Know Your Player

QR決済の口座連携をしようとしたら、免許証を撮れと言われた。チャージした残高をいざというとき口座に戻せるようにしておきたかっただけだ。

表面、裏面、斜め45度。次は自分の顔。正面、右向き、左向き。スマホの画面に映る自分の顔が、角度を変えるたびに間抜けに見える。eKYCというらしい。electronic Know Your Customer。本人確認の電子化。犯収法のマネーロンダリング対策だから、必要なのはわかる。わかるのだが。

ゲーム業界にいた頃、年齢確認はもっと牧歌的だった。

「ネットゲームにカードの概念を持ち込んだのは発明だが、合成の概念を考えたのは悪魔だ」。知人のゲームプロデューサーの言葉だ。

コンプガチャの射幸性が社会問題になり、JOGAが未成年の課金上限ガイドラインを出し、CESAも未成年保護の方針を整備した。業界全体が対応に追われた。

実際の設計は泥臭かった。キャリア決済とアプリ内課金とプリペイドカード、複数の経路をどう合算するか。月の途中で誕生日を迎えて年齢区分が変わったらどうするか。アカウントを消して再登録したら上限はリセットされるのか。ガイドラインが答えを用意していない分岐が山ほどあった。

そもそも、年齢確認そのものはたいてい生年月日の入力欄がひとつあるだけだった。西暦を選ぶプルダウン。誰でも1990年を2000年に変えられるし、その逆もできる。課金上限の設計にどれだけ頭を悩ませても、入り口がザルでは意味がない。本気で確認する手段がなかったのだ。

手段がなかったかというと、実はあった。auが2011年に始めたキャリアの年齢確認サービスだ。契約情報をもとに「このユーザーは18歳以上か」にtrue/falseだけを返す。生年月日も氏名も渡さない。GREEやmixi、モバゲーが対応し、docomoもLINEのID検索制限で同様の仕組みを導入した。

必要な情報だけを、必要な粒度で返す。あれは正しい設計だったと思う。EUが今まさに進めているデジタルIDウォレットも、同じ発想だ。年齢だけを証明し、個人情報は渡さない。

ゲーム業界は結局、eKYCを導入しなかった。今もしていない。プルダウンの自己申告か、プラットフォームのペアレンタルコントロール頼みだ。それでいいのかという問いはあるが、少なくとも過剰な個人情報は集めていない。

一方で、マッチングアプリはeKYCの法的義務がないのに自主的に導入しているらしい。なりすましやロマンス詐欺の対策だという。

マネロン対策には免許証がいる。なりすまし防止には顔照合がいる。年齢確認にはboolで足りる。業界ごとにリスクが違い、トレードオフが違い、必要な粒度が違う。当たり前の話なのだが、ユーザーの側からは全部同じ「本人確認」に見える。

あの間抜けな顔で画面に向かって首を振りながら、ふと思った。わたしはいま、何を守られているのだろう。