2021 年 6 月の FATF 本会合で採択された第 4 次対日相互審査報告書 （Mer） は、日本の非対面取引における本人確認手続について、「真正性 （Authenticité） と生存性 （Liviation） の確認が不十分」と評価した。続くフォローアップ報告 （Fur） でも同趣旨の課題が繰り返し指摘されたことから、所管官庁である警察庁は指摘を国内制度へ反映させる必要に迫られた。そこで警察庁は 2025 年 2 月 28 日に犯罪収益移転防止法施行規則の改正案を公示し、意見募集を経て同年 6 月 24 日に改正規則を公布した。改正規則は 2027 年 4 月 1 日に施行される予定であり、これにより非対面のオンライン本人確認 （ekyc） は、公的個人認証や ic チップ読取を必須とする新たな基準へ移行する。すなわち、 mer の指摘が直接の契機となり、国内の施行規則改正 – そして ekyc の大転換 – へと至った構図である。 へと至った構図である。

施行規則の改正は三つに集約される。第一に、電子証明書など暗号的真正性を担保する手段へ誘導し、なりすまし・口座売買を抑止すること。第二に、 FATF 勧告およびガイダンスに整合した国際基準対応を果たすこと。第三に、デジタル庁が推進する公的個人認証基盤 （JPKI） の普及を加速し、行政・民間双方のデジタル ID 連携を強化することである。

新しい本人確認体系と技術要件

改正後、施行規則第 6 条第 1 項第 1 号の記号体系は全面的に再設計される。現行ワ方式はル方式と改称され、マイナンバーカードの署名用電子証明書をオンライン検証することが原則となる。署名アルゴリズムは RSA2048BIT ／ SHA – 256 、失効確認は J – LIS OCSP レスポンダまたは CRL で行う。スマートフォンの NFC 機能 （2025 年 6 月以降は iPhone の Portefeuille Apple 経由読み取りも可能） で IC チップを読み取り、 PKCS # 7 構造体を検証する実装が必須となる。

現行へ方式は新ホ方式となり、運転免許証・在留カード・特別永住者証明書など ISO / IEC 18013 準拠 ID の IC チップを読み取る。取得するのは Élément de données 01 （テキスト情報） と Élément de données 02 （顔画像） であり、端末上で顔特徴量比較を行って同一性を確認する。セルフィー側では であり、端末上で顔特徴量比較を行って同一性を確認する。セルフィー側では ISO / IEC 30107‑3 準拠の Détection d’attaque de présentation を実装し、静止画スプーフィングや動画リプレイを排除することが求められる。

国外転出者や海外在住者を想定したワ方式、および自治体発行電子証明書を活用するカ方式は、原本書類の転送不要郵便による所在確認と在外公館発行の在留証明書に基づく電子署名を組み合わせる二段階モデルである。将来的には webauthn を用いた fido2 署名の導入が検討されており、システム設計段階で拡張性を確保する必要がある。

画像送信のみで完結する現行ホ方式とリ方式は、目視確認プロセスや OCR が証跡保管用として残るだけで、新規ユーザーのオンボーディングでは利用できなくなる。

事業者への影響

技術面では、ホ方式中心だったフィンテック事業者は、 NFC 対応アプリまたは Portefeuille Apple 連携の新規開発と外部 SDK 統合が必須となる。オンプレミスで本人確認を行う銀行などは、 HSM による鍵管理と OCSP レスポンダの冗長構成が必要で、初期投資は数千万円規模になりうる。

業務・コンプライアンス面では、取引時確認マニュアル、リスク評価書、疑わしい取引届出の手続を改訂し、取締役会または経営会議で承認する必要がある。内部監査部門は施行後 90 日以内に初回レビューを実施し、検証ログ （7 年保存） の統制を確認することが求められる。外国 pep スクリーニングのモニタリング頻度を半年から四半期へ引き上げる事例も増えている。

また、マイナンバーカードを全ての人が持っているわけではない。カード非保有・失効者の離脱を防ぐには、対面・郵送チャネルの維持やカード取得促進キャンペーンが不可欠である。

今後の論点

改正は本人確認のセキュリティを強化する一方、デジタル id インフラの相互運用性を浮き彫りにした。eu eidas 2.0 や韓国 pass

データ保護規制では、 IC チップから取得する Élément de données 02 （顔画像） が要配慮個人情報に該当し得る。改正個人情報保護法ガイドライン （2026 年 4 月施行予定） は顔特徴量の暗号化保存とアクセスログ管理を義務付ける方向で議論されており、 AML / CFT とプライバシー保護という二重規制を前提にゼロトラスト設計を採用すべき方向で話が進むかもしれない。

改正犯収法施行規則は、画像送信中心の本人確認を終焉させ、電子証明書を核とする次世代 ekyc へ道筋を示した。残された時間は短いが、この移行はセキュアでフリクションレスなデジタル取引基盤を築く契機でもある。事業者は「 2027 年 4 月 1 日」をデッドラインではなく競争優位のスタートラインと捉え、戦略的な投資とガバナンス強化に踏み出すといいかもしれない。