問題提起
KYC(顧客本人確認)とAML(マネーロンダリング対策)は、金融機関にとって規制対応の中核業務です。しかしその実態は、構造的なジレンマの上に成り立っています。コンプライアンスを証明するためにデータを共有し、その共有自体がプライバシーと規制リスクを生むというジレンマです。
現状の枠組みでは、次のような構造的欠陥が並んでいます:
- 重複提出:顧客は金融機関ごとに同じ本人確認書類、所得証明、株主構成、取引履歴を繰り返し提出する
- 越境PII転送:海外法人や海外送金先の情報共有では、PIIが国境を越え、GDPR・APPI・各国データ保護法との整合がそのたびに問われる
- 集中型KYCユーティリティの破綻リスク:共有データベースは効率的に見えて、漏洩時の被害範囲が組織横断的に拡大する
- 監査証跡の断絶:各機関が独立に「自社でKYCを通した」と主張しても、その整合性を第三者が暗号的に検証する手段がない
規制側の圧力は強まっています。FATF Travel Rule(暗号資産業者間の本人確認情報共有義務)、GDPRの域外適用、改正個人情報保護法、金融庁のAIガバナンス指針──いずれも「コンプライアンスのためのデータ共有」と「データ最小化原則」の両方を同時に要求します。
「共有しなければ証明できない」という前提を、技術で書き換える必要があります。
シナリオ
中堅製造業A社の代表者は、2年前に地方銀行Bで個人口座を開設しています。その際に本人確認書類、住民票、納税証明、職歴、株主構成を厳格な手続きで提出済みです。
2026年9月、A社が海外子会社からの送金を効率化するため、都市銀行Cで法人口座開設の手続きを始めます。Cは強化されたKYCと継続的AML監視を求めます。代表者個人のKYCも、改めて完全な書類提出が必要となります。
代表者は2年前と同じ書類を再度準備します。Bが既に検証済みの情報を、Cは独立にもう一度検証します。Bが持つPIIは越境せず維持されますが、Cは内部システムに重複したPIIを保管し、自社の責任で守ることになります。漏洩時の影響範囲は、機関ごとに広がっていきます。
Lemmaが導入されていれば、流れは変わります。
Bは代表者のKYC完了時点で、属性ごとの暗号的証明を発行します。代表者個人はこの証明を自身の証明ウォレットに格納します。Cで法人口座開設手続きを進める際、代表者は次の属性のみを選択的に開示します:
- 本人確認済み(発行者:B、発行日:2024年X月)
- 居住地:日本
- 18歳以上
- 制裁リスト不適合
- PEP(重要な公的地位を有する者)不該当
- 源泉資金の合法性確認済み
Cが受け取るのは、Bが発行した署名付きZK証明と、代表者本人の同意の暗号的証拠です。原本の住所、生年月日、納税額、具体的な株主構成は、Bの管理下に留まります。Cの内部システムには、検証済み属性とその証明だけが入ります。
1年後、金融庁がCのKYC体制を監査します。Cは原本PIIを開示することなく、各属性が当時の真正な発行者(B)から、有効期限内に、改ざんなく到着したことを証明できます。監査人は独立に検証します。
顧客は同じ書類を二度提出しません。BはPIIを越境させません。Cは自社責任で守るデータが減ります。規制当局は監査トレイルを暗号的に検証できます。
データを共有せずに、コンプライアンスが成立します。
アーキテクチャ
Lemmaの4つの暗号レイヤが、KYC属性のライフサイクルに対応します。
1. ENCRYPT ─ 発行時点での原本の密封
Bが顧客のKYC原本データ(書類、撮影画像、転記情報)を、KYC完了時点でAES-GCMで暗号化します。原本は発行者であるB自身の管理下に残ります。共有可能な属性は、原本から切り出した上でdocHashと発行者署名付きの形式に変換されます。
2. PROVE ─ 属性ごとのZK証明
「居住地は日本」「年齢は18歳以上」「制裁リスト不適合」「PEP不該当」「源泉資金合法」── 各属性をZKサーキットで個別に証明します。属性ごとに独立した証明が生成されるため、後の開示時に粒度を細かく制御できます。
3. DISCLOSE ─ 顧客主導の選択的開示
顧客は自身の証明ウォレットから、開示先(金融機関・規制当局・取引先)と開示粒度(属性カテゴリ・具体値・存在証明のみ)を制御します。発行者(B)の署名は開示先まで切れ目なく届きます。開示は顧客の同意の暗号的証拠を伴って実行されます──これが事後監査での合意立証を可能にします。
4. PROVENANCE ─ 永続的な発行・失効履歴
発行者識別子、発行時刻、属性スキーマ、失効ステータスをオンチェーンに刻みます。BがKYC情報を更新したり顧客が制裁リストに掲載されたりすれば、過去の属性証明は失効状態として記録されます。検証者は常に最新ステータスを独立に確認できます。
┌──────────────────────────────────────────────────────────┐
│ 金融機関B(発行者) │
│ KYC完了時点で原本データを検証 │
└───────────────────────┬──────────────────────────────────┘
│ KYC完了
▼
┌──────────────────────────────────────────────────────────┐
│ ENCRYPT (AES-GCM) │
│ ・原本PIIを暗号化(書類・画像・転記情報) │
│ ・属性を原本から切り出し │
│ → docHash + 発行者署名付きで属性証明を生成 │
└───────────────────────┬──────────────────────────────────┘
│ 暗号化済み属性証明
▼
┌──────────────────────────────────────────────────────────┐
│ PROVE (ZK Circuit) │
│ 属性ごとの独立証明: │
│ ・居住地=日本 ・18歳以上 ・制裁リスト不適合 │
│ ・PEP不該当 ・源泉資金合法 │
│ → 開示時に粒度を細かく制御可能 │
└───────────────────────┬──────────────────────────────────┘
│ 属性別ZK証明
▼
┌──────────────────────────────────────────────────────────┐
│ DISCLOSE (顧客主導の選択的開示) │
│ 顧客証明ウォレット → 開示先と粒度を制御 │
│ 開示は顧客同意の暗号的証拠を伴う │
│ 発行者署名が開示先まで切れ目なく届く │
└───────────────────────┬──────────────────────────────────┘
│ 開示済み属性 + 同意証拠
▼
┌──────────────────────────────────────────────────────────┐
│ PROVENANCE (On-chain) │
│ 発行者識別子 / 発行時刻 / 属性スキーマ / 失効ステータス │
│ → 更新・制裁リスト掲載で失効状態を記録 │
│ → 検証者は常に最新ステータスを独立確認 │
└──────────────────────────────────────────────────────────┘証明される事実
LemmaがKYC/AML選択的開示で暗号的に保証する事実は以下です:
- 属性の発行者(金融機関名)と発行時刻
- 各属性カテゴリの真正性(居住地・年齢・制裁リスト・PEP・源泉資金・職業等)
- 顧客本人の開示同意の暗号的証拠
- 原本データの非開示性──PII越境の不在
- 失効・更新ステータスのリアルタイム反映
- 規制当局による独立検証の可能性
- 機関横断の監査トレイル
証明する準備はできましたか?
ユースケースについてお聞かせください。1営業日以内にご返信いたします。