掲示板

【タッチ決済特集③】タッチ決済はスマホで行うのがオススメ!セキュリティ面のオハナシ

①サムネイル.jpg

(今回は技術的な内容が多くなっています。僕自身が見返して理解できるようにできるだけかみ砕いた表現を心がけていますが、何とぞご了承ください)

こんにちは!おじさんと申します。

三井住友カードのVisaのタッチ決済がGoogle Pay・Apple Pay両方で利用できるようになります!
(Google Payは3月から、Apple Payは2021年よりサービス開始済)
https://king.mineo.jp/reports/161745

そんな【タッチ決済連載】を先日より進めていますが、今回Google PayだけでなくApple Payとも共通したオハナシ。

「スマホでのVisaのタッチ決済の安全性」をテーマに書きたいと思います。

結論から言うと
【実際のカードでするよりスマホで行った方が安全!】
というのが僕の見解です。
(個々の見解が分かれる部分なので、ココでは個人の意見として・・・)

「スマホやスマートウォッチを紛失盗難に遭った時、不正利用されるんじゃ!?」
といった面が全くないとは言いませんが、少なくとも【Visaのタッチ決済(JCBのタッチ決済・アメックスのタッチ決済も)に関してはまず心配ない】と言える、そんなGoogle Pay・Apple Payのセキュリティ仕様について取り上げます。

まず知っておきたい【カードのセキュリティについて心配な要素】についてまとめてみます。

②危険性.jpg

あって欲しくないですが、場合によっては「お店の方が客からカードを預かって後ろに持って行ったスキにカード情報を盗み取る」ということもありえるワケです。
(この数年の中で食品レジ担当の店員が一瞬でカードの番号・有効期限を記憶して、不正にネット利用していたという事件もありましたよね)

ICチップの一般化が進みカードを店員に渡さず自分で挿したりタッチするお店も増えましたが、スマホでのVisaのタッチ決済ではさらに守られる仕組みが導入されているというコトです。

ポイントは3つ。

(1)初期設定時にクレジットカード情報は暗号化される

→ カード番号などがそのまま保管されるのではなく、不正に取り出しても解読するのが極めて困難なデータに変換されています。

さらに、初期設定時はカード情報の入力だけでなく複数の本人確認作業を行います。会員登録している電話番号が使えるスマホやメールアドレス、またカード会社との電話やり取りを経るので、本人以外が簡単に登録できない仕組みです。

その為暗号化されたデータを元に戻して不正利用するのは極めて難しいでしょう。

(2)タッチ決済する際のカード番号はダミーのものが振られる

→ Google Pay・Apple Payでは(1)の通り初期設定の際に厳重な本人確認の上カード情報が暗号化されます。それと同時に実際のカード番号ではない ”ダミーのカード番号” がスマホやスマートウォッチ1台ごとに割り振りされます。

●Google Pay:バーチャル アカウント番号
●Apple Pay:デバイスアカウント番号

名称は異なりますが、同じダミー番号を指します。このダミー番号の全ケタはお店だけでなく自分自身もわからない仕組みです。

(下の図は同じカード番号のVisaプリペイドカードをGoogle PayとApple Payに登録したものです。元は同じカード番号ですが、それぞれ別のダミー番号が振られているのが分かります)

③バーチャル番号.jpg

クレジットカード本体でタッチ決済する際はカード本体の情報がお店に残りカードに書かれた情報が外の目に触れるのに対して、Google Pay・Apple Payではこのダミー番号(の一部)になるので、お店の控えから元の番号を割り出される心配も、支払う際の画面から盗み見られる心配もありません。

(3)決済を利用するには生体認証(指紋認証・顔認証など)が必要

→ スマホでのVisaのタッチ決済は暗証番号やサインではなく【スマホ側での生体認証をすることで本人確認をする仕組み】です。その為、万が一スマホが他人の手に渡っても不正利用が簡単にできないわけです。

この仕組みを【デバイスによるカード所有者認証:CDCVM】と言います。
https://support.google.com/pay/merchants/answer/7381753?hl=ja#:~:text=Consumer Device Cardholder Verification Method,受けることができます。

もともとApple PayやGoogle Pay(日本以外)ではサービス開始当初から導入されていた仕組みで、Google Pay(日本)についてもVisaのタッチ決済(デビット・プリペイド)で同じく導入されています。

CDCVMにより支払い金額に関係なくサインを省略※でき、カード本体で決済するよりもスピーディーで安全な仕組みと言えます。
※一部店舗ではシステム仕様によりスマホでのVisaのタッチ決済であっても10,000円以上の支払いにはサインを求められる場合があります

④本人確認方法の違い.jpg

⑤CDCVM実施例.jpg

ちなみにスマホでの本人確認の操作ですが

・Google Pay:画面を点けロック解除し、決済機にかざす
(指紋認証・顔認証推奨、できないときはパスコードなどのロック解除でも可)

・Apple Pay(Touch ID対応機種):画面を点け指紋センサーに指を置きながら決済機にかざす
(指紋認証できないときはパスコードでのロック解除でも可)

・Apple Pay(Face ID対応機種):サイドボタンを2度押し顔認証後決済機にかざす
(顔認証できないときはパスコードでのロック解除も可)

となります。

上記に加えて万一紛失盗難に遭った際は遠隔で暗号化されたカードデータごと初期化できる機能も搭載しています。
【Android:デバイスを探す】【iOS:iPhoneを探す】を事前にオンにしている必要があるので、心配な方はぜひお手元のスマホをチェックしてみてくださいね。

「スマホでのVisaのタッチ決済の安全性」いかがでしたか。
通信環境に左右されづらく、またかざすだけでスピーディーな支払いができる便利な仕様です。また、先の記事でも書いた通りAndroidでは【おサイフケータイに対応しないSIMフリースマートフォン】も広く利用できるので、mineoや他MVNOをご利用の方との相性が良いのではないでしょうか。

今後も
・実際のお店での【Visaのタッチ決済】の使い方(伝え方)
・Google Pay/Apple PayでVisaのタッチ決済を使うのにオススメのカード情報
など、シリーズとして投稿していけたらと思っています!
ぜひ今後の記事もご覧くださいね!

それではまた(^^)

おサイフケータイ.png

~おまけ~
Google Pay【おサイフケータイ】のSuicaやiDなども生体認証ロックがかけられます(機種により)

設定→NFC の中の「NFCの使用にロック解除を要求」
設定→おサイフケータイ の中の「おサイフケータイをロックする」

といった構成になっていることが多いです。

Visaのタッチ決済の時のような本人確認(CDCVM)仕様ではなくロックをかけるだけなので使用する電子マネーごとの利用上限額を超えたりはできないのが残念ですが、紛失盗難に遭っても勝手に使われる心配が防げますので設定できる方はオンにしておくのをオススメしたいです!

そして、あくまでも【おサイフケータイ】なのでVisaのタッチ決済分と異なり、遠隔でスマホデータの初期化をしても電子マネーのデータがそのまま残ってしまうんですよね・・・このあたりがExpress Card設定したSuica以外使用される心配がほぼないApple Payのが良い点だなって思います(^_^;)
----------------------------------
★同じシリーズの過去記事もぜひご覧ください!

【タッチ決済特集①】FeliCaなしでも!Visaのタッチ決済をGoogle Pay™で 3月から
https://king.mineo.jp/reports/161745

【タッチ決済特集②】『Visaのタッチ決済』ってなに?
https://king.mineo.jp/reports/161942


19 件のコメント
1 - 19 / 19
長い

どこかに書いてあるのかも知れないですけど読み取れなかった。
スマホからタッチで決済するのって、バーコードリーダーでQR決済するように決済できるのですか?

クレジットの加盟店は、決済代行業者を通じて決済を提供できるのですか?

どこで利用できるか分からないサービスは、提供していないのと変わらない気がします。
おじさん
おじさんさん・投稿者
Gマスター

>> ととろんろん@入れてみた さん

至らず申し訳ありません。

そうです。QRコード決済と同じようにお店での支払う仕組みの一つです(かざすだけでクレジットカード払いできる仕組みですね)

今までの電子マネー(日本独自仕様)と異なり、海外で先に使われてきた規格が日本に入ってきたものなので世界中で使えるのが特徴ですね!

前回の記事で少し書いたのでよろしければこちらから…
https://king.mineo.jp/reports/161942

> クレジットの加盟店は、決済代行業者を通じて決済を提供できるのですか?

→ アクワイアラと呼ばれる決済業者と契約して提供されています。
https://payoss-service.com/column07/

> どこで利用できるか分からないサービスは、提供していないのと変わらない気がします。

→ 東京オリンピックを前後して日本でも使えるお店がうんと増えた反面、認知度アップがこれからの課題だなって僕は感じています。

利用できる主なチェーン(多くて網羅できていませんでしたが)はVisaの公式ページで紹介されていました。
https://www.visa.co.jp/pay-with-visa/featured-technologies/contactless.html

>> おじさん さん

なるほど。
アクワイアラに三井住友カード、三菱UFJニコス、UCカード、ジェーシービーが含まれていますね。
すると、それらを一括して決済を提供する決済代行会社で利用する事ができそうですね。

そういえば最近のクレジット用決済端末は、タッチやスキャナーの機能も組み込まれてきたように思います。
端末としては可能でも、サービスとしてタッチを提供しているかはシステム次第ですけども。

端末が最新機種に入れ替わり、そういう仕組を利用したい客が増えれば普及していきそうですね。

VEGA3000がまだまだ主流。決済する速度が早く、まだまだ現役。
どころか、あらたに導入するのもVEGA3000だったりします。

SATURN1000対応のシステムが普及していけばいづれは・・

でもSATURUN1000は凄く処理が重たくて、利用客を待たせます。
最新機種に変えると不便になる面があるのも、技術が移り変わり
つつある時期って事ですかね。
おじさん
おじさんさん・投稿者
Gマスター

>> ととろんろん@入れてみた さん

アクワイアラとCCTの絡みで日本のタッチ決済は少々難しい状況(まさに「技術が移り変わるとき」)なのが、少しずつ改善されてきているのを僕は感じています。

VEGA3000とSaturn1000シリーズはどちらも台湾CASTLES TECHNOLOGY社のデバイスですね。前者はGMOフィナンシャルゲートとVisaジャパンとつながりの強いアクワイアラ、後者はNTTデータのINFOXやCarfisと昔から繋がるアクワイアラで導入が進みました…が。

Visa・三井住友カード主導のCCT「stera terminal」が利便性・対応範囲の広さで導入しているお店の拡大が続いているのを身の回りでも感じます(^^)
stera terminalが入っているお店だとタッチ決済もQRコード決済もスムーズなので内心ガッツポーズです、僕(^_^;)
https://www.smbc-card.com/steradevelopers/start/terminal.jsp
NFCのタッチ決済の普及は時間の問題だと思いますけど、
コード決済だけでいいかなと思っているお店も結構ありそうな気もしますね。
https://k-tai.watch.impress.co.jp/docs/news/1387027.html

iPhoneを決済端末に、かざして支払える「Tap to Pay」が米国で

--

ご参考まで。

現在でもPayPayや楽天Payで,店側のiPad等で客側のQRコードをスキャンする場面があります。

ただ,それは店の端末と言う安心感があるためで,もしTap to Payが日本で始まった場合,相手方もiPhoneなので若干不安を感じるかもしれません(^^ゞ

>> crypter さん

コード決済だと端末を導入しなくていいという選択肢があるので、有力だと思います。

「QRコードを読み取ってください」
が一番、導入しやすいですから。紙でいい・・
おじさん
おじさんさん・投稿者
Gマスター

>> crypter さん

導入&維持費用や客数でQRコード決済(機器導入不要なタイプ)だけ…というニーズ、確実にありそうに思いますよね。
そこの競合とするとmPOS各社でしょうか。。。
おじさん
おじさんさん・投稿者
Gマスター

>> ヒィロ さん

Android機、iOS機ともにひとつの選択肢になりそうです。コストもそうですが、導入障壁が低いですもんね。
(すでにモバイルデバイスのNFCをリーダライターに活用する動きは出ていましたし)
AppleメインユーザーなのでTap to Pay on iPhoneに期待しています
おじさん
おじさんさん・投稿者
Gマスター

>> ⊂(•ꎴ•)⊃アフリカミドリザル さん

Apple自身がmPOS(というか決済機)に参入するっていうのが新しいですよね!日本でも来ると費用面の条件次第で広がるんじゃないかと思います(^^)
おじさん
おじさんさん・投稿者
Gマスター

>> ヒィロ さん

Android版(CARDNETとなっているのでJCB系ですね)の記事です。

Androidスマホがお店の決済端末になる「Tap on Mobile」
https://www.watch.impress.co.jp/docs/news/1311503.html

>> おじさん さん

情報ありがとうございます。

Androidが先行していますね。

--
https://k-tai.watch.impress.co.jp/docs/news/1382845.html

QUICPay、スマホで非接触決済ができる「Tap On Mobile」の実証実験に対応
--

2022年1月25日の記事ですが,実証実験が継続されているようです。今後に期待したいですね。
(正誤訂正。ととろんろんさんにチップ誤爆。帳消しの意味で、おじさんさんに10チップ。)
おじさん
おじさんさん・投稿者
Gマスター

>> wagami さん

いやいやいや💦ありがとうございます!
wagamiさん、おじさんさん
両方にチップを贈っておきました。
おじさん
おじさんさん・投稿者
Gマスター

>> ととろんろん@入れてみた さん

お心づかいありがとうございますm(__)m
タッチ決済が広まると便利なので、コンビニ各社やイオン、一部の交通機関など使える場所では使うようにしています。
まだしばらく先になりそうですが、海外旅行で使ってみたいところですね〜
おじさん
おじさんさん・投稿者
Gマスター

>> 朝霧 さん

こんにちは!クレジットのタッチ決済、使う人が増えるのも大切そうですよね!

海外旅行で使ってみたいですよね。渡航先どこにしたいですか(^^)?
コメントするには、ログインまたはメンバー登録(無料)が必要です。