や企業に対する認証を行うことが計画されています。例 えば、米国ではインターネットベースの「Notice and Access (通知/アクセス)」を用いた株主 への総会招集通知やその委任状に、ドイツでは在住許可証の発行に、ベルギーでは電子 ID カー ド(身分証明書)に、ハンガリーでは公証サービスに、チェコ共和国では電子パスポートとその 認証サービスに、イタリアでは社会保障カードに、ロシアではバイオメトリクスパスポートに、 中国では電子 ID カードに、香港では交通カードに、スペインでは租税申告時の署名に、ブラジ ルでは Serasa による銀行顧客の複数銀行の相互利用サービスに、など様々な分野で電子証明書 を利用した認証・署名が計画・実施されており、早晩これらサービスが世界の主流となることが 予想されています。各国政府は、国民に対し発行する公文書が膨大な量となるため、効率的な電 子化プロセスの導入を進めています。紙ベースから起因する情報の漏洩・紛失・追跡・検査とい った不具合は増加の一途をたどり、各国政府は自国の規制に対する監督・監査が適正に行うこと が困難な状況となってきています。 そこで広域に支店網を持つ銀行は、国政府や国民が電子証明書を使って認証・署名を行うおうと する際、国・国民の両方をサポートできる立場にあります。 銀行がサポートするメリットはい くつかありますが、中でも次の 2 つが挙げられます。 「一貫性・相互の運用性」 - どの国 で取引が開始され、継続され、完了したかにかかわらず、該当する国の政府や政府機関に対し認 証に関する真正性・一貫性・相互運用性、を銀行は提供できるのです。 二つ目のメリットは、 「域内への貢献」です。 例えば、EU はその加盟国全体の標準化にフォーカスし続けています。 これは EU 全体がリスクとコストを削減し、産業の発展を図り、外国からの投資をさらに加速さ せようとしています。ASEAN 各国もまた、アジア全体で受け入れられるような標準化と自動化シ ステムに積極的に取り組んでいます。この域内貢献に銀行は大きな役割を果たせます。 グローバルで一律な本人確認と認証のプロセスは、新興成長国へ直ちに多くの人を投入する場合 にも有効です。人を速やかに審査・配置し業務に就業させる場合に役立ちます。海外勤務の経験 がある方は、新任国での銀行口座開設や住居の確保、電気・ガスなどの公共サービス利用に多く の時間と手続きが必要であることを知っています。 すでにある銀行では、このグローバル化の 流れに沿い、政府が規制及び監督する金融機関と提携するメリットを、各国の政府機関に提案し ています。銀行が発行したアイデンティティは、各国の金融規制当局が定める顧客の本人確認 (Know Your Customer (KYC))勧告を遵守しています。銀行は各国の域内デジタル認証スキーム とブリッジ連携し、ポリシー、法的枠組み、運用、技術などの一律な手順を通して、さらに国を 越えての相互運用性を提供することができまし、延いては犯罪技術が精巧・複雑化しているマネ ーロンダリング対策を効果的に実施する仕組みにもなります。 マーケットからの支持の獲得 現在、消費者や中小企業の多くは個人情報を埋め込んだ磁気ストライプカードを利用しています が、多くの国々がこの磁気ストライプ方式をスマートカードチップ方式への移行過程にあります。 消費者が支払いの際にこれらのカードを提示するのは当たり前になっていますが、同時に自動車 免許証などの身分証明書の提示を求められるケースがあります。 つまりスマートカードチップ 8 Identity Card/Anti-Money Laundering White Paper に身分の証としての電子証明書を埋め込むことにより、従前のストライプカードの利用機会・範 囲を拡げることができます。チップ上のアイデンティティは暗号化されているため、盗難にあっ た場合でも不正使用できませんし、例えば、カード保有者は様々な政府プログラム(例:運転免 許証)に求められる本人の身元確認にこのスマートカードを提示し手続きを行うことができるよ うになります。 DMV (Department of Motor Vehicles(車両管理局))においては、ユーザが スマートカードを提示時に銀行と連携して認証が行え、銀行の真正な認証保証で DMV の本人確認 責任が限定されます。この機能を運転免許証の申請に用いれば、免許取得試験や更新手続きがオ ンラインで行えたり、試験答案にデジタル署名を付すことで受験者の真正な本人確認が可能とな ったり、現行プロセスの自動化/安全化を図られ、消費者と DMV 双方にとって安全なサービスと 時間の節約をもたらします。 DMV の例は、AML の追跡・検査という分野にも当てはまります。 現在多くの国々で否決されているナショナル ID の発行を行うことなく、IdenTrust のメンバー 銀行間で発行された、単一かつ一貫性のある ID を利用することで AML 対策の手段を講ずること ができます。 電子投票の分野も消費者にフォーカスした銀行の市場参入機会となります。消費者の電子投票の 際、銀行が発行したアイデンティティ証明書を利用することもできるようになります。銀行また は銀行が権限を与えた機関だけが、電子投票で必要とする消費者の真正な証明書を発行更新でき ます。 銀行が発行した真正な電子証明書を保有する個人は、電話サービス、ローン、ケーブルサービス、 メンバーシップサービスなどの申し込みに、一枚の証明書で手続きがおこなえるようになります。 単一かつ常に真正な金融機関が発行する証明書の利用により様々な電子商取引・コミュニケーシ ョン・機動性が向上します。 IdenTrust インターネットによる取引の急速な拡大が IdenTrust 設立の原動力となりました。世界中の金融 機関は取引相手が見えない金融取引にはリスクがつきものであることを知っており、銀行は自ら が発行する電子証明書だけを信認する意思を持って、ネットワーク社会に立ち向かうことにしま した。IdenTrust は世界の主要銀行 10 行によって 1999 年に創設され、アイデンティティの共通 ストラクチャにより顧客との関係を拡大する目論見で、創設銀行とその他 12 の銀行は 1 億 7,000 万ドルを出資し、IdenTrust 製品の仕組みを構築しました。 IdenTrust の優位性 IdenTrust の優位性は、独自且つ国際的な規制に対応したアプローチにより、インターネットを 安全性の高い仮想プライベートネットワークにできることです。このネットワークは、グローバ ルな金融サービスコミュニティとその顧客のためのルールセットを基に、取引形態(B2B、B2C、 C2C など)の如何にかかわらず、すべての取引やドキュメントに対し法的拘束力/規制のフレー ムワークを備えた、相互運用可能な認証・署名プロセスを実現します。 IdenTrust のネットワークは、以下 3 つの主たる機能を提供し、完全電子化を実現します。 認証 – 個人/企業のアイデンティティを証明 9 Identity Card/Anti-Money Laundering White Paper o o IdenTrust のアイデンティティを利用することで、個人/企業は自身が誰である かを証明することができます。また、個人/企業はこのアイデンティティを信用 し、取引に署名をしたドキュメントの発行者を認証することができます。 IdenTrust のアイデンティティは世界中の銀行によって保証されているため、ア イデンティティが不正なものであると判明した場合、個人/企業は銀行が担保す る債務枠から補償を受けることができます。(liability structure、クレジッ トカード業界と類似) 暗号化 – 取引やドキュメントの完全性・可視性 o IdenTrust のアイデンティティは、電子署名時のトランザクションファイル/ド キュメントの内容を保護します。一度保護されたファイル/ドキュメントの改ざ んはできません。 o IdenTrust のアイデンティティは、情報を暗号化するので、閲覧/アクセス権限 を持たない者から盗み見や解読はできません。 o IdenTrust のアイデンティティは、ネットワーク上の認証のプロセスを暗号化し、 管理を行うので、取引/ドキュメントへの妨害や第三者への転送はできません。 フィッシングや中間者攻撃を防ぐことができます。 電子署名 – 法的拘束力を有した否認のできない電子署名 o IdenTrust のアイデンティティは、ドキュメント/取引全体を、従来のインクで 紙面にサインする場合と同レベルの、法的効力を有す電子ドキュメントに媒体変 換ができます。 上記の機能は、単独でも、夫々を組み合わせても、利用することができます。個人/企業はこの 機能で、契約書への署名から支払い処理や複雑なサプライチェーンのトランザクション管理まで、 あらゆるタイプの商取引やビジネス活動を、電子的に行えるようになります。その際、アンチマ ネーロンダリング(AML)や顧客の本人確認(Know Your Customer (KYC))対応だけでなく、プ ロセス統制(SOX 法、HIPAA 法、FFIEC(連邦金融機関検査協議会)やインターネットアプリケー シ ョ ン の 多 要 素 認 証 に 関 す る 銀 行 ガ イ ド ラ イ ン ( multifactor authentication banking guidelines)のなど)などの多様なニーズを統合的に満たせるメリットがあります。 IdenTrust には、様々なアプリケーションを単一なアイデンティティで利用できるメリットがあ ります。様々な場所で利用できる Visa や MasterCard といったクレジットカードと同様に、 IdenTrust 加盟銀行が発行したアイデンティティもまた様々な場所で利用ができるため、企業/ 個人は単一のアイデンティティだけを一つ持つだけで良くなります。もう銀行/企業/毎のアプリ ケーションを利用するためのパスワードリストや複数のカード/トークンを持つ必要はなくなり ます。IdenTrust のアイデンティティを 1 つだけ利用すれば良いのです。特筆すべきことは、 FATF、FATF 型機関、世界貿易機関(WTO)、国際連合(UN)が認めたガイドラインを遵守する世 界の 175 カ国において、1つのアイデンティティで多種多様なアプリケーションが、今からでも 利用できることです。 スウェーデンでドキュメントに付された電子署名は、シンガポール、ニ ューヨーク、東京、ロンドンなどにおいても、法的拘束力のある署名となります。 政府によって規制されているすべての金融機関だけが、IdenTrust 加盟メンバーになれます。メ ンバーは電子証明書発行業務などの定期監督や年次財務報告に従う必要がありますが、規制要件 を満たしていれば規制当局から非準拠者であるという通知は受けません。全メンバーは運用ルー ルで定める必要資本(最低 1 千万ドル)を担保する必要があります。IdenTrust の加盟メンバー は、顧客との契約に法的強制力が生じるような場合などには、その国の規制当局の認可や弁護士 10 Identity Card/Anti-Money Laundering White Paper の意見を求めなければならない場合もあります。また、IdenTrust が定める技術、運用、法的基 準に準拠していることを定期的に規制当局・監査組織に示す必要もあります。 IdenTrust のメンバー規定には、参加金融機関の役割や責任が定められています。IdenTrust メ ンバーは、a) IdenTrust と加盟者間契約[IL-SAP]を締結、b) 登録局(Registrar)および/また は利用者(Relying Participant)間で契約を交わし、履行条件を遵守し IdenTrust のサービス を提供します。 登録局(銀行、Registrar)は、証明書発行者が生成したデジタル証明書に利 用顧客(subscribing customer)を登録する役割を担います。登録局は顧客と契約を締結し、 国々が採用する顧客の本人確認(Know Your Customer (KYC))ルールに基づいて、顧客の本人確 認を行います。このプロセスで顧客の ID 確認と顧客の PKI 鍵の発行を行います。 登録局は証 明書発行者に証明書の作成を依頼し、発行された証明書に該当する顧客の ID 登録と証明書を顧 客宛に送付します。 登録局は IdenTrust 準拠ソフトウェアの顧客への配布責任や、証明書を不 正使用しているとみなされる顧客の証明書を失効/停止する責任を負っています。 Registrar Without Keys (RAwoK)として加盟するメンバー銀行は、本人確認など登録局と同様な役割を果た しますが、違いは証明書の顧客登録を信頼された登録局に委任する銀行です。 その他の役割として、上述の証明書発行者(Issuer)があります。証明書発行者は、加盟者に代わ って利用顧客に対するデジタル証明書の作成/失効システムの運用と証明書の有効性確認メッセ ージの送受信を行うといった、認証局としてのサービス役を果たします。証明書発行者は登録局 に代わり、顧客のデジタル証明書の物理的な作成/停止/失効を行い、証明書の有効性ステータス に関する OCSP(オンライン証明書ステータスプロトコル)メッセージの送受信を行います。発 行局は IdenTrust ルールセットのシステム仕様、運用手順を遵守する必要があります。 また、 発行局は、IdenTrust 加盟者対しサポート/コンサルティングなどの付随的な役割を担う場合も あります。 発行局は、加盟者への適切なサービス・役割(鍵の生成など)を果たすため加盟者 とサービス契約を締結し、IdenTrust ルールに基づき瑕疵責任担保(最低 1 千万ドル)や事故保 険を付保し、要求事項の遵守ならびに地域の認証局として必要となる措置を講じます。 総括しますと、IdenTrust メンバーには、「証明書発行者(Issuer)」として電子認証局の設備 を保有し運用する銀行または第三者の認証局サービスプロバイダーと、「登録者 (Registrar)」として本人確認を行い顧客の証明書を登録する銀行(証明書発行者(Issuer) を 兼 ね る 銀 行 と 登 録 だ け を 行 う 銀 行 が あ る ) 、 と 「 本 人 確 認 だ け を 行 う 銀 行 ( Registrar Without Key)」、すなわち証明書の発行登録を登録局に委任する銀行の、三つに分けられます。 11 Identity Card/Anti-Money Laundering White Paper Figure 3 – The IdenTrust Roles IdenTrust メンバーは国が監督する金融サービス事業者として登録されていて、国内の規制当局 が定めるルールや定期検査に従わなければなりません。IdenTrust メンバーはまた、他国の法律 に基づき契約締結相手先となることから FATF メンバーである 175 カ国に設立される必要があり ます。又、IdenTrust メンバーは、マネーロンダリングに関する 40 勧告およびテロリスト資金 調 達 に 関 する 9 勧 告 に従 う FATF 型 機 関 の 国に 所 在 し てい な け れ ばな り ま せ ん。 以 外 の IdenTrust に 加 盟 メ ン バ ー は IdenTrust の KYC 勧 告 を 個 別 に 遵 守 す る 必 要 が あ り ま す 。 IdenTrust メンバーは、世界貿易機関(WTO)または FATF が認めていない19カ国に所在するこ とはできません。現在 IdenTrust は上記条件を満たす176カ国で認められています。 IdenTrust PLOT IdenTrust ネットワークは、現在存在するいかなるネットワークとも位置づけが異なります。そ の理由は、技術面だけではなくネットワークのあらゆる側面にフォーカスしていることです。ア イデンティティの世界では技術的な問題が重視されがちですが、そのような問題は氷山の一角に 12 Identity Card/Anti-Money Laundering White Paper 過ぎず、むしろ重要なことはポリシー/法律/運用面の包含であり、IdenTrust のアプローチは下 記のすべてをサポートしています。: ポリシー 面 世界中で一貫性のある認証プロセスを確実に実施する要件、アイデンティティ保有者が 自分を特定する要件、銀行がアイデンティティを保有する各個人/企業を認証する要件な どのポリシー面をサポートしています。 リーガル面 事故発生時の債務責任や管轄地における各アイデンティティの法的要件との整合性の検 査・保証などを効果的にサポートします。 運用面 ロジスティック上のセキュリティ対策(アイデンティティを最低でも 2 つの異なる配布 チャネル(例:郵便と電子メール、郵便と電話など)をすべてのステップにおいて安全 に行われることや、ネットワーク利用の 24 時間 365 日サービスを保証します。 技術面 アイデンティティやネットワーク全体の機能をサポートします。標準的な技術が使用さ れていますが、これらの技術はユニークに組み合わされているので、最高度なセキュリ ティを実現しています。 このように、ポリシー/リーガル/運用/技術(以下「PLOT」)の組み合わせにより、PLOT の利用 は現在 90 カ国に跨り、年間 4 千万件を超える取引の認証が処理され、その件数は月 15%の割合 で増加しています。これらの取引件数の多くは、企業間取引(例:請求フロー)と支払い指図な どの金融取引です。 IdenTrust の知的所有権から成る PLOT は、包括的に認証をサポートする独自な製品です。現在 市場に出回る他のアイデンティティソリューションには、技術など、アイデンティティの面にフ ォーカスしているサービスはありますが、IdenTrust はこれに加えて運用/リーガル/ポリシーに ついてもサポートをしています。 13 Identity Card/Anti-Money Laundering White Paper Figure 4 - The IdenTrust PLOT IdenTrust PLOT の独自性 ポリシー/リーガル面/運用管理/技術を組み合わせることで、電子取引におけるリスク管 理のためのトータルなソリューションを提供します。 世界中の金融機関によって開発、同意されたポリシーや手順が、アイデンティティ認証 のトータルなアプローチを提供します。 IdenTrust のアイデンティティは、世界各国における統一された契約に基づいており、 世界中で相互運用可能なアイデンティティです。他の認証サービス会社の例では、その デジタル署名に対し国々で適用されている一般法に夫々遵守する必要があります。 銀行とその顧客が締結する Customer Agreement は、IdenTrust メンバーが所在する国に おいて法的拘束力を有する契約となります。 IdenTrust は完全堅牢な認証局のホスティングサービスを提供し、金融機関による信認 あるアイデンティティサービスを実現します。 企業が取引銀行との取引行う場合(「2 コーナーモデル」)、取引銀行を利用して取引銀行の顧 客間で取引を行う場合(「3 コーナーモデル」)、IdenTrust コミュニティのメンバーである複 数の銀行を利用して複数の企業が取引を行う場合(「4 コーナーモデル」)に、いずれの場合も PLOT が有効となります。 14 Identity Card/Anti-Money Laundering White Paper IdenTrust は、顧客が判断する高付加取引などへの信頼性レベル確保に関し、妥当な信頼性レベ ルの設定やその投資効果といった分野のサポートも行います。信頼性のレベル定義が、信認ある アイデンティティやアイデンティティ管理オペレーションを計画する第一歩となります。 アンチマネーロンダリング対策 規制当局・監督組織は、銀行の専用線または共同決済ネットワークのマネーロンダリングに対す る脆弱性にますます鋭敏になっています。単一/複数の銀行口座を経由させ、小額の送金に分け ての多くのトランザクションを用いたマネーロンダラーの監視・追跡・検査は極めて困難となっ てきています。 IdenTrust Trust Network を活用して、アイデンティティの確認やそれらのア イデンティティがどのメンバー銀行で、どのような顧客の本人確認に基づき発行されたかを検証 することによって、マネーロンダリングに対する安全性を高めることができます。 アイデンテ ィティの発行銀行は、銀行口座開設の際に使用される ID を確認するという責務だけでなく、そ のアイデンティをネットワーク上で利用する他の銀行に対しも証明書の真正性を保証するという 責任も担っています。口座名義人が他の銀行に口座開設するときに IdenTrust の証明書を使用し て行うことになれば、当該銀行は口座開設者の過去から現在までの取引状況を追跡・検査するこ とができます。IdenTrust における追跡・検査とは、メッセージやデータの中身を検証するもの でなくて、証明書の使用状況を追跡・検査することを意味します。 追跡・検査の証跡はアンチ マネーロンダリング(AML)ソリューションへアップロードされ、取引パターンやその頻度など への分析に繋がります。 個人の取引情報が証明書の利用履歴と共に銀行間で蓄積されることで より詳細でリアルタイムな追跡・検証が実現できるようになります。オフショアにおけるマネー ロンダリングの検知が難しい現在、海外間との取引を追跡・検査する場合に、IdenTrust の利用 はその有効な手段となります。 マネーロンダリングを早期に検知するためのキーは、取引に関係する個人のアイデンティティを 真正に把握することです。 IdenTrust は一金融機関として規制されており、通貨監督局 (Office of the Comptroller for the Currency (OCC))によって監督されています。よって IdenTrust は、金融機関と同様、年 1 回の監査に服します。金融機関は米国パトリオット法 (USA Patriot Act、米国愛国法)にて勧告されている顧客の本人確認(Know Your Customer (KYC))の遵守が徹底されています。企業が口座を開設する時には、企業のアイデンティティや 信頼性、正当性について厳格な審査が要求されます。スマートカードベースの IdenTrust 証明書 を適用すれば、顧客の取引都度の本人確認や口座開設時の審査・監督が適切におこなえることに なります。 誰がどのようにスマートカードを使っているかを把握することは、犯罪やマネーロンダリングの 犯人を特定するための一助となります。IdenTrust の証明書を用いることは、関与する者のすべ ての取引をくまなく追跡・検査するために、金融機関は銀行間で利用できる単一で固有の識別子 を有し、銀行の口座ごとに異なる振る舞いをみせる者のあらゆる取引を名寄せ分析することが可 能となり、より多くの機会で犯罪人を特定できるようになります。 カードデバイス 世界中の ATM 機器の大層は NCR と Diebold によって提供されていますが、他のメーカー (Wincor-Nixdorf、 富士通、沖電気など)も参入しており、国によっては他メーカー市場が 年々大規模となってきています。また Verifone など、カードリーダーメーカも存在します。 15 Identity Card/Anti-Money Laundering White Paper 顧客へのインターネットプロトコル(IP)ベースのサービスは、欧州の銀行が先行しています。 (欧州以外は今なお、専用線または OS/2 ベースのネットワークが多く使用されている)この変 化は、カードリーダーメーカにとり大きなビジネスチャンスが想定されます。 最近世界市場の 標準として RF-ID タグ(Radio Frequency Identity(RFID))方式の非接触型カードが普及して きており、これらのデバイスはプロセッサープロバイダー(ADP、EDS、Total Systems など)に より展開・サポートされてきています。これらのプロバイダーは、金融機関の登録局 (Registration Agents or Registrars without Keys)の Agent として銀行と協業するケース が増えつつあります。 非接触型決済と多目的スマートカード IdenTrust は、銀行のサイト検証と、暗号化した証明書を搭載する EMV 標準スマートカード(金 融系スマートカードの国際標準)の組み合わせることにより堅牢な AML 対策の具体化を進めてい ます。 サイト検証サービス提供者と連携し、銀行はクレジットカードやデビットカード保有者 に対し相互認証機能を提供できます。 そのイメージは、スマートカードの読み込み時に銀行の サイト検証を行い、不正なサイトの場合は、カード保有者へその旨が直ちに通知されます。有効 サイトの場合、銀行の信認されたサイト内容が AML の画面または PC 画面に表示され、利用者に よる確認がなされます。その後、利用者の証明書の検証リクエストが IdenTrust に送信され、証 明書が無効な場合、システムはその取引を終了しますし、有効な場合にはカード保有者はピンま たはパスワードを入力し、トランザクションの処理を継続します。取引毎に、ユーザは銀行のサ イトを認証し、銀行はユーザを認証し、相互認証の下取引が行われます。 スマートカードに搭載される IdenTrust のデジタル証明書は、米国パトリオット法にのっとっ た銀行の KYC 手順に基づき発行されます。IdenTrust 加盟者として年間 1 千万ドルの瑕疵責任を 負う銀行が、真正な顧客の本人確認実施し、証明書を発行しています。 証明書が使用されるた びに、銀行は疑わしい活動報告(Suspicious Activity Report (SAR))に対し、SOX 法レベルの 追跡・検査と銀行セキュリティ法(Bank Security Act (BSA))に準拠した追跡・検査を行いま す。 香港、スカンジナビア諸国、チリ、アルゼンチンでは、非接触型決済システムが採用されていま す。例えば香港では Octopus システムが用いられており、公共輸送サービスにおいては、カード リーダーに Octopus カード(スマートカード)を近づければ決済の仕組みに連動するように開発 されています。昨年このプログラムの応用として親子を対象とした Octopus カードが開発され、 学校関連の様々な決済に利用できるようになっています。金融機関がカード保有者のアイデンテ ィティを保証することで、これらのカードを様々なサービス(入学申請、試験、パスポート発行 /更新、求職、運転免許証申請/発行、自動車/船舶登録、メンバーシップ、契約者/従業員の確認 に関する、アイデンティティ認証など)に利用できるようになってきています。 IdenTrust の証明書を搭載したスマートカードを利用すれば、運転免許証の発行時に、銀行が全 米の DMV (Department of Motor Vehicles(車両管理局))へ認証済みの証明書を提供するこ とになります。 最近米国議会は、斯様な種類のリアル ID プログラム(Real ID program)を、 運転免許証の発行/更新の際などに、消費者の真正なアイデンティティ証明書の提示を求めるこ とを議論しています。 IdenTrust の真正な「アイデンティティ」カードを保有する消費者は、 様々な目的にカードを使用することができるようになり、その発行を掌る銀行にとって様々なビ ジネスメリットが生まれてきます。消費者の信認された証明書を必要とする分野、例えば行政プ ログラムには、電子パスポートや、民間企業者が政府機関/プログラムの業務を代行して行う際 の従業員の認証などが挙げられます。 また、企業レベルでは、従業員に対してアイデンティテ 16 Identity Card/Anti-Money Laundering White Paper ィカードを保有させることで、個人レベルに至る社内管理プロセス・責任所在を明確化できます し、電子メール、インスタントメッセージング、ボイスメール、Web カンファレンスに参加する 際の認証・有権限者のアクセスコントロールに利用できます。内部統制のための社内エンドツー エンドでの個人毎に関係する業務の監督・追跡・検査への信頼性・可視性を向上することができ ます。 これらは、銀行が発行するアイデンティティカードの活用の一例にすぎません。公営/ 民間企業の間では、国内外の多様なシステム間で相互運用可能なアイデンティティ認証の需要が 高まってきています。 ソリューション/サービス IdenTrust は現在、ATM メーカーである Diebold 社へソリューションを提供しています。同社は 証明書を使い、ATM や PC といったデバイスと銀行のサーバー間におけるデバイス認証や暗号化 したリモート鍵配送の仕組みを開発しています。 まだ開発中ですが、ATM のピンパッドに IdenTrust のデジタル証明書を使用する際のピン入力と連動する仕組みを開発しています。 銀 行のサーバーは、顧客が保有する証明書の認証と暗号化された SSL でセキュア化された ATM ピン パッドで通信を行い、銀行のサーバーは、末端のカードデバイスまでの暗号化されたデータの送 受信が可能となります。IdenTrust は NCR やその他の企業と共同で、様々なデバイスを向けの類 似の SSL(セキュアソケットレイヤ)通信方式の具体化を急いでいます。 この一環でコルレス銀行のネットワークサポートのため、銀行、IdenTrust、カードデバイスメ ーカは、コレスポンデントネットワーク上に所在する種々の IP ベースの個々デバイス(例 ATM)に対する認証(CA)サービスも検討しています。 この種のサービスにおいて銀行は、デ バイス上のチップリーダーで読み取り可能な EMV 標準スマートカード仕様のデジタル証明書を扱 えるようになります。 コレスポンデントネットワーク上の銀行は以下機能の享受と顧客へのサ ービスを提供できます。 • インターネット取引に対する強力な認証のため FFIEC 勧告に準拠した銀行の多要 素認証アプリケーション。 • IdenTrust の SSL 通信下、多要素認証による様々なカードデバイスの認証。他の インターネットベースのサービスと一線を画く、独自なアイデンティティ認証や 信頼性の提供。 • KYC ガイドラインを遵守する銀行との連携にて、インターネット上のデビットカ ードベース取引に関するアイデンティティの安全性を顧客に提供。 • 銀行が発行した IdenTrust デジタル署名付き取引に法的効力と否認防止を提供。 • コレスポンデントネットワークに参加する銀行の責任を限定。 IdenTrust は、銀行やデバイスベンダーとの連携によってこのインフラの運用を担い、銀行と連 携し、スマートカードの発行や管理システムの更なる安全化を図ります。我々はこれらのソリュ ーションの実現のため、Gem Alto、Safenet、Oberthur、Thales、Texas Instruments、Phillips、 Intercede 他とパートナーシップを結んでいます。 • デバイスプロバイダは、チップカードや対応コンピュータの改善を進めるため、銀行や カード発行者(IdenTrust または CA として機能する銀行へのサービスプロバイダー)と 連携し開発を進めています。これら構想の概念検証のため、IdenTrust は銀行と一緒に、 欧州や南アメリカで用いられている EMV 標準マシンの利用例や、米国のデバイス提供者 による顧客の改善例の精査を行っています。このような概念検証を経てから、IdenTrust、 銀行、デバイスプロバイダは、既存のネットワークの安全強化のためチップカードの導 入に着手する予定です。 17 Identity Card/Anti-Money Laundering White Paper • • IdenTrust は銀行やデバイスプロバイダと連携し、市場のソリューションに対する理解 や支持を得るため、適切なマーケティング資料、プログラム、広報やアナリストとのコ ミュニケーション、イベントを開催します。また IdenTrust は銀行と共同で、実際の投 資効果やコスト効率を定量化するため(第三者による)、ROI 分析ツールを開発します。 以上の期待利益を望む金融機関は、登録局としてまたは登録局の下の登録局(RAwoK)と して機能することができます。 金融機関は、KYC ガイドラインに基づき、カード保有者 にデジタル証明書を発行します。 同時に銀行が発行した証明書が、真の信頼性を確保 するため、銀行が発行するデバイスベースの証明書をセットで使用することになります。 IdenTrust は、銀行とデバイスサプライヤーと一緒に、利益見直しや、テスト方法、検証方法に 関する打ち合わせの機会を多く持ちたいと思っています。 市場から上記のニーズはまだ挙がっ てきていませんが、規制強化へのニーズや、インターネットベースの犯罪で用いられるピン/パ スワードの脆弱性に対する消費者の不安を回避するため、このような市場ニーズは早晩不可欠と なります。 IdenTrust とメンバー銀行はこの分野の市場をリードすることができます。 IdenTrust のゴールは、銀行が発行した IdenTrust の Trust Network 証明書とデバイスの SSL (セキュアソケットレベル)証明書を組み合わせた仕組みを開発することにあります。このプロダ クトを銀行と連携し具体化した際には、確実に他のデバイスサプライヤーと差別化したプロダク トとなります。詳細な EMV 標準機種の米国市場へ展開について打ち合わせを銀行と進めており、 また MasterCard と Visa は米国市場への EMV 標準に興味を示しており、両者の流れが市場に一気 に拡大加速することが予想されます。 銀行のメリット 米国内外で真正化された顧客のデジタル証明書を認証と署名に利用することによって、銀行は利 益拡大を図ることができます。各顧客に対して証明書を発行し、銀行が設定した証明書の有効期 間でそれらを更新することで、各銀行グループ内で、または銀行部署内毎に本人確認/検証プロ セスを重ねて行う必要がなくなります。アイデンティティ確認は銀行グループ全体レベルの活動 であり、本人確認プロセスの標準化や、犯罪対策プロセスを銀行の各部門が夫々開発する必要が なくなります。IdenTrust の電子証明書は、銀行の新らたな収益ストリームをもたらします。 世の中の多くの活動でアイデンティティ認証が必要となってきており、銀行はそのサービスを享 受したいと望む利用者へのサービス提供側・フィー請求側の立場にあります。 揺籃期に様々な 政府機関で証明書が利用された後には、企業、学校、非営利団体で使われるようになるでしょう。 初期の市場成長において、銀行が果たしていた真正な本人確認業務をアイデンティティ証明書カ ードに応用させることで、銀行は追随してくる革新的なソリューションに対して、競合優位を獲 得・維持できます。この分野への世界市場ニーズの拡大や、銀行カードが世界中で相互運用可能 となる事実をして、IdenTrust の利用が米国内外で急速に広がると想定されます。 サマリー デジタルアイデンティティ証明書/署名の効果的な利用は世界中でその検討が進んでいます。 最初に注目されたのが B2B や政府やその機関における取引分野でしたが、消費者ベースのプログ ラムに証明書を導入する国が増加してきています。このプログラムは、欧州、中南米、アジアの 多くの国で検討され具体化されてきており、これらの国々はアイデンティティの発行方法や管理 方法について夫々の国が個別に決定・改善を加えていく課題を背負ってスタートをしています。 併行して多くの国々はマネーロンダリングの取り組みを一層強化しています。インターネットプ 18 Identity Card/Anti-Money Laundering White Paper ロトコルベースのネットワーク利用の普及はコスト削減のための必然の流れであり、マネーロン ダリング対策の高度化には、既存のプログラムの延長対応では早晩不十分となります。 斯様な状況下、銀行は、世界中の国々が支持する KYC 勧告に基づき、顧客に対して真正なデジタ ルアイデンティティ証明書の発行/署名機会を提供するという、銀行しか行えない独自の機能を 果たせることができます。 銀行がこの機能を備えることにより、消費者、政府、企業へ便利さ と信頼を提供することができます。 また、特定のアイデンティティを用いた取引を追跡・検査 することによってマネーロンダリングのリスクを削減することも可能となります。 銀行は、顧 客の活動に対してより包括的な視点で疑わしい取引に対し、銀行間で共有した新らたな手法で発 見できるようになります。IdenTrust は、この種の犯罪防止のため、銀行は勿論、米国 EMV (PayPass)パートナーとデバイスメーカ、Visa/MasterCard と連携をして、新たな取り組みに 着手しております。 (完) IdenTrust について IdenTrust は、世界中の金融機関、政府機関、企業が信認するアイデンティティソリューション のグローバルリーダーです。IdenTrust は、政府・企業・消費者にアイデンティティ認証に関す る効果的なリスク管理を提供します。(世界レベルの相互運用性、ポリシー/法的枠組み策定の 為の投資の最小化、適切かつ迅速な様々な製品・サービスの提供) 銀行が開発したアイデンティティ認証システム IdenTrust は、法的/技術的に独自の相互運用性 を備えた、世界中でアイデンティティを認証できる環境を提供します。IdenTrust の Trust イン フラは、信認あるアイデンティティ発行のための統括環境を実現するため、ポリシー (Policy))/法的枠組み(Legal)、信認ある運用(Operation)、技術(Technology)、P.L.O.T. フレームワークに基づき開発されています。IdenTrust は、4 つの要素のすべてを備えたソリュ ーションを提供している唯一のサービスプロバイディング企業です。IdenTrust のルールに基づ く銀行と顧客との契約は 175 カ国で法的効力のあるものとなっています。IdenTrust のアイデン ティティは、世界の多くの国で標準的に認定が得られる体系となっており、世界中で相互運用可 能なアイデンティティです。 一方、他社のサービスは、管轄国の一般法に依存せざるを得ない 複雑なものとなっています。IdenTrust の Trust インフラは取引の機密性を保持します。 認証 に必要とする情報だけが IdenTrust ネットワークを行き来し、取引に関するメッセージ(デー タ)は経由しません。 IdenTrust, Inc.本社 795 Folsom Street, 1st Floor San Francisco, CA 94107 USA TEL:1.866.IdenTrust (433.6878) FAX:1.415.848.2745 www.IdenTrust.com 19
© Copyright 2024 Paperzz