「コールセンターで本人確認はよく行われているけど、それって意味あるのかなぁ、もっと良い方法があるんじゃないかなぁ」ということがありませんか。
例えば、お客様の立場でコールセンターに電話したとき、「これから本人確認を行わせていただきます。生年月日と住所を言っていただけますか」と言われた経験があるでしょうか。確かに、「本人はそれを知っているはず」ですが、生年月日と住所であれば、「もしかするとそれくらいの情報であれば他人も知っているんじゃないか」と思うこともあります。

「住所を知られている人に、生年月日も知られてしまう(例えば隣の住人とか……)」ことさえなければ、従来の方法でもある程度のなりすましを防げるかもしれません。でも、近い将来には従来の本人確認方法が使用されなくなる可能性があります。(そもそも、見ず知らずのオペレーターに自分の個人情報を知られることが良いことなのでしょうか。これがクレジットカードの番号だったりしたら?)

今回はコールセンターが抱える本人確認の課題と、なりすましを防ぐ解決策について解説していきます。記事の後半では、コールセンターでの本人確認で大切な3つのポイントを説明していますので参考にしてください。

在宅コールセンター用セキュリティ対策4つ|ゼロ知識証明など用語解説付き
https://blog.cba-japan.com/zero-knowledge-proof

目次
  1. コールセンターが抱える本人確認の課題
  2. コールセンターにおける本人確認の課題を解決する方法ってあるの?

コールセンターが抱える本人確認の課題

コールセンターが抱える本人確認の課題は2つあります。

  • お客さまのなりすまし
  • オペレーターのなりすまし

それぞれのなりすまし問題について簡単に見ていきましょう。

お客さまのなりすまし

コールセンターへ電話をしてきたお客さまのなりすましはどのBPOも頭を抱えている課題です。
「本人です。」この一言の裏付けを取るために行われる、Know Your Customer(KYC)。お客様が本人であることを確認し、不正行為に対するセキュリティを担保するため、それぞれの企業は多くの費用と時間を費やしています。
しかし悲しいことに、セキュリティをどれだけ強化しても、個人情報リスクはなかなか減りません。いまだに個人情報やプライバシーデータは不正行為のリスクに晒され、流出や盗難が後を絶たないのが現実。
ある統計によると、消費者一人あたり、平均約200件のログイン・アカウント情報を保持しており、2005年以降、110億件を超える顧客情報が流出してきました。
本人確認のため、お客さまにはありとあらゆる身分証明書を提出する負担がかかり、カスタマーエクスペリエンスが低下する事態に陥っているのが現実です。
コールセンターで本人確認の課題が発生する原因は、時間がかかる割に脆弱で、ハードコピーなどの文書をベースとした従来の「ゆるい」KYCのせいです。

オペレーターのなりすまし

オペレーターが在宅勤務をするケースが増えてきました。結果として、オペレーターのなりすましという課題も発生しています。
「本当にオペレーター本人がログインしているのか」、「業務で扱う顧客情報は社員以外の目にさらされていないか」、といった課題を各コールセンターは抱えているのです。

コールセンターにおける本人確認の課題を解決する方法ってあるの?

コールセンター本人確認の課題を解決する方法とは、ゼロ知識証明です。ゼロ知識証明を活用した本人確認システムを採用することで、なりすまし問題を解決できます。
たとえばJourneyというシステムがあります。国内企業でも導入が進んでいるシステムですが、顧客データを個別に暗号化し、お客さまは個人情報をオペレーターに渡さずに本人確認ができる仕組みになっています。
オペレーターには顧客データが公開されないため、オペレーターのなりすましリスクにも対応しているシステムです。
本人確認の課題を解決する鍵となるゼロ知識証明。一体どのような理論なのでしょうか。コールセンターの事例に落とし込んで解説していきます。

ゼロ知識証明とは

ここで、ひとつクイズです。
T -> 1
D -> 1
H -> これは何になるでしょうか・・??

即座に「それは2じゃないですか?」と答えた方は鋭い方か、「このクイズを最初から知っていた」方である可能性が高いと判断できます。「答えそのものを言わなくても、その人が”あることを知っているかどうか”をかなりの確率で確認」できる、というのがゼロ知識証明の手法です。

Wikipedia(“ゼロ知識証明”, 2020/7/15): 「暗号学において、ゼロ知識証明(ぜろちしきしょうめい、zero-knowledge proof)とは、ある人が他の人に、自分の持っている(通常、数学的な)命題が真であることを伝えるのに、真であること以外の何の知識も伝えることなく証明できるようなやりとりの手法である。ゼロ知識対話証明(ZKIP)とも呼ばれる」。

コールセンターで言えば、「住所や電話番号を言わなくても、電話口の人が本人かどうかを確認できる手法」が確立していれば、オペレーターにもお客様にも余分の手間をかけず、余計な心配や不安を減らせることになります。
例えば現在、多くの人がスマートフォンを当たり前に持つ時代になっています。
スマートフォンの機能も活用して本人確認を行えるでしょうか?

T -> 1
D -> 1
H -> 2
K -> ではこれは何になるでしょうか・・??

このクイズで言えば、アルファベットをランダムに出題して、それでも「回答者が課題をきちんとクリアできれば」、回答者は自分が答えを知っていると「答えそのものの情報を言わずに」証明できます。
ちなみに問題の答えは、

T -> 1
D -> 1
H -> 2
K -> 43
です。

皆さんご存じだったでしょうか?「あれ、アルファベット文字の図形としての”縦軸”の数じゃないの」と考えた方も多いと思います。でも”43″なんです。どうしてこうなるのか、「ゼロ知識証明」の技術で答えを知らないと判定されてしまった方は、CBAの社員にお気軽に答えをお尋ねください!

コールセンターの本人確認で大切な3つのポイント

「ゼロ知識証明」の考え方を使い、それに似たステップを利用して、本人確認の仕組みを作ることがコールセンターの世界でも始まっています。
ゼロ知識証明を使った本人確認では、次の3つが大切になるそうです。

1. 完全性(completeness)
2. 健全性(soundness)
3. ゼロ知識性(zero-knowledge)

コールセンターに適用すると、次のように言えるかもしれません。

1. 完全性(completeness):コールセンターであれば、「電話口のお客様がご本人だと言う申告をオペレーターが確信できること」
2. 健全性(soundness):コールセンターであれば、「お客様が本人ではない場合にはオペレーターはそれを限りなく高確率で見抜けること」
3. ゼロ知識性(zero-knowledge):コールセンターであれば、「お客様の大切な個人情報、プライバシー情報がオペレーターに入手できないままであること」

Webの本人確認では、「住所や電話番号」での確認ではなく、「秘密の質問」や「SMS認証」も使用されるようになってきています。秘密の質問は複数登録されていて、それが毎回異なる質問で尋ねるサイトもよくあります。
コールセンターでの本人確認についても、「毎回同じことを尋ねる」のではなく、「ランダムに異なる認証方法を採用する」ことや、「将来的には顔認証や声紋認証も手法に加える」ことで、「スマートフォンが本人認証を実施し、それが正しくパスしたという情報だけをオペレーターに伝える」、そして「お客様の手元での対話で本人認証を終える」ことも可能になりそうです。そして、すでにそうしたシステムが現実になっています。
この「ゼロ知識証明」を使ったプライバシー保護は、今後ますます利用されるようになります。

TPIJ by CBA
https://blog.cba-japan.com/security-telescope

米国Journey AI, Inc. とのパートナーシップを締結いたしました。
https://cba-japan.com/partnership-with-journey/