COTSデバイスを活用したキャッシュレス決済の新潮流｜新たなセキュリティー基準が登場

　キャッシュレス決済手段の中で依然として利用が多いのがクレジットカード決済。だが中小店舗や事業者にとって導入のハードルは高い。そこで注目を集めているのが、スマートフォンなどCOTS（Commercial Off-The-Shelf）デバイスを利用したカード決済だ。COTSデバイスを利用した決済ソリューションに関する新たなセキュリティー基準も登場している。

※本稿は「日経FinTech　2021年2月号」に寄稿した内容を一部加筆、転載したものです。

根強い人気のクレジットカード

　新型コロナウイルス感染症拡大の影響を受けて、「非対面」や「非接触」といったキーワードが日常生活のあらゆるシーンで強く意識されるようになった。こうした機運の高まりとともに、注目度が増しているのがキャッシュレス決済だ。特に店舗での支払いにおいて、従業員と顧客との接触機会を減らせることもあって、衛生面からも評価されている。

　キャッシュレス決済の手段は、クレジットカード、デビットカード、電子マネー、QRコード・バーコード決済など多岐にわたる。中でも、いまだに広く消費者に認知、利用されているのがクレジットカードだ。キャッシュレス推進協議会が2020年6月に公表した調査結果によると、QRコード・バーコード決済を「1週間に1回以上利用している」のは17.4％（2020年5月時点）であるのに対し、クレジットカードは34.1％（同）とほぼ2倍だった。

　クレジットカード決済の手段も進化しつつある。磁気カードに始まり、現在広く利用されている接触型ICを搭載したカード、さらに最近では決済端末にタッチすれば支払いを完了できる「タッチ決済（非接触型IC決済）」を可能にするカードが普及しつつある。既に大手コンビニエンスストアやファストフード店をはじめとする多くの店舗で、タッチ決済によるスピーディーな決済が可能だ。

　問題は特に中小規模の店舗において、クレジットカード決済を導入するための負担が大きいことだ。経済産業省の「キャッシュレス決済の中小店舗への更なる普及促進に向けた環境整備検討会」は、中小店舗に対するクレジットカード決済の普及を阻害する要因として、加盟店手数料の負担が重い、売上入金サイクルが長い、決済専用端末の導入費用が高い、などを挙げている。

　これらのうち決済専用端末に関する課題を解決する手段として、ここ数年で世界的に注目されつつあるのが、「COTS（Commercial Off-The-Shelf）デバイス」を決済端末として利用するソリューションである。COTSデバイスとは汎用のスマートフォンやタブレットのことで、これらを決済に特化した端末の代わりに利用する。

　以下、COTSデバイスを利用した決済ソリューションの特徴やセキュリティー基準の動向、日本での普及に向けた課題を中心に解説する。

主な決済ソリューションは2種類

　COTSデバイスを利用する決済ソリューションは大きく2種類ある。「SPoC（Software-Based PIN Entry on COTS）」と「CPoC（Contactless Payments on COTS）」(※1)である。

　SPoCはクレジットカードを読み取るための専用カードリーダーと、PIN（暗証番号）入力を受け付けるCOTSデバイス上のアプリケーションからなる。世界では米Squareの「Square Mobile PIN」、英MYPINPADの「Open MPOS」、マレーシアSoft Spaceの「FLite」といったサービスがあり、一部の飲食店を中心に利用が進みつつある。

　一方、CPoCはCOTSデバイスのNFC（近距離無線通信）機能を利用してクレジットカードを読み取る。専用カードリーダーの導入・設置は一切不要であり、COTSデバイスだけで手軽にクレジット決済を店舗で取り扱えるのが特徴だ。

　米Visaをはじめとする国際ブランドはここ数年、CPoCの実用化や普及に向けて力を注いでいる。Visaは2020年10月、NFC対応のAndroidデバイスを決済端末として利用できるようにするサービス「Tap to Phone」の提供を一部の国・地域で開始すると発表した。COTSデバイスだけで手軽にクレジットカード決済を始められることから、露店やフードトラック、衣料品店、自営業といった小規模な店舗や事業者を中心に、同サービスが普及していく可能性がある。

　日本でもCPoCの利用例が登場しつつある。例えば茨城県を中心にバスやタクシー事業などを展開する茨城交通は、高速バスにおける運賃支払いにTap to Phoneを搭載したAndroidタブレットを利用している。交通系をはじめとして、日本でも採用例が増えていくことが期待される。

それぞれに一長一短

　SPoCとCPoCにはそれぞれ一長一短があり、どちらが今後普及していくかについて一概には言いにくい。

　簡便さに関しては、COTSデバイスだけでクレジットカード決済が可能なCPoCに軍配が上がる。ただ、カードを読み取るインターフェースがNFCとなるため、決済手段はタッチ決済に対応したカードか、「Apple Pay」、「Google Pay」といったスマートフォン決済に限られ、現在主流の接触型ICのみを搭載したクレジットカードや従来の磁気カードには対応できない。

　これに対し、SPoCであればNFCはもちろん、接触型ICカードや磁気カードについても専用カードリーダー側の物理インタフェースが対応していれば受け付けられる。その半面、SPoCでは専用カードリーダーが必須になるので、CPoCに比べて端末の導入コストがかかる。

　CPoCが普及するかどうかは、クレジットカードのタッチ決済が今後どれだけ広がるかにも依存する。COTSデバイスによる決済ソリューションを選ぶ際は、コストや利便性など現状で得られるメリットに加えて、タッチ決済をはじめとする今後の動向を注視する必要がある。

新セキュリティー基準が年内に

　キャッシュレス決済を導入する際は、セキュリティーに関する配慮が欠かせない。COTSデバイスによる決済ソリューションも例外ではない。

　セキュリティー基準の開発・管理などを手掛けるグローバル組織であるPCI SSC（Payment Card Industry Security Standards Council ）は、COTSデバイスを利用した決済ソリューションに求められるセキュリティー基準として、2018年1月に「PCI SPoC」、2019年12月に「PCI CPoC」を公開している。さらに2021年末に、CPoCに関する新セキュリティー基準を公開する予定だ(※2)。

　PCI CPoC はセキュリティー要件としてPIN入力を禁止しており、取引はCVMリミット金額（カード会社が定める、本人確認を不要とする上限額）以下に限られる。これに対し、現在策定中の新セキュリティー基準はPIN入力をサポートした「CPoC＋PIN」を対象としており、CVMリミット金額を超えた取引にも対応できるものと期待される。

　以下、新セキュリティー基準（ここでは便宜的に「PCI CPoC＋PIN」と呼ぶ）が従来のPCI SPoCやPCI CPoCと比べてどのような違いや特徴があるのかを中心に説明する。基準がまだ公開されていないため、筆者による推測が含まれている点に留意してほしい。

端末側の要件が高レベルに

　まずCOTSデバイス側の設計・仕様について見ていく。SPoCは専用カードリーダーでクレジットカード情報を読み取り、COTSデバイス上のアプリケーションでPIN入力を受け付ける。このように両者を明確に分離している。

　PCI CPoCではクレジットカード情報をCOTSデバイス上のアプリケーションで処理する一方で、同一のアプリケーションによるPIN情報の取り扱いを禁止している。COTSデバイス上のアプリケーションで処理するのはカード情報、PIN情報のどちらか一方のみとなる。

　これに対しPCI CPoC＋PINでは、クレジットカード情報、PIN情報を共に同一のCOTSデバイス上のアプリケーションで処理することを想定している。このため、従来よりも高いレベルのセキュリティー対策を要件として求める可能性がある。

　ハードウエアレベルでのセキュリティー保護メカニズムとしては、「TEE（Trusted Execution Environment）」や「SE（Secure Element）」がある。TEEは、ソフトウエアが通常実行される環境から分離して安全な実行環境を実現する、プロセッサーのセキュリティー機能を指す。SEは、内部構造を解析しにくい耐タンパー性を備えたICチップなど特別なハードウエアをいう。

　PCI SPoCやPCI CPoCは、COTSデバイスにおけるセキュリティー保護メカニズムの実装に関して、TEEやSEの利用を必須要件とはしていない。ソフトウエアだけで秘密鍵を守るホワイトボックス暗号化のような、ソフトウエア・ベースの実装も許容している。

　これに対し、より高いレベルのセキュリティー対策を求めるPCI CPoC＋PINでは、COTSデバイス上のTEEまたはSEの搭載を前提とした、ハードウエア・ベースでのセキュリティー保護メカニズムの実装が必須要件となることも考えられる。

サーバー側の対応も必要に

　PCI CPoC＋PINのもう1つの特徴として、PIN入力による本人確認認証が「オンラインPIN認証」となる点が挙げられる。

　接触型ICのクレジットカードでは、入力されたPIN情報を基にした本人確認認証を決済端末とICチップ間で完結させる「オフラインPIN認証」が主流になっている。だが、非接触型ICではオフラインPIN認証をサポートしていないため、PIN認証をオンラインで実施する必要がある。

　オンラインPIN認証では、サーバー側のバックエンドシステムにPIN情報を送信する。PCI SPoCでは、PIN情報をバックエンドシステム側で処理する場合、「PCI PIN Security」に準拠する必要があるとしている。PCI PIN Securityは、クレジットカード取引におけるPINデータの管理・処理に関するセキュリティー要件を指す。PCI CPoC＋PINも同様に、PCI PIN Securityの準拠を求める可能性がある。

COTSデバイスに起因する課題

　COTSデバイスを利用したクレジットカード決済は、これまで決済端末を導入していなかった中小店舗を中心に普及が進む可能性を秘めている。一方で、COTSデバイスをハードウエアとして利用することに起因する課題も生じうる。

　従来の決済端末は専用ハードウエアであり、耐衝撃性や動作温度、湿度範囲、防塵（ぼうじん）、防滴といった耐久性を考慮しているとされる。これに対し、COTSデバイスは一般消費者向けの汎用ハードウエアであり、高い耐久性を求められる業務などには適さない可能性がある。

　決済に関する機能や使い勝手が、使用するCOTSデバイスの機能や品質に依存する点も課題の1つだ。専用ハードウエアである従来の決済端末であれば、非接触型ICクレジットカードの国際標準規格であるEMV Level1 Contactlessが定める「contactless volume」にのっとっている。contactless volumeは、決済端末から非接触型ICカードを読み取ることができる範囲を指す。この基準により、決済専用端末であれば機種を問わず、カード読み取りの品質を一定レベルに保っている。

　ところがCPoCの場合、読み取りの品質はCOTSデバイスによって異なる可能性がある。あるデバイスではカードを横向きに近づけた方が読みやすくなる、別のデバイスではカードを縦向きにして少し離した方が読みやすい、などと使い勝手に違いが生じることもありうる。

　国際ブランドが主導するカード業界団体のEMVCoは現在、COTSデバイスの機能やUX（ユーザー体験）を評価して点数化するパイロットプログラムを始めている。この取り組みにより、将来的には客観的な指標を使って、どのCOTSデバイスを利用すればよいかを判断できるようになることが期待される。

普及を左右する3つのポイント

　COTSデバイスを利用したキャッシュレス決済は、日本でも普及していくのだろうか。特にクレジットカード決済端末を未導入の店舗や事業者はともかく、既に専用端末を導入している店舗や事業者がSPoCやCPoCへの置き換えを検討するかどうかについて、現時点で予測しにくい。

　今後、日本市場で普及するかどうかを左右するポイントとして、以下の3点が挙げられる。

1. 他の決済手段のサポート
　ポイントの1つめは、クレジットカード決済以外の決済手段をサポートできるか。冒頭で触れたように、キャッシュレス決済の手段はクレジットカード以外にも様々ある。これらを1台の決済端末で扱えるオールイン決済端末の需要は高いと思われる。

　専用端末であれば、三井住友カードなどが提供する「stera terminal」のようなオールインワン端末が既に存在する。ただ、これをCOTSデバイスで実現するのはハードルが高いと予想される。前述の通り、CPoCの場合は接触型ICカードリーダーや磁気カードリーダーのインターフェースを持たないため、接触型ICカードや磁気カードといった決済手段には対応できない。

　電子マネーとQRコード・バーコード決済については、NFCインターフェースやカメラを搭載しているCOTSデバイスであれば、技術的に取り扱うことは可能だ。これらの決済手段をサポートするかどうかは検討する価値がある。

　ジェーシービー（JCB）はAndroidデバイスを決済端末として利用できる「Tap on Mobile」という実証実験を2020年4月から進めている（※3）。Tap on Mobileでは、非接触型ICクレジットカードの「JCBコンタクトレス」以外にも、電子マネーの取り扱いを検討することを公表している。

2. Android以外のサポート
　2つめのポイントは、Android以外のOSをサポートするかどうか。本稿執筆時点で、PCI SSCにより「PCI CPoCに準拠している」と認定されたソリューションは世界に6つ存在する(※4）。これらで利用するのはいずれもAndroidを搭載したCOTSデバイスである。iPhoneやiPadなどのiOS搭載デバイスや、Microsoft SurfaceなどのWindows搭載デバイスは含まれていない。

　日本のスマートフォン市場を見ると、AndroidのシェアとiOSは同程度に高い。業務用途では業務用タブレットでWindowsを利用しているケースもある。Android以外のOSをサポートするかどうかは、日本でCOTSデバイスを利用したソリューションが普及するための鍵を握ると考えられる。

3. ソフトウエアライブラリーの提供
　3つめのポイントは、ソリューションの機能追加や修正を可能にするソフトウエアライブラリーが提供されるかどうか。

　PCI SPoCやPCI CPoCは改ざん検知、ルート化/脱獄検知、エミュレーターモードの検知や、バックエンドシステムによるCOTSデバイスおよびアプリケーションのセキュリティー状態の監視など、強固なセキュリティー対策を要件として求めており、高いセキュリティーレベルを実現している。様々な業種や業務に対してSPoCやCPoCのソリューションを普及させるためには、加盟店からの要望や業務ニーズに対して機能追加などの対応を柔軟に実行できる仕組みを用意するのが望ましい。例えば、SPoCやCPoCのクレジットカード決済やセキュリティー処理といった機能を共通化してソフトウエアライブラリーを提供すれば、セキュリティーなどの品質を担保できるだけでなく、開発者の負荷を減らし、幅広いニーズに対して柔軟に対応しやすくなるといったメリットが見込める。

　PCI SPoCとPCI CPoC の「Program Guide」では、こうしたニーズに対して、ソフトウエアライブラリーをソリューションの一部として認定対象に含めることを認めている。今後、多くのPCI認定取得済みのソフトウエアライブラリーが登場することを期待したい。

※1:汎用のスマホやタブレットのNFC機能を利用して、COTSデバイスを決済デバイスとして

利用できるようにするソリューションは、国際ブランドや業界団体により様々な名称で呼ばれている。例えば、JCBのTap on Mobile、VisaのTap to Phone、MasterCardのTap on Phoneなどがある。

※2：本稿執筆時点では2020年7月のPCI SSC公式ブログの情報に基づき、新セキュリティー基準について説明を実施した。

<What's Next for PCI SSC Mobile Payments Security Standards?>

但し、その後の2021年6月のPCI SSC公式ブログにて、SPoCおよびCPoCの後継新基準として幅広い決済手段への対応や、様々な本人確認認証方法に対応したモジュール式のオブジェクト・ベースのセキュリティ基準が2022年前半に公開予定であると新たにアナウンスが出されている。

<The Future of PCI SSC Mobile Standards>

※3：2021年3月には株式会社日本カードネットワークからも「Tap on Mobile」の実証実験開始に関するニュースリリースが発表されている。

https://www.cardnet.co.jp/global-data/2021031110062042.pdf

※4：2021年10月12日現在の最新情報では、12の認定ソリューションがPCI SSCの公式サイトに登録されている。