【タッチ決済特集③】タッチ決済はスマホで行うのがオススメ！セキュリティ面のオハナシ

（今回は技術的な内容が多くなっています。僕自身が見返して理解できるようにできるだけかみ砕いた表現を心がけていますが、何とぞご了承ください）

こんにちは！おじさんと申します。

三井住友カードのVisaのタッチ決済がGoogle Pay・Apple Pay両方で利用できるようになります！
（Google Payは3月から、Apple Payは2021年よりサービス開始済）
https://king.mineo.jp/reports/161745

そんな【タッチ決済連載】を先日より進めていますが、今回Google PayだけでなくApple Payとも共通したオハナシ。

「スマホでのVisaのタッチ決済の安全性」をテーマに書きたいと思います。

結論から言うと
【実際のカードでするよりスマホで行った方が安全！】
というのが僕の見解です。
（個々の見解が分かれる部分なので、ココでは個人の意見として・・・）

「スマホやスマートウォッチを紛失盗難に遭った時、不正利用されるんじゃ！？」
といった面が全くないとは言いませんが、少なくとも【Visaのタッチ決済（JCBのタッチ決済・アメックスのタッチ決済も）に関してはまず心配ない】と言える、そんなGoogle Pay・Apple Payのセキュリティ仕様について取り上げます。

まず知っておきたい【カードのセキュリティについて心配な要素】についてまとめてみます。

あって欲しくないですが、場合によっては「お店の方が客からカードを預かって後ろに持って行ったスキにカード情報を盗み取る」ということもありえるワケです。
（この数年の中で食品レジ担当の店員が一瞬でカードの番号・有効期限を記憶して、不正にネット利用していたという事件もありましたよね）

ICチップの一般化が進みカードを店員に渡さず自分で挿したりタッチするお店も増えましたが、スマホでのVisaのタッチ決済ではさらに守られる仕組みが導入されているというコトです。

ポイントは3つ。

（１）初期設定時にクレジットカード情報は暗号化される

→　カード番号などがそのまま保管されるのではなく、不正に取り出しても解読するのが極めて困難なデータに変換されています。

さらに、初期設定時はカード情報の入力だけでなく複数の本人確認作業を行います。会員登録している電話番号が使えるスマホやメールアドレス、またカード会社との電話やり取りを経るので、本人以外が簡単に登録できない仕組みです。

その為暗号化されたデータを元に戻して不正利用するのは極めて難しいでしょう。

（２）タッチ決済する際のカード番号はダミーのものが振られる

→　Google Pay・Apple Payでは（１）の通り初期設定の際に厳重な本人確認の上カード情報が暗号化されます。それと同時に実際のカード番号ではない　”ダミーのカード番号”　がスマホやスマートウォッチ1台ごとに割り振りされます。

●Google Pay：バーチャル アカウント番号
●Apple Pay：デバイスアカウント番号

名称は異なりますが、同じダミー番号を指します。このダミー番号の全ケタはお店だけでなく自分自身もわからない仕組みです。

（下の図は同じカード番号のVisaプリペイドカードをGoogle PayとApple Payに登録したものです。元は同じカード番号ですが、それぞれ別のダミー番号が振られているのが分かります）

クレジットカード本体でタッチ決済する際はカード本体の情報がお店に残りカードに書かれた情報が外の目に触れるのに対して、Google Pay・Apple Payではこのダミー番号（の一部）になるので、お店の控えから元の番号を割り出される心配も、支払う際の画面から盗み見られる心配もありません。

（３）決済を利用するには生体認証（指紋認証・顔認証など）が必要

→　スマホでのVisaのタッチ決済は暗証番号やサインではなく【スマホ側での生体認証をすることで本人確認をする仕組み】です。その為、万が一スマホが他人の手に渡っても不正利用が簡単にできないわけです。

この仕組みを【デバイスによるカード所有者認証：CDCVM】と言います。
https://support.google.com/pay/merchants/answer/7381753?hl=ja#:~:text=Consumer Device Cardholder Verification Method,受けることができます。

もともとApple PayやGoogle Pay（日本以外）ではサービス開始当初から導入されていた仕組みで、Google Pay（日本）についてもVisaのタッチ決済（デビット・プリペイド）で同じく導入されています。

CDCVMにより支払い金額に関係なくサインを省略※でき、カード本体で決済するよりもスピーディーで安全な仕組みと言えます。
※一部店舗ではシステム仕様によりスマホでのVisaのタッチ決済であっても10,000円以上の支払いにはサインを求められる場合があります

ちなみにスマホでの本人確認の操作ですが

・Google Pay：画面を点けロック解除し、決済機にかざす
（指紋認証・顔認証推奨、できないときはパスコードなどのロック解除でも可）

・Apple Pay（Touch ID対応機種）：画面を点け指紋センサーに指を置きながら決済機にかざす
（指紋認証できないときはパスコードでのロック解除でも可）

・Apple Pay（Face ID対応機種）：サイドボタンを2度押し顔認証後決済機にかざす
（顔認証できないときはパスコードでのロック解除も可）

となります。

上記に加えて万一紛失盗難に遭った際は遠隔で暗号化されたカードデータごと初期化できる機能も搭載しています。
【Android：デバイスを探す】【iOS：iPhoneを探す】を事前にオンにしている必要があるので、心配な方はぜひお手元のスマホをチェックしてみてくださいね。

「スマホでのVisaのタッチ決済の安全性」いかがでしたか。
通信環境に左右されづらく、またかざすだけでスピーディーな支払いができる便利な仕様です。また、先の記事でも書いた通りAndroidでは【おサイフケータイに対応しないSIMフリースマートフォン】も広く利用できるので、mineoや他MVNOをご利用の方との相性が良いのではないでしょうか。

今後も
・実際のお店での【Visaのタッチ決済】の使い方（伝え方）
・Google Pay／Apple PayでVisaのタッチ決済を使うのにオススメのカード情報
など、シリーズとして投稿していけたらと思っています！
ぜひ今後の記事もご覧くださいね！

それではまた(^^)

～おまけ～
Google Pay【おサイフケータイ】のSuicaやiDなども生体認証ロックがかけられます（機種により）

設定→NFC　の中の「NFCの使用にロック解除を要求」
設定→おサイフケータイ　の中の「おサイフケータイをロックする」

といった構成になっていることが多いです。

Visaのタッチ決済の時のような本人確認（CDCVM）仕様ではなくロックをかけるだけなので使用する電子マネーごとの利用上限額を超えたりはできないのが残念ですが、紛失盗難に遭っても勝手に使われる心配が防げますので設定できる方はオンにしておくのをオススメしたいです！

そして、あくまでも【おサイフケータイ】なのでVisaのタッチ決済分と異なり、遠隔でスマホデータの初期化をしても電子マネーのデータがそのまま残ってしまうんですよね・・・このあたりがExpress Card設定したSuica以外使用される心配がほぼないApple Payのが良い点だなって思います(^_^;)
----------------------------------
★同じシリーズの過去記事もぜひご覧ください！

【タッチ決済特集①】FeliCaなしでも！Visaのタッチ決済をGoogle Pay™で　3月から
https://king.mineo.jp/reports/161745

【タッチ決済特集②】『Visaのタッチ決済』ってなに？
https://king.mineo.jp/reports/161942