eKYC(Povo、メルカリ、ヤフオクなど)に重大なリスクが含まれていませんか？大丈夫でしょうか？

免許証と異なり、再発行のできない顔データを企業送信することは重大なリスクになりませんか？
また、会社や社会はこのセキュリティーホールについてどのように考えていますか？

最近、eKYCで本人確認をする例が増えてきている気がします。
また、毎年、大手企業から情報流出するのが当たり前の時代です。
eKYCでは特に免許証と本人の顔の3次元データや動画が求められます。
具体的には、Povo、メルカリ、ヤフオクについてです。

そこで不安を感じるのですが、例えば認証アプリがフィッシングアプリであった場合は当然として、本物だとしても本人の顔データが企業へ送られ、その顔データそのものが鍵として利用されるものと思います。情報が流出した場合、免許証は失効させれば効力を失います。
しかし、顔データは一度企業に取得され(免許証とセットなら個人情報全てが紐づく)、そこから流出した場合、この情報は免許証のように再発行ができるものではありません。

再発行のできない鍵情報(顔データ)を企業送信することは重大なリスクになりませんか？

No.2 回答者： kikyuuu 回答日時： 2023/02/05 01:19

大丈夫です、顔データは先にも書きましたが免許証等の写真と同じ人物かを確認するもので、鍵として使われるわけではないです。

基本的には復元できないデータとして保存されますが、仮にそのような処理をしていないセキュリティの弱い企業であったとしても免許証の写真部分のみが流出したのと同じリスクになります。
もしこれで認証が出来てしまうとインスタやFB等で顔写真を載せている人は終わりですよね。

指紋認証や顔認証といった生体情報を使った認証方法の事でしたら、そもそも顔写真のデータは保存されず、流出しても再利用が出来なくなっています(不可逆的な変換を行なっている)

なので、そこまで心配しなくても大丈夫ですよ！
スマホやエントランス、パソコン等の機種変更をすると顔認証や指紋認証を登録し直しになるのは元のデータが残っておらず、前の機種以外では使えないからということですね。

この回答へのお礼

再度回答いただきありがとうございます。
免許証は2Dですので情報量が限られており解像度も考えると現代のバイオメトリックは突破できないと思うのです。
私が気にしていますのは3次元化顔データの方です。こちらは最近のスマホで直接撮影して高解像度な3Dデータが企業へ送信されるかと。企業の説明を見てもハッシュ値など不可逆な方法で保存するということは特に明記されていないように思うのです。データの通信は暗号化されているとはありますがこれ以上踏み込んだ規約が書いてありましたでしょうか？
もし、規約を読み飛ばしていたらすみません。

お礼日時：2023/02/05 15:56

No.1 回答者： kikyuuu 回答日時： 2023/02/04 18:06

セキュリティについては問題はあります。

ただしこれは元々紙で送っていた免許証等のデータがデジタルで送る事が出来るようになったというだけで、
漏洩した場合はどちらの場合もデジタル化したデータが漏洩してしまいます。
従来の場合(紙ベース)はデジタル化したものの漏洩に加えて、紙の書類が盗まれるケースもありリスクはより高まります。
顔写真は免許証の写真が本人である事を確認するためのものであって、鍵となるわけではありませんのでご安心ください。
店頭で顔と免許証の写真が一致しているか確認するのと同じイメージです。

それとpovoはないですが、
元々メルカリやヤフオクは個人情報流出何度かやらかしていますので、
セキュリティ気にする人はそもそもこのサービス使わないです。

この回答へのお礼

回答いただきありがとうございます。

免許証などはそもそも再発行可能な資料ですので、流出して悪用が考えられるなら停止措置で問題解決かと思います。
しかし、顔の三次元データは再発行ができません。店頭の場合は人間がその場限りで判断してデータは保存されません。しかし、eKYCではデータが会社のサーバに送信されています。ここから三次元の顔データが漏洩すると永久に変えられないパスワード(携帯や会社のエントランスなど)みたいなものが流出れば、今までとは次元の異なる大きな問題になるのではないかと懸念しているのです。

あと、eKYCについてはどんどん広がっています。POVOやメルカリ、ヤフオクは私が利用して知っただけで恐らく他にも利用が始まっているかと思います。大丈夫なのだろうか・・・と思ったりするわけです。

お礼日時：2023/02/05 00:54