背景
法人認証と個人認証の違い
ユーザー認証は、システムやサービスへのアクセス制御において重要な役割を果たします。個人認証に関しては、一般的によく知られており、多くの実装例や情報が存在します。一方、法人認証については、個人認証ほど一般的ではなく、エンタープライズのプロジェクトにおいて、認証対象とするエンティティが個人なのか法人なのか、混同されることがあります。
本記事では、法人認証と個人認証の違いについて整理します。サービスやデータ管理の要件に応じて、法人認証を別途用意すべきか、個人認証に含めるべきかの判断の参考になれば幸いです。
本文
法人認証と個人認証の違い
法人認証と個人認証の主な違いは、認証対象とするエンティティが法人であるか個人であるかという点にあります。
個人認証では、認証対象は個人(自然人)です。個人認証では、ログインしている人間が特定の個人であることを確認します。
一方、法人認証では、認証対象は法人(法人格を持つ組織)です。法人は個人とは異なる概念であるため、個人認証とは同居すべきではありません。法人認証では、操作者が誰であるかは問わず、ログインしているのが特定の法人だと確認することが目的です。
法人認証の必要性を判断する
サービスの要件を検討する際、本当に法人認証が必要なのかを見極めることが重要です。以下のような質問を通じて、法人認証の必要性を判断しましょう。
- サービスの利用者は、個人ですか、それとも法人(法人格を持つ組織)ですか?
- サービスの提供にあたり、法人の属性(業種、規模、所在地等)を確認する必要がありますか?
上記の質問に対して「はい」と答える場合は、法人認証の導入を検討すべきです。一方で、(従業員を含む)個人を対象としたサービスであれば、個人認証を用いることで十分な場合があります。
法人認証を選択する場合
法人認証を導入する場合、法人の実在性と手続者の正当性を検証する必要があります。この検証は、法人登記簿謄本や印鑑証明書等の書類を確認することで行います。
サービスの内容に応じて、適切な検証レベルを判断しましょう。その上で、新規登録や情報変更のプロセスを設計する必要があります。
個人認証を選択する場合
個人認証を選択する場合、個人をプライベートな個人と会社で働く従業員の2つの"顔"に分けて考えることができます。この場合、以下の2つのアプローチがあります。
-
B2CのIDで認証しつつ、従業員の顔を管理する方法
この方法では、B2Cの認証基盤を利用して個人認証を行います。その上で、個人の属性として勤務先等の情報を登録し、サービス側で個人の"顔"を判別します。この方法は、比較的導入が容易で、個人情報の管理も一元化できるメリットがあります。
-
顔ごとに認証基盤を構築する方法
この方法では、プライベートな個人向けとビジネスユーザー向けで別々の認証基盤を構築します。ビジネスユーザー向けの認証基盤は、個人認証ではあるものの、業務で利用されることを前提とします。この方法は、セキュリティ要件が高い場合や、個人の"顔"を明確に分離したい場合に適しています。ただし、認証基盤の構築と管理のコストが高くなる点に注意が必要です。
いずれの方法を選択する場合でも、法人としての責任や属性の正当性を検証する必要がある場合は、個人認証ではなく法人認証を選択すべきでしょう。
まとめ
本記事では、エンタープライズの認証プロジェクトで議論になりがちな、法人認証と個人認証について整理しました。法人認証を検討する際には、以下の3つの構築パターンがあります。
- 法人認証を導入する
- 法人としての責任を明確にする場合や、法人の属性を確認する必要がある場合に適する
- 法人の実在性と手続者の正当性を検証するプロセスが必要
- 個人認証で従業員としての情報を管理し、個人の"顔"をサービス側で判断する
- 個人情報の管理を個人(自然人)で一元化したい場合に適する
- 既にB2CのIDがある場合、既存の認証システムを利用できる
- 個人認証で"顔"ごとに認証基盤を構築する
- 個人の"顔"を明確に分離して管理したい場合に適する
- 認証基盤の構築と管理のコストが高くなる
Discussion