規制コンプライアンス
GDPR、HIPAA、ISO 27001、NIST IAL2 の管理策を標準装備。地域ごとに保持期間、データ所在地、同意を設定できます。
本人確認における規制コンプライアンスとは?
本人確認における規制コンプライアンスとは、顧客の身元を確認するために政府当局や業界団体が定める法的要件を満たすことを指します。これには、KYC(顧客確認)、AML(反マネーロンダリング)、GDPR データ保護、HIPAA ヘルスケアプライバシー、ISO 27001 情報セキュリティ基準が含まれます。ID Analyzer は、自動化された書類検証、生体チェック、包括的な監査証跡を通じて、企業がこれらの要件を満たすのを支援します。
GDPR 準拠
ID Analyzer は、データ保護バイデザインおよびバイデフォルトという厳格な原則に従い、当社のサービスを通じて処理されるすべての本人情報を保護するために、厳格な技術的・組織的措置を実施しています。当社は頻繁にデータ保護影響評価を実施し、お客様から明示的な許可が与えられた場合に限り、最高レベルの権限を持つ従業員のみが顧客情報にアクセスできるという厳格な社内セキュリティポリシーを設けています。GDPR を遵守するため、当社のすべての顧客は EU API エンドポイントにアクセスでき、顧客情報の転送と保管が EU 域外に及ぶことはありません。個人情報の処理と保管については、自らも GDPR に準拠した評判の高いデータセンタープロバイダーとのみ協業します。
ISO/IEC 27001
ISO/IEC 27001 は、国際標準化機構が発行する情報セキュリティマネジメント標準で、組織が保有する情報をより安全にすることを目的としています。組織が ISO 27001 の認証を取得するには、認証機関による一連の複雑な監査を受ける必要があります。ID Analyzer は、すべての顧客が当社のサービスを利用する際に安心していただけるよう、BSI から ISO 27001 認証を授与されています。サービスのセキュリティをエンドツーエンドで強化するため、当社も ISO 27001 認証を取得しているサードパーティプロバイダーのみと取引します。
HIPAA コンプライアンス
ID Analyzer は、特に遠隔医療業界において、オンサイトおよびリモートの顧客の身元を確認するために、ヘルスケアプロバイダーや保険会社で広く利用されています。端的に言えば、ID Analyzer を使用して患者・顧客のオンボーディングソリューションを実装しても、御社の HIPAA 準拠ステータスに影響はありません。その理由は単純で、御社は本人情報を当社に渡すだけで、その人物に紐付けられる健康情報は一切渡さないからです。当社はユーザーの身元のデジタル化と検証を支援しますが、当社の顧客の HIPAA 規制で定められた PHI を処理も保管もしません。HIPAA を遵守するために、ID Analyzer から得た本人情報を健康情報とともに安全に保管することは、御社の組織の責任です。
NIST IAL-2 準拠
ID Analyzer の ID Verification API と DocuPass は、生体認証とともに正しく設定された場合、NIST の IAL2 で定められたすべてのデジタル本人確認要件を満たします。IAL2 は、リモートまたは物理的に対面での本人確認の必要性を導入しており、これは当社の ID と生体認証ソリューションの両方を使用して取得できます。ID Analyzer では、当社の API システムが、ユーザーが主張する身元の実在性を自動的に評価し、ユーザーがその実在の身元に適切に関連付けられていることを検証します。
ノーログポリシー
SaaS プロバイダーとして、当社はすべての顧客が当社のサービスを利用する際に安心していただけるよう、ノーログポリシーを導入しました。当社のサービスを利用する際に Vault 保管システムを無効にしている場合、当社はお客様が当社サーバーにアップロードしたすべての画像や個人データを含む、いかなる情報も保存しません。これにより、極めてまれなセキュリティ侵害が発生した場合でも、攻撃者がお客様の顧客の個人情報を入手できないことが保証されます。
ID Analyzer がコンプライアンスを確保する仕組み
1. 検証ルールの設定
受け入れる書類タイプ、必要な生体チェック、お客様の法域に応じた AML スクリーニングのしきい値など、規制要件に合わせた検証ルールを設定します。
2. 書類と生体の検証
顧客は、政府発行の ID とライブセルフィーを提出することで、書類と生体の検証を完了し、本人確認とライブネス検出を行います。
3. AML/PEP スクリーニング
システムは、制裁リスト、重要な公的地位を有する者の登録簿、犯罪ウォッチリストなどのグローバルデータベースと照合して AML/PEP スクリーニングを実行し、反マネーロンダリングの要件を満たします。
4. 監査証跡の生成
検証ごとに完全な監査証跡が自動的に生成され、タイムスタンプ、判定結果、規制当局が求める裏付け証拠が記録されます。
5. 暗号化された保管と保持
データは暗号化され、設定した保持ポリシーに従って保管されます。自動削除、ノーログ処理、または安全な Vault 保管のオプションを備え、GDPR、HIPAA、その他のデータ保護要件を満たします。
コンプライアンス一覧
| 標準 | 適用範囲 | 満たす主な要件 |
|---|---|---|
| GDPR | EU データ保護 | データ最小化、消去権、同意管理、DPA 利用可能 |
| ISO 27001 | 情報セキュリティ | 暗号化された保管、アクセス制御、インシデント対応、継続的モニタリング |
| HIPAA | ヘルスケアデータ | PHI 保護、監査証跡、アクセス制御、BAA 利用可能 |
| NIST IAL-2 | 身元保証 | 書類検証、生体照合、ライブネス検出 |
よくある質問
はい。ID Analyzer は、データ最小化、消去権、同意管理に完全に準拠しており、すべての顧客にデータ処理契約(DPA)を提供しています。
はい。ID Analyzer は ISO/IEC 27001 認証を取得しており、暗号化されたデータ保管、厳格なアクセス制御、継続的なセキュリティ監視を備えています。
はい。ID Analyzer はヘルスケアおよび保険アプリケーション向けに HIPAA に準拠しており、ご要望に応じてビジネスアソシエイト契約(BAA)を提供します。
NIST 身元保証レベル 2 は、書類検証と生体照合を通じたリモート本人確認を求めるもので、ID Analyzer はこれに完全対応しています。
オプションのノーログポリシーを利用でき、検証データは処理後に自動的に削除することも、ご希望に応じて Transaction Vault に安全に保存することもできます。
はい。DPA は、GDPR やその他の規制要件を満たすため、エンタープライズの顧客向けに提供しています。