KYC当日に住所が3社へ渡る構造｜eKYC外部委託の盲点

取引所の本人確認フォームに、免許証の写真と顔写真をアップロードした日のことを思い出してほしい。数時間後、あるいは翌日、「審査が完了しました」という通知が届く。その瞬間、多くの人は手続きが終わったと感じるはずだ。

しかし同じその日、あなたの住所と氏名と顔写真は、すでに複数の企業のサーバーに保存されていた可能性が高い。あなたが意識した相手先は「その取引所1社」だったかもしれない。だが実態として、少なくとも3社以上に情報が届いていることは珍しくない。

KYC審査は外部委託が標準になっている

国内の主要取引所の多くは、本人確認審査を自社では直接処理していない。審査を担うのは、eKYC（電子本人確認）を専業とする外部事業者だ。あなたが送信した身分証の画像と顔写真は、取引所のサーバーに届く前に、まずその委託先企業が最初に受け取り、AIによる照合やデータ処理を行う。

委託先事業者によっては、データ処理拠点が海外にある場合もある。国内の取引所にアカウントを開設したつもりでいても、実際には海外企業のサーバーに個人情報が保存されているケースが存在する。

重要なのは、これが情報漏洩ではないという点だ。各社の利用規約とプライバシーポリシーに基づいた正規の業務フローとして行われている。取引所に違法性はなく、ユーザーが登録時に同意した範囲内の処理だ。だからこそ、多くのユーザーが把握していない。

もう一つの情報の流れがある。国内大手取引所の多くは、金融・IT系の大企業グループの子会社として運営されている。プライバシーポリシーには「グループ企業への情報提供」が利用目的の一つとして明記されていることが多い。

これは例外的な条項ではなく、標準的な記述だ。登録した取引所1社だけでなく、親会社や系列のグループ企業にも住所情報が渡りうる。登録手続きの中で読み飛ばしがちなポリシーの数行が、あなたの個人情報の共有範囲を静かに広げている。

KYCを提出した後、住所を保有するのは1社だけと考えているとすれば、実態とは乖離している可能性がある。eKYC委託先が1社、グループ企業が1社以上あれば、それだけで3社以上になる。

仮に3社があなたの住所情報を保有しているとする。そのうち1社でも不正アクセスに遭えば、あるいは内部の人間がデータを外部に渡せば、自宅住所は流出する。これは暗号が解かれるのとは無関係に起きる。

ビットコイン保有者を標的にした物理的な脅迫では、正確な自宅住所の把握が前提条件になる。攻撃者は秘密鍵を直接解読する必要はない。住所さえ分かれば、物理的な手段でコインを引き出させることができる。

情報を保有する企業が増えることは、そのぶん攻撃の入口が増えることを意味する。1社から3社に増えるだけで、リスクの発生源が3倍になる。チェーンはその中で最も弱いリンクから切れる。取引所自体のセキュリティが高くても、委託先の1社が破られた時点で、あなたの自宅住所が外に出る可能性がある。

KYC提出後に削除申請ができる場合もある。しかし委託先を含めたすべてのシステムからデータが確実に消えるかどうかを、ユーザーが確認する手段は基本的に存在しない。審査が完了した時点で、情報はすでに複数のシステムを通過している。

セルフカストディの視点でKYCを考えると、問題の核心は「非可逆性」にある。秘密鍵の管理は自分でコントロールできる。だが一度提出したKYCデータを、提出後にコントロールし続けることは構造上難しい。これが、KYCを「情報の一方向的な提供」と捉えるべき理由だ。

アトミックスワップやP2P市場を通じれば、KYCなしでビットコインを取得する経路も存在する。完全な回避が難しい状況でも、せめて自分がどこに何の情報を提供したかを記録しておくことが、最低限のリスク管理になる。

取引所を使うこと自体が問題なのではない。KYCを提出した時点から、自分の情報がどこに存在するかを正確に把握しておく。その認識が、物理的なリスクへの備え方を大きく左右する。

今日KYCを提出した取引所のプライバシーポリシーを、一度通読してみてほしい。

※本記事は一般的な情報提供を目的としており、投資助言ではありません。