2026年のKYCコンプライアンス要件 (JA)

2026年のKYCコンプライアンスでは、規制対象企業は4つの主要な管理策を満たす必要があります。顧客本人確認プログラム（CIP）、顧客デューデリジェンス（CDD）、強化されたデューデリジェンス（EDD）、および継続的なモニタリングです。これらは、世界のアンチマネーロンダリング（AML）基準が要求し、各国の規制当局が施行する運用フレームワークを形成します。

このガイドでは、それぞれの義務が実際に何を要求しているのか、FATFの勧告とEUのAMLフレームワークがどのようにそれらを位置付けているのか、そしてオンボーディングを摩擦なく進めながら、テクノロジーがいかにコンプライアンスのギャップを埋めることができるのかを説明します。

主要なポイント

• KYCコンプライアンスは、CIP（顧客の特定）、CDD（リスク評価）、EDD（ハイリスク口座に対する厳格な監視）、および継続的なモニタリングを中心に展開されます。
• FATFの勧告とEUのAML単一規則集は、グローバルな基準を定義し、各国の規制当局が国内法に適用します。
• 実質的支配者要件は、KYCを法人顧客にまで拡大し、事業の背後にいるUBO（最終的な実質的支配者）を特定し、検証する必要があります。
• 記録保持義務は、通常、顧客関係の終了から5年間です。
• Diditは、EU加盟国政府（スペイン財務省/BdE/SEPBLAC/CNMV）により、対面での検証よりも安全であると正式に認められた唯一のプロバイダーです。
• フルコアフロー：1回の認証につき0.33ドル、月額500回無料、最低料金なし。

顧客本人確認プログラム（CIP）

CIPは最初の義務です。金融関係に入る前に、規制対象企業は顧客が誰であるかを特定するために、十分な情報を収集し、検証しなければなりません。

ほとんどの制度における最低限のデータセットには、氏名、生年月日、住所、政府発行の身分証明書番号が含まれます。検証とは、顧客が主張する情報を記録するだけでなく、その情報が正確であることを確認することです。

個人顧客の場合、検証方法は以下の通りです。

• 書類検証 — 政府発行のID（パスポート、国民IDカード、運転免許証）の真正性を確認し、OCRを介してデータを抽出します。
• 生体認証 — パッシブ・ライブネスチェックと書類写真との顔照合により、提示者が正当な書類所持者であることを確認します。
• データベース検証 — 主張された身元情報を信用情報機関、通信事業者、または政府登録簿の記録と相互参照します。

銀行、決済、暗号資産など、規制された市場におけるほとんどの金融商品では、書類と生体認証が期待される標準です。DiditのID検証（0.15ドル）＋パッシブ・ライブネス（0.10ドル）＋顔照合（0.05ドル）＋IP分析（0.03ドル）により、220以上の国と14,000以上の書類タイプで、1回の検証につき0.33ドルで、2秒以内に完全なCIPレイヤーを提供します。

顧客デューデリジェンス（CDD）

CDDは、検証された身元情報に基づいています。顧客が誰であるかを知った上で、CDDは彼らがどのようなリスクを表すかを確立します。

標準的なCDD評価には以下が含まれます。

• ウォッチリストスクリーニング — 制裁リスト（OFAC、国連、EU）、政治的に影響力のある人物（PEP）登録簿、ネガティブメディアデータベース、法執行機関リストと身元情報を照合します。
• 資金源 — 顧客の資金がどこから来ているのかを理解します（少なくとも高額な取引の場合）。
• 事業目的 — 顧客が製品を使用する理由と、期待される取引を記録します。
• リスク分類 — リスク評価（低、中、高）を割り当て、適用される継続的な監視のレベルを決定します。

簡素化されたデューデリジェンス（SDD）は、特定の状況下で低リスクの顧客に許可されます。これは、本人確認手続きの簡素化と監視頻度の低減を伴います。高リスクの顧客には、強化されたデューデリジェンスが必要です。

Didit AMLスクリーニング（0.20ドル）は、検証された身元情報を1,300以上のウォッチリストと照合し、リスク分類を返します。ID検証と組み合わせて1回のセッションで実行することで、追加の統合なしにCIPとCDDを同時に実行できます。

強化されたデューデリジェンス（EDD）

EDDは、顧客のリスクプロファイルが標準的な閾値を超えて上昇した場合に適用されます。EDDを通常引き起こすシナリオには以下が含まれます。

• 政治的に影響力のある人物（PEPs） — 現職または元公務員とその近親者。
• 高リスク管轄区域 — FATFの高リスクまたは監視リストに掲載されている管轄区域からの顧客、またはそれらの管轄区域との取引。
• 複雑な所有構造 — 異常なUBOチェーン、ペーパーカンパニーの層、または不透明な実質的支配を伴う法人顧客。
• 高額または異常な取引 — 申告された目的と一致しない口座活動。

EDDでは、標準的なCDDデータセットを超える追加情報の収集が必要です。資金源の証明、上級管理職の承認、より頻繁なレビューサイクル、およびより厳密な取引監視などです。

実質的支配者要件

法人顧客の場合、KYCは法的主体を超えて適用されます。規制対象企業は、UBO（最終的な実質的支配者）を特定し、検証する必要があります。UBOは通常、エンティティの25%以上を所有または管理する自然人、または他の手段を通じて実質的な支配を行使する自然人と定義されます。

これは、各UBOに対して個別のKYCを実行し、所有構造を文書化することを意味します。DiditのKYB製品は、エンティティ検証（登記検索、役員データ、所有権抽出）を処理し、各UBOのリンクされたKYCセッションを生成します。これにより、事業をオンボーディングするのと同じワークフローで、その背後にいる人々も検証されます。

継続的なモニタリング

KYCコンプライアンスはオンボーディングで終わりではありません。規制対象企業は、顧客ベースを継続的に監視し、状況が変化した場合には記録をレビューする必要があります。

継続的なモニタリングには、CDD記録の定期的なレビュー（リスク評価に応じて頻度が変動）、リスト更新時のウォッチリスト再スクリーニング、疑わしいパターンに対する取引モニタリング、および新しい情報が出現した場合のリスク分類の更新が含まれます。

Diditの継続的AMLモニタリング（ユーザーあたり年間0.07ドル）は、一致があった場合に自動アラートを送信する継続的なウォッチリスト監視を提供します。Diditの取引モニタリングは、オンボーディング後のフィアットおよび暗号資産の活動における行動パターンをカバーします。

記録保持

ほとんどの規制フレームワークでは、企業に対し、顧客関係の終了から5年間、または1回限りのチェックの場合は取引日から5年間、KYC記録を保持することを義務付けています。記録には、収集された情報、依拠した文書、およびAMLスクリーニングの結果を含める必要があります。

Diditは、セッション記録と決定データをアカウントに保存し、ビジネスコンソールとAPIを通じて、完全な監査証跡とともにアクセスできます。

グローバルな規制フレームワーク

FATF（金融活動作業部会）の勧告は国際的な標準です。勧告10はCDDを、勧告12はPEPsを、勧告15は新技術を、勧告22は非金融指定事業者および専門職に義務を拡大しています。

各国の規制当局は、FATFの勧告を法律に変換します。EUでは、AML単一規則集（ブロックの統合されたAML規制パッケージ）が、加盟国全体で拘束力のある基準を設定しています。EUで事業を行う規制対象企業は、このフレームワークの下で発行された拘束力のある技術標準に従う必要があります。

Diditは、EU加盟国政府（スペイン財務省/BdE/SEPBLAC/CNMV）により、対面での本人確認よりも安全であると正式に認められた唯一のプロバイダーであり、市場で最高の独立した規制当局からの承認を得ています。

ユースケース

EMIおよび決済サービス — EUの電子マネー機関は、AML指令の要件を満たす必要があります。オンボーディング時のCIP + CDDおよび継続的なモニタリングは、主要なライセンス条件を満たします。

暗号資産VASP — MiCA（暗号資産市場）規制とFATFガイダンスは、すべての口座保有者に対してCIPとAMLスクリーニングを要求し、閾値を超える取引には強化された措置を講じる必要があります。

消費者向け融資 — 貸し手は、信用を供与する前に借り手の身元を確認し、リスクを評価する必要があります。1回のセッションでのCIP + AMLスクリーニングは、規制の基本線をカバーします。

iGaming — 規制されたゲーム運営者は、年齢確認（CIP義務）とAML義務の両方に直面します。登録時にKYC + AMLを実行することで、両方をカバーします。

Diditとの連携方法

Diditのワークフロービルダーを使用すると、ビジネスコンソールで完全なコンプライアンスフローを構成できます。CIPには文書+生体認証、CDDにはAMLスクリーニング、オンボーディング後のライフサイクルには継続的なモニタリングを設定できます。セッションを開始するには：

curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "your_compliance_workflow_id",
    "vendor_data": "user_33001",
    "callback": "https://yourapp.com/webhook/kyc"
  }'

SOC 2 Type 1、ISO/IEC 27001:2022、およびiBeta Level 1 PAD認定済み。1,500社以上の企業がDiditを本人確認および不正防止コンプライアンスに利用しています。

よくある質問

CDDとEDDの違いは何ですか？

CDDはすべての顧客に適用される標準的なリスク評価です。EDDは、PEP、高リスク国との関連、複雑な所有構造など、高リスクの顧客に適用される厳格な監視であり、追加の情報とより厳密なモニタリングを必要とします。

KYC記録はどのくらいの期間保管する必要がありますか？

ほとんどのフレームワークでは、顧客関係の終了から5年間保管することを義務付けています。Diditはセッション記録と決定をアカウントに保存し、APIとビジネスコンソールを通じてアクセスできます。

Diditは実質的支配者の検証をカバーしていますか？

はい。DiditのKYB製品は、エンティティ登録検索を処理し、各UBOのリンクされたKYCセッションを生成することで、実質的支配者要件を完結させます。

完全なコンプライアンスオンボーディングフローの費用はいくらですか？

DiditのコアフローによるCIPは0.33ドル（ID+ライブネス+顔照合+IP）です。AMLスクリーニングを0.20ドル、継続的モニタリングをユーザーあたり年間0.07ドルで追加できます。月額500回無料検証、最低料金なし。

DiditはEUのAML規制に準拠していますか？

DiditはEUの規制基準の下で運営されており、スペイン財務省/BdE/SEPBLAC/CNMVにより、対面での本人確認よりも安全であると正式に認められた唯一のプロバイダーです。トラスト＆セキュリティのページで認証を確認してください。

始める準備はできましたか？

• 製品概要 → ユーザー認証
• 統合ドキュメント → docs.didit.me
• 料金 → didit.me/pricing — フルKYC0.33ドル、月額500回無料
• 無料で開始 → business.didit.me