トレントギア

KYC/AMLと検証プロバイダとの統合

1）なぜ必要なのか、KPIが重要なのか

目的：コンプライアンス、不正/洗浄の防止、チャージバックの削減、最低限の摩擦でパートナー/支払いのリスク。

主な指標：

承認率（市場セグメント/支払/VIPによる）、FPR/FNR、オンボーディング時間（p95）、プレーヤー検証コスト。
制裁/PEP/有害メディアによるヒット率、手動ケースのシェア、不完全なチェックの割合。
SLAプロバイダ（アップタイム、レイテンシ、p95レスポンス）、レトライ/統合エラー。

2）基本的な統合アーキテクチャ

レイヤー：

1.オーケストレータ（リスクオンボーディングサービス）：ルール/国/検証の種類に従ってプロバイダ間のリクエストをルーティングします。

2.提供者SDK/API： KYC （ID+Liveness）、 AML （санкции/PEP/Adverse媒体）、住所、年齢、装置。

3.Feature Store/Risk Engine：スコアリングと不正防止のための結果、フラグ、機能を保存します。

4.ケース管理：手動チェック、アピール、セカンドラインレビュー。

5.監査とコンプライアンス：変更できない意思決定ログ、規則/モデルのバージョン管理、レギュレータへのレポート。

イベントフロー：

登録→年齢/ID。
最初の預金/内部→拡張デューデリジェンス（量/リスクによるEDD）。
定期的なAMLスクリーニング：制裁/POPをスケジュール（毎日/毎週）で再チェックします。
トリガーベース：詳細/デバイス/地理→再画面の変更。

3）チェックの種類と正確に何をするか

書類の確認：水のパスポート/ID/。証明書/居住許可書；OCR+MRZ/バーコード、信頼性の点検。

Liveness&Biometrics：アクティブ/パッシブliveness、フェイスマッチ（selfie↔document）。

住所の確認：住所の証明（実用新案/銀行明細書）、時々住所登録。

制裁/PEP/ウォッチリスト： OFAC/UN/EU/UK HMT+local；政治的に露出した人；不要なメディアリスト/裁判所のクロニクル（悪意のあるメディア）。

年齢確認：生年月日と局所しきい値。

デバイス/電子メール/電話：リスク信号（使い捨て可能なドメイン、仮想番号、プロキシ/ホスティング）。

KYB（パートナー/商人のための）：法定文書、受益者（UBO）、登録簿、否定的なニュース。

4）オーケストレーションとリスクベースのアプローチ

ルーティングルール：ドキュメントカントリー→プロバイダーA、カバレッジがない場合→プロバイダーB；VIP/High→EDDパッケージ。

ステップアップロジック：soft-check（データソース）→selfies/documentsを要求するリスク。

構成：AMLスクリーニング+IDV+アドレスの組み合わせは、管轄区域（MGA/UKGC/Curacaoなど）とライフサイクルの段階（オンボーディングとペイアウト）によって異なります。

再スクリーニング：定期的（例えば、制裁による毎日）とイベント（国/文書の変更）。

5） APIの設計および統合パターン

Idempotency&retries：すべての呼び出し-idempotencyキーを使用します。指数関数リトレイ、タイムアウト、サーキットブレーカー。

Webhooks： processing→completed→reviewed。

入力検証：フォーマット制御（MRZ、 ISOカントリー、ドキュメントの入力）。

アーティファクトストレージ：暗号化、管轄によるTTL/保持、「必要最小限」アクセス。

サンプルクエリ（擬似）：

http： http
POST/kyc/start
{
「user_id"：」 「u_123,」「フロー」：［「IDV」「、AML」］「、country_hint"：」 DE「」、document_types"： ［「PASSPORT」「、NATIONAL_ID」］「、webhook_url"：」 https ：//risk。例を示します。com/webhooks/kyc"
}

プロバイダの応答：

json
{
「session_id"： 「sess_abc,」「ステータス」：「保留中」、「redirect_url"： 「https://provider/flow/sess_abc」
}

Webhookの結果：

json
{
"session_id"： "sess_abc," "status"： "approved"、 "checks"：{
「idv」： {「liveness」： 「pass'、」 face_match"： 0。92、 "doc_authenticity"：" pass'}、 "aml"：{"制裁"："clear"、 "pep"： "clear"、 "adverse_media"：" none"}
}"、risk_score"： 18
}

6）データ品質： 典型的な問題と解決策

名前のtransliteration/variability：フォノティックアルゴリズム、正規化、エイリアステーブルを使用します。

非ラテン文字：キリル文字/アラビア文字/漢字→ローカル比較モジュールの名前の比較。

生年月日/住所：フォーマット、ドキュメントと支払いアドレス（BIN/AVS）とのクロスチェック。

制裁/REPでの偽のマッチ：ファジースコアとエスカレーションルール（若い名前、頻繁な姓）を設定します。

写真の品質：UXプロンプト（光、フレーム、ハイライト）、自動シャープネス/角度制御。

7） SLA、 observabilityおよび警報

レイテンシーターゲット：インタラクティブなオンボーディング≤カタログ/スクリーニングリクエストごとに60-120ミリ秒+非同期ステップ≤ 2-3分（ドキュメント）。

稼働時間：≥ 99。重要なエンドポイントの9％；デュアルプロバイダ（active-active/active-standby）。

アラート：成長'error_rate'、劣化'hit_rate'、ジャンプ'review_rate'、 webhookの「静かなウィンドウ」、OCR/Livenessの遅延。

ログ/トレース：フロントからプロバイダへの相関ID；マスクされたペイロード；解決および理由の貯蔵。

8）ケース管理

ケースキュー：amount/risk/regionによる優先度。

Playbooks：クライアントからリクエストするもの（selfie、別のドキュメント、住所の証明）。

手動場合のためのSLA： p95 ≤ 24 h；high-value ≤ 2°。

アピール：再マッチ+独立したレビュアー；失敗の理由の文書化（不利な行為の通知）。

9）コンプライアンスとプライバシー

GDPR/ローカル対応：目的の制限、データの最小化、アクセス/削除権（該当する場合）。

PCI DSS：支払い情報が影響を受ける場合。

PSD2/SCA：支払のステップの強い認証との相関。

保存：保存に必要なアーティファクトのみ、および法律/規制当局が必要とするだけのものを保存します。

説明：システムが依存していたもの（liveness fail、 doc mismatch、 PEP hit）を修正します。

10）コストと調達モデル

価格：小切手、パッケージレート、地域オッズ、EDD/アドバースメディアサーチャージ。

最適化：リスクベースのオーケストレーション（安価なプロバイダ→フォールバックで高価）、TTLでの結果のキャッシュ、デルタによる再スクリーン。

RFPチェックリスト：ドキュメント/カントリーカバレッジ、ライブ/フェイスマッチ精度、制裁/RAPアップデートレート、レイテンシ、webhook、 SDK、レポート、DPIA/認定、オンプレミスオプション、司法/規制実践、iGamingからの参照。

11） KYB： B2B/partnersを使用するとき

レジスタ：Companies House、 local trade registers、 UBO chains。

書類：設立、法令、銀行の手紙、取締役/弁護士の権限。

審査：UBOと取締役のための制裁/PEP、ブランド/エンティティによる有害メディア。

再画面トリガー：取締役/住所/受益者の変更、売上高の急激な増加。

12） UXと変換： オンボーディングを「中断」しない方法

モバイルファースト：自動プロンプト付きSDK（フレーム、傾き、グレア保護）。

ユーザーのためのガイド：事前に準備するもの（文書、照明）、プロセスにかかる時間。

プログレスバーとクリアステータス。

優雅なフォールバック：カメラ/センサーが利用できない場合→代替ストリーム（手動アップロード+その後の検証）。

13）インシデントやファウル

フェイルセーフモード：プロバイダが落ちたとき、保護に切り替え+最小限の十分なルールを適用します。

劣化ポリシー：小切手の完了まで引き出しなしで少額の入金のみを許可します。

遅延検証：信用の必要性に関するメモ付きの一時的な制限の発行。

14）統合のテストおよび証明

プロバイダサンドボックス：「幸せ「/」不幸「パス、エッジケース（ハイライト、クロップドキュメント、双子）のスクリプト。

契約テスト：レスポンススキームの修正、APIバージョンの移行。

ロード：ピークリリース/プロモーション（x5-x10トラフィック）、長いWebhook、イベントの並べ替え。

DR演習：1つのプロバイダの接続解除、Webhookの削除、ロールバックのバージョン。

15）モデル決定規則

意思決定テーブルの例（簡略化）：

［条件］	［アクション］	コメントする
制裁=ヒット（強い試合）	DENY（拒否）	コンプライアンスへのエスカレーション、レポート
PEP=可能+有害=負	レビュー/EDD	Add。資金源
Liveness=失敗しました。FaceMatch <0。8	再試行（1-2回）→レビュー	UXのヒント
住所=失敗+高リスク国	HOLD（ホールド）	再度住所の証明
クリーンKYC/AML+低リスクスコア	承認する	ポリシーの制限

16）完全なケースの例（省略）

シナリオ：ドイツからの新しいプレーヤー、€300デポジット、ボーナスリクエスト。

1.ソフトチェック（AML高速）：クリア。

2.IDV： passport+selfie、 liveness=pass、 face_match=0。93、 doc=本物。

3.住所：ユーティリティ請求書が渡されました。

4.決定：APPROVE、最大2,000ユーロの出力制限、毎日繰り返しAML再画面。

5.監査：エンジン、プロバイダ、ルール、機能および根拠の記録されたバージョン。

17）実装チェックリスト

管轄によるフェイルオーバーとルーティングを備えたオーケストレーター。
契約/SLA/価格タグ、DPIA、法的承認。
Webhooks、 idempotency、後退、トレース。
ケース管理とEDDプレイブック。
定期的な再スクリーンとイベントベースのトリガー。
品質モニタリング（ヒットレート、FPR/FNR、通過時間）。
保存/削除およびアクセスポリシー（RBAC）。
DR計画と劣化演習。

履歴書のサマリー

強力なKYC/AML統合は「、1つのプロバイダを接続する」ことではなく、複数のソースからオーケストレーションを構築することです。IDV、 Liveness、制裁/REPおよびアドレスを組み合わせ、ケース管理とハード監査を実装し、フォルバックプロバイダを維持し、UXを忘れないでください。このようにして、レギュレータの要件を満たし、オンボーディングの高い変換を維持できます。