- 2018-8-19
- 1章
2020年までのICクレジットカード化100%が目標に
米国、韓国などでもEMV化が進む
リアルでの不正利用対策においては、カード会社のカードのIC化対応、加盟店のPOSや決済端末のEMV対応が挙げられる。日本では銀行系カード会社を中心に2001年から、磁気カードにICチップを搭載する動きが広まっている。また、カード会社、ブランドなどは大型加盟店に対し、積極的にPOSのIC化を推し進めている。
経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告でも、「2020年までに流通しているクレジットカードの100%IC化を目指す」と発表されている。また、決済端末についても「IC端末の導入促進を図り、2020年までに100%IC化を目指す」とされている。特に、大手流通事業者のPOS端末におけるIC対応の促進を図るということだ。さらに、ATMについてもIC対応を進めるよう、ATM設置者に求めていく。また、2014年末に日本クレジット協会が、2020年にICクレジットカード化100%を目指すと決定したことも追い風となるだろう。
例えば、Visaでは、偽造によるカードの不正利用の削減を目指し、ICカード取引の国際標準規格(EMV)仕様への投資を奨励し、さまざまなセキュリティ施策を牽引してきた。取引の偽造詐欺に関して、アクワイアラやイシュアのうち、EMV対応を行っていない会社に対してライアビリティー(債務責任)を課す「EMVライアビリティシフト」については、地域ごとの商習慣を反映し、2014年より順次導入が進められている。2015年10月には、IC化が遅れていると言われている米国のPOS取引、日本の国内POS取引が新たに対象となり、これをもって全世界のPOS取引でのEMVライアビリティシフトがほぼ完了する節目となる。
米国では、2013年末に発生したカード情報漏洩事件を機に、偽造およびカードを提示しない非対面での「CNP(Card Not Present)」に対する対策が急務となり、EMV化の動きが加速している。2014年10月にはオバマ大統領がカードセキュリティに関する「大統領令」に署名。これは、政府として積極的にチップ&PINを推進し、政府調達カードや政府関係施設(国立公園)で、ICカードによる決済とPINの入力を求めていくという。また、ホーム・デポ、ターゲット、ウォルグリーン、ウォルマートなどでもEMVへの対応がスタートしている。米国では2015年12月において、クレジットカードで43%、デビットカードで21%、加盟店端末で17%のEMV化が行われている。
韓国では、2013年3月に政府がチップ付きカード発行の義務化を施行し、2014年2月に完了。ATMについても2015年3月に国内取引のチップ対応義務化が施行された。また、韓国信用融資協会(Crefia)より、「Credit Card POS terminal Information technology protection guideline」が4月29日に発表され、同7月から有効に、2018年7月にすべての加盟店でのIC決済が必須となる予定だ。
「3-Dセキュア」はワンタイムパスワードを検討するイシュアが増加
クレジット取引セキュリティ対策協議会が活動
一方、クレジットカード業界では、非対面におけるペイメントカード取引の対策として、「秘密情報による本人確認」「カード券面情報による本人確認」「属性情報による本人確認」の3つの導入を加盟店に勧めている。
まずは、「秘密情報による本人確認」で、Visa、MasterCard、JCBなどが推進する本人確認手段の「3-D セキュア」はこれに当たる。これは、クレジットカードなどのペイメントカード情報を入力する際に、カード番号と有効期限に加え、パスワードを入力する方法になる。最近では、三井住友カードのようにワンタイムのパスワードを利用して認証を行うケースも登場している。また、American Expressが「American Express SafeKey」を国内で提供開始したことも追い風となるだろう。
次に、「カード券面情報による本人確認」では、カード番号と有効期限に加え、セキュリティコードを入力する方法を指す。最後に、「属性情報による本人確認」で、カード番号と有効期限に加え、任意の属性情報を入力して認証を行うスキームとなる。現在、属性情報による認証はソニーペイメントサービスの「e-SCOTT 認証アシストサービス」などが挙げられる。
また、AVS(Address Verification Service)認証も一部のクレジットカード会社がシステムを提供。北米では、ガソリンスタンドなど、不正利用が多い一部の加盟店で郵便番号の入力が求められることがある。また、非多面の取り引きでも導入している加盟店は多い。国内では、ソニーペイメントサービスがAVS認証によるサービスを提供している。
認証強化とともに、情報漏洩対策も重要となる。近年は、加盟店のECサイトからカード会員情報が漏洩する事件が目立つ。そのため、ECサイトなどの加盟店側で、カード会員情報を所有せず、決済代行事業者などに預ける「非保持サービス」(画面遷移型)を導入するケースが増えている。また、加盟店自身がクレジットカード情報に置き換わる別の数値(乱数)で情報処理を進めるトークナイゼーションを採用するケースもある。トークナイゼーションは、データベースの暗号化以上に強固なセキュリティ技術であると言われており、米国では広く採用が進み、情報漏洩防止対策の新技術として注目されている。
また、不正と思われる取引パターンをルールとして事前に登録することで、それに合致する取引を検知するとリアルタイムに取引停止し、事業者に通知するサービスを提供する企業もあり、航空会社や家電量販店などが採用している。
加盟店自身の情報漏洩対策強化としては、「PCI DSS(Payment Card Industry Data Security Standard)」準拠が挙げられる。PCI DSSは、Visa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、ペイメントカードのセキュリティ基準だ。国際ブランドが付与されたカード情報を処理、伝送、保存する加盟店、サービスプロバイダが対象となる。カード決済に関するデータ保護が目的とされている。
カードセキュリティについては、クレジットカード会社のみならず、学識経験者、経済産業省、国際ブランド会社、加盟店、機器メーカーなど幅広い関係者から構成された協議会である「クレジット取引セキュリティ対策協議会」の活動が挙げられる。同協議会では、「日本再興戦略」改訂2014(2014年6月24日閣議決定)等に基づき、2020年オリンピック・パラリンピック東京大会の開催等を見据えたキャッシュレス決済の普及による決済の利便性・効率性の向上を図るため、世界最高水準のクレジット取引のセキュリティ環境を整備することを目的に活動しており、2016年2月23日にはアクションプランが公表された。
広がりを見せるインターネットの決済手段
ECサイトを利用するユーザーのニーズに合ったサービスが求められる
インターネットにおける決済手段は、クレジットカード、ID決済、電子マネー、ネットワーク電子マネー、インターネットバンキング、Pay-easy(ペイジー)、代引き、コンビニ払い、キャリア決済等が挙げられ、加盟店は自社のユーザーのニーズに合ったサービスの導入が求められる。
最も利用されているのは、クレジットカード決済だ。EC決済を行う加盟店と決済事業者との契約形態には「直接加盟店契約」と「包括加盟店契約」がある。直接加盟店契約はクレジットカード、金融機関、電子マネー、コンビニ決済などに関して、サービス提供者との契約をそれぞれの事業者と個別に行う。売上代金の入金は各事業者から個別に行われる。一方、包括加盟店契約はサービス提供者との契約を決済代行事業者が一括して代行する契約形態だ。審査、加盟店契約、決済・入金処理までを決済代行事業者が行う。
例えば、主要な決済代行事業者が集うEC決済協議会では、改正割販法で議論に挙がっているブランド禁止のクロスボーダー取引について、日本のアクワイアラ(加盟店管理を行うカード会社)との契約に基づいた運用を行うことが求められるため、それに遵守した形での運用を各社が行うという。また、厳格な加盟店審査が求められるが、その部分は個社ノウハウに依るところが大きく、統一的な基準を作るのは無理があるため、法律にしたがって厳格に実施するという意識合わせをしている。加盟店がEC決済サービスを導入する際には、日本の商習慣にあったサービスを提供し、厳格な加盟店審査を行っているかを見極める必要があるだろう。
また、近年は、越境ECの手段として、多通貨決済サービスを導入するケースも見受けられる。外貨決済にはMCP(マルチ・カレンシー・プライシング)とDCC(ダイナミック・ カレンシー・コンバージョン)の2種類がある。MCPは、事業者が外貨通貨の販売額を定めることができ、日本円と外貨に対応可能だ。
電子マネーは、FeliCaカードやFeliCa対応携帯電話、FeliCaポートが付いたパソコンやFeliCa対応読み取り端末にかざして行うインターネット決済である。最近ではFeliCa搭載携帯電話を活用した「楽天Edy」、「iD」などの決済も行われている。
ネットワーク電子マネーは、運営事業者がインターネットのネットワーク上で決済情報を管理する方法となる。ウェブマネーの「WebMoney」、ビットキャッシュの「BitCash」、NTTスマートトレードの「ちょコムeマネー」、NTTカードソリューションの「NETCASH」などが有名なサービスだ。ユーザーは、コンビニエンスストアなどで、ID番号が入力されたカードやシートを購入する。カードやシートには基本的に16桁のID(数字やひらがな)が入力されており、利用者は加盟店のWebサイトでIDを入力することにより、チャージ額を引き落とし、決済に利用する。
インターネットバンキングは、Webを介した銀行取引のサービスとなる。モバイルバンキングは携帯電話のインターネット閲覧機能を利用した銀行取引サービス。主なサービスとして振込、口座の入出金明細の表示、残高照会などが行える。24時間インターネットで取引ができるため、利用者は窓口へ出向かなくても済む。
「Pay-easy」は、税金や公共料金、各種料金などの支払いを、金融機関の窓口やコンビニのレジに並ぶことなく、パソコンや携帯電話、ATMから支払うことができるサービス。「Pay-easyマーク」が付いている納付書・請求書の支払いや、支払い方法としてPay-easyが選択できるサイトでの料金の支払いなどに利用できる。
インターネット決済では、宅配便の配達時に料金を回収する「代金引換(代引き)」が利用されているケースが多い。決済手数料は、原則的に利用者の負担となる。手数料はインターネット決済の購入金額などにより設定される。宅配業者によっては、配達時に専用のハンディ端末を利用して、クレジットカード、デビットカードなどの決済に応じるケースもある。
コンビニ前払いは、コンビニで先に料金を支払い、決済されたことが確認できてから商品やチケットを発送もしくは受け取ることができる。クレジットカードを持てない未成年者やクレジットカードを保持できない層でも利用できる。
最近では、「後払い」によるコンビニ決済の導入企業が増えている。ネットプロテクションズの「NP後払い」をはじめとして、複数の企業がサービスを提供している。利用者が実際に商品を受け取ってから支払いできる点、事業者が立替払いを行うためEC加盟店への入金が保証される点などにより、アパレルなどの物販サイトを中心に導入企業が加速している。また、ジャックスは、後払い決済サービスに信販・カード業界では初めて参入。さらに、ヤマトクレジットファイナンスとヤマトフィナンシャル、佐川急便と佐川フィナンシャルの物流系企業も後払いの提供を行っている。