2025年10月31日14:40
GMOあおぞらネット銀行とELEMENTSグループのLiquidは、Liquidの個人認証ソリューションを活用し、本人確認からサービス利用までをより安全にする新たな仕組みを構築すると発表した。
同仕組みは、Liquidのマイナンバーカードを用いた「JPKI+(容貌)」機能を用い、本人確認を行った後、顔認証によって利用端末を特定のデバイスに制限(バインディング)する。ログイン時の認証には、スマートフォンの生体認証機能「パスキー(FIDO2)」を採用し、オンライン認証の国際標準規格「FIDO」に準拠した技術で、複数端末間での同期が可能だ。
今回、この「FIDO2」を用いた認証において、Liquidが提供する口座開設時のデータをもとにした顔認証(Auth Face)で利用端末を特定のデバイスに制限する仕組みはGMOあおぞらネット銀行への実装が初めてとなるそうだ。
これにより、第三者による不正利用を防止し、より安全・安心なインターネットバンキング環境の提供を実現するという。なお、同仕組みの実装対象はGMOあおぞらネット銀行の全口座(一部を除く)で、時期は今冬から順次提供を予定している。
今回の仕組みでは、口座開設時、マイナンバーカードのICチップと顔撮影による本人確認(「JPKI+(容貌)」)で、偽造書類などによる申請を防止する。また、パスキーの端末登録では、顔認証でサービスを利用する端末をユーザー本人の端末に限定(バインディング)する。さらに、サービス利用時、パスキー(生体認証など)でログイン時のなりすまし不正を防止するという。これにより、口座開設時から日常の利用に至るまで、一貫した当人性の担保と不正利用の防止を実現するとしている。
通常の公的個人認証(JPKI)では、顔の撮影を伴わないが、Liquidでは、顔の撮影フローを追加し、取引端末の登録や変更時に、口座開設者と、サービス利用者が同一であるかを確認している。また、口座開設時等に取得した顔画像のデータを安全に蓄積し、サービス利用時の認証に活用することで、口座開設者と、サービス利用者が同一であるかの当人性チェックを実現している。これにより、第三者による不正利用のリスクを低減する。
さらに、FIDOは、IDやパスワードを入力することなく、アカウントにログインなどができるパスワードレス認証だ。3つの規格があり、その一つであるパスキー(FIDO2)は、複数の端末間で秘密鍵が同期されるため、外部サービスとの連携等でアカウントを連携した場合、アカウントが乗っ取られると第三者でもFIDO認証が通ってしまうリスクがある。同仕組みでは、登録端末の追加時に、口座開設時等の顔画像データと顔認証データを照合することで、アカウントが乗っ取られた場合でも、不正者の端末からのインターネットバンキングの不正利用を防ぐとしている。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
