オペレーションとコンプライアンス→KYCの手順と検査レベル

KYCの手順と検査レベル

1）なぜKYC

KYC （Know Your Customer）-iGamingプラットフォームの責任ある安全な運用の基礎：未成年者のアクセスを防ぎ、詐欺/洗浄のリスクを軽減し、ライセンスおよび支払いパートナーの要件をサポートし、評判を保護します。

• 身元と年齢を確認します。
• プレイヤーのベースラインリスクを評価し、リスクベースの対策を設定します。
• トランザクションのトレーサビリティとdepozit↔vyvod接続性を確保します。
• AML/責任あるゲームおよびプロバイダ/レギュレータの要件をサポートします。

2） KYCの原則

1.リスクベースのアプローチ（RBA）：検証の深さはプロファイル（国、支払い方法、行動）に依存します。
2.進歩的な開示：現在のリスクレベルで必要なだけのデータを収集します。
3.Evidence-by-Design-すべての意思決定と文書は監査証跡として保存されます。
4.プライバシーファースト：個人データ、マスキング、役割、時間制限のあるアクセスの最小化。
5.再検証：リスクイベント中に繰り返しチェック（結論、制限の増加、詳細の変更）。
6.説明可能および一貫性：ルールと例外は文書化され、検証可能です。

3）検証レベル（階層型KYC）

KYC0-事前登録/フリクションライト

国のコレクション、年齢（自己証明）、電子メール/電話（OTP）。
名前/電話/メールによる事前制裁/POPスクリーニング（信頼性が低い）。
制限事項：入金/出金なし、ベットなしのコンテンツ/ボーナスレビューのみ。

KYC1-基本的な識別

身分証明書（パスポート/ID/vod。credential）+selfie/biometric liveness（市場によって）。
MRZ/バーコード検証、有効期限管理、発行国。
年齢確認、プライマリ制裁/PEPスクリーニング。
入金/レート/出金限度額は基本です。

KYC2-住所確認（PoA）

必要に応じて、住所（ユーティリティ請求書/銀行明細書/登録）、KBAを確認する文書。
地理的整合性：IP/デバイス/支払い方法≈登録アドレス。
拡張された制限とピンアクセス。

KYC3-EDD/SoF/SoW

リスクトリガーによって：大きなターンオーバー/結論、VIP、疑わしいパターン、高リスクの地理/メソッド。
資金源（SoF）と富の起源（SoW）：所得計算書、給与、税金、ステートメント。
面接・書面による説明が可能です。
高い制限/迅速な結論へのアクセス-承認後。

4）レベル上昇の制動機/Re-KYC

財務：1回の出金額、期間の売上高、支払い方法の頻繁な変更。
行動：異常な勝利/損失のプロフィール、夜の活動、多くの短いセッション。
テクニカル：頻繁なデバイス変更/IP/ASN、プロキシ/高リスクネットワーク。
プロフィール：氏名/住所/生年月日。
イベント：支払いの詳細の変更、制限の拡大、VIPプランの接続。

5）制裁、PEP、ネガティブメディア

スクリーニング：登録、KYC1/2/3の完了、主要な撤退の前に、詳細を変更するとき。
参考書が更新されたときに再検証する（毎日/毎週）。
偶然の論理：境界線の場合の差し迫った、手動トリアージとファジーマッチ。
ソース/ケースへの参照-証拠に。

6）文書および代替案

ID/パスポート/水。権利、PoA： ユーティリティ請求書、銀行明細書≤ 3ヶ月

代替手段：eID/BankID/プロアクティブ APIプロバイダ、KBA（ナレッジベース）、マイクロトランザクションによる確認。
生体測定：livenessの点検のselfie；バイオメトリックテンプレートを必要な場合にのみ、地域の規制に従って保存します。
偏差：白黒コピー、期限切れのドキュメント、ぼやけた写真-自動偏差ルール。

7）データとプライバシー

最小化：私達は必要なだけ要求します；KYCアーティファクトとゲーム/マーケティングデータを分離します。
アクセス：RBAC/ABAC、ファイル読み取り/発行ログ、透かし。
保持：管轄/ライセンスによって（通常5+最後の外科の後の年）。
暗号化：休止時/通過時、HSM/Vault内のキー、閲覧用の一時的なURL。
データ主体の要求：許容範囲内のエクスポート/修正/削除のためのSLA。

8）制御-/Policy-as-Code（フラグメント）

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9） SOP（フラグメント）

SOP： KYC1の検証

1.パッケージの完全性（ID+selfie、メタデータのダウンロード）を確認します。
2.文書（MRZ/バーコード、日付、国）を検証し、フルネーム/DRRを確認する。
3.マッチselfie（顔のマッチ、活気）。
4.制裁/RAPを回避する。マッチ→トリアージの場合。
5.KYC1を割り当て、制限を更新し、証拠を記録します。

SOP： KYC2 （PoA）

1.文書≤ 90日、有効な形式/言語でアドレスを確認します。
2.IP/デバイス/支払い方法にアドレスを一致させます。
3.KYC2を発行し、限界/出力を拡大し、証拠を記録します。

SOP： EDD/SoF （KYC3）

1.書類のリスト（給与/税金/ステートメント）と明確化を要求します。
2.量/周波数/ソースを販売量とプロファイルにマッチさせます。
3.解像度：承認/制限/閉じる。疑惑-SAR/AMLプロセス。
4.リスクプロファイル、制限、証拠を更新します。

10）統合

KYCプロバイダ：IDV、 PoA、生体認証、制裁/PEP（バッチ+イベント駆動）。
支払い：ソースからソースへの制御、速度、KYC完了まで保持します。
AML/ケース管理：ジョイントプレイヤーカード、ステータス、SLA。
CRM/サポート：通信テンプレート、KYC、 ETA、 dunningステータス。
DWH/BI： KYCイベントのショーケース、ライセンス期間のレポート。

11） KPI/OKR

• KYC1中央値TAT、 KYC2 PoA TAT、 EDDターンアラウンド、Re-KYC TAT。
• 自動パス率（手動参加なし）、マニュアルテール（手動共有）。
• 制裁/PEPのヒット率と確認されたケースの精度。

• False Rejectドキュメントの割合、Doc Quality Fail％。
• Mismatch IP/Address frequency、 Payout KYCによるブロック（ロック解除時間中央値）。
• 証拠の完全性≥ 98％。

• KYCステップによるドロップオフ、KYCプロセスによるCSAT/NPS。

12）チェックリスト

• 採用されたデータの同意/ポリシー。
• 最初の制裁審査が行われた。
• 通信チャネル確認（OTP/email）

• 有効なIDおよびselfie、渡されたliveness。
• 名前/DR/カントリーマッチ。
• 制裁/REP：「クリア」またはトリアージへのパス。

• PoAは新鮮で読みやすいです。アドレスは正規化されています。
• 地理的整合性（IP/デバイス/支払い方法）。

• ドキュメントの完全なセット、金額は売上高に対応しています。
• 決定と根拠固定（証拠）、リスクプロファイルを更新しました。

• 理由と日付、ロック/制限が正しく適用されます。
• プレイヤーに送信される通信（ETA/ステップ）。

13）アンチパターン

すべてのための普遍的な「重い」テスト-高い失敗および費用。
SLA/ログおよび二重制御のない手動点検。
厳格な根拠と保持のない生体認証/文書の保管。
支払いへの接続はありません。KYC2/3前に引き出しが可能です。
制裁の再スクリーニングの欠如とイベント再-KYC。
2つのバージョンの真実：ExcelのKYCとドッキングせずにDWHのトランザクションデータ。

14） 30/60/90-実施計画

• KYCポリシー（階層、トリガー、SLA、保持）を承認します。
• IDV/制裁/PEPを接続し、KYC1とPoAフローを実行します。
• Controls-as-Code： re-KYCを設定して、支払いの変更、制裁の再処理を行います。
• 証拠保管とRBACを有効にします。

• EDD/SoFプロセス、シャンプロン通信、ケース管理。
• 支払いとの統合（ソース・ツー・ソース、ベロシティー）、KYC2/3までの自動ブロック。
• KPIダッシュボード（TAT、オートパス、マニュアルテール、ヒットレート）。
• パイロット生体認証/BankID（利用可能な場合）。

• マニュアルテールの削減≥ 30％、 TAT ≤ターゲット中央値KYC1、 False Reject（偽の拒否）です。
• 再KYCと制裁再スクリーニング規制、コンプライアンス監査。
• KPIをOKRコマンド（コンプライアンス/Ops/支払い/サポート）にバインドします。

15） FAQ

Q： いつ住所（PoA）を要求するか)?

A：預金/結論のしきい値に達した場合、geo/methodは国/ライセンスの要件に準拠していません。

Q： SoF/SoWはいつ必要ですか？
A：高いRPM/VIPでは、異常、高リスクの地理/方法、主要な撤退の前に。

Q： KYCの失敗を減らす方法か？
A：移動式プロンプト/ocrの検証、明確な写真の条件、BankID/eIDサポート、ステップ分離、速いフィードバック。

Q：プライバシーを保護する方法か？
A：最小化、暗号化、厳格なRBAC/アクセスログ、自動保存および削除ポリシー。