EN

NRIセキュア ブログ

日本の決済の未来はどうなる?|Visa Security Summit 2019参加レポート

目次

    Closeup of hand holding credit card 2019618日~620日に上海で開催されたVisa Asia Pacific Security Summit へ参加してきた。Visa Security Summitは、国際クレジットカードブランドのVisaが、毎年主催しているセキュリティイベントである。北米、アジア太平洋等の地域で開催されている。

     

     本レポートでは、筆者が参加した際に見聞きした決済業界の最新動向と所感をレポートする。

     

    Visaが考える決済の未来

     15周年を迎えた今年のVisa Asia Pacific Security Summitは、初めて中国で開催された。

     中国の決済市場はここ数年、急激に広がるキャッシュレス社会をはじめ、様々な変化が起きており、さらなる発展について注目が集まっている。

     

     その中でも特に「国際的な金融センター」の役目を担っている上海が15周年目の開催地として選ばれたことは趣深い。決済に関するこれまでの歴史を振り返り、また、今後アジアだけでなく世界中で決済はどのような発展を遂げるのかを検討するのには最適な地といえるのではないだろうか。

     

     今年のテーマはVisaが提唱している戦略「SECURITY.INNOVATION.TRUST.」であった。

     

     年々デジタルコマースの取引額が増加傾向にある一方、それに伴うユーザー体験(UX)の低下が懸念されている。現在、デジタル決済はモバイル決済を利用していることがほとんどであるが、「入力画面数が多い」、「何度もエラーが出る」等、UXが悪いことが理由で世界中の約75%*のデジタル決済が諦められているのである(カゴ落ち)。

     また、ユーザーが利用するカードが有効で利用可能かどうかを確認する際の承認(オーソリ)率は低い、かつ不正決済による被害の増加も懸念されている。

     

     このような課題に対して、Visa Security Summitでは決済の現状、デジタル認証、安全なデジタルコマース、データエコノミー等のトピックにより検討が行われていた。

     

     デジタル時代が到来している現在、加盟店や金融機関等の各業界間は「信頼」に基づくコラボレーションと、データの共用・活用が必要であると各トピックを通じてVisaは主張している。

     

     それを前提とし、「イノベーション」と「セキュリティソリューション」をさらに発展させるのは重大な課題である。そのためこの「SECURITY.INNOVATION.TRUST.」の三者一体こそが、Visaの今後の戦略のキーワードなのであろう。

     

     また、セキュリティ、オーソリ、UX等、様々な課題に対してVisaが提案していたのは、以下の5本柱である。

    • Visa Tokenization Service
    • EMV Secure Remote Commerce
    • Cloud Token Framework
    • Card on File Tokenization
    • 3D Secure 2

    その中で特に印象に残ったソリューションについて次に紹介する。

     

    *数字出典:Visa資料「Securing Digital Commerce

    Visaが取り組んでいるイノベーション ~セキュリティとUXの向上~

    Visa Tokenization Service (VTS)

     決済データを保護する手段として、Visaのトークン化サービスであるVTSが強く推奨されていた。

     

     決済する際、オーソリを行うために、PANPrimary Account Number)と呼ばれるクレジットカード番号をユーザー・加盟店・カード会社・決済代行会社の間で伝送する必要がある。

     VTSを利用することで価値のあるカードデータ情報であるPANは価値のないデータ(トークン番号)へと変換され、決済時の伝送データが漏洩してもPAN自体の漏洩のリスクを下げることが可能となる。

     

     また、VTSは、Visa Token Vault(トークンの作成・貯蓄)、Token Management Tools(トークンの停止・再開・削除の管理)、およびVisa Risk Manager(不正利用に備えた対策)の3つのツールを活用している。

     

     VisaNetによると、カードを提示しない非対面取引において、VTSを導入した場合のオーソリの承認率は、導入されていない時と比べ改善でき、決済における不正率も削減*した。

     

    Visa Tokenization Service_VTSの仕組み

    図. PANの代わりにトークン(赤い枠)を伝送するイメージ(出典:VISAのサイトより

     

    *Visa資料「Securing Digital Commerce

    3D Secure 2

     2016年のVisa Security Summitから毎年ホットトピックとして登場する3D Secure 2は、今年も依然として話題を呼んでいた。

     

    「3Dセキュア」とは?本人認証でクレジットカードの不正利用を防ぐ

     

     最新のバージョン2.2においては、1.0のデータ要素が拡張されている。例えば決済発生時に、生体認証の標準規格FIDO Allianceをサポートするシステム等を利用して「認証」、および「データ連携」が可能である。

     

     また、2.2は2.1からの流れを引き継ぎ、PSD2(改訂されたEU決済サービス指令)規制で要求する多要素認証の設計基準を満たしている。これに準拠することで、加盟店とカード発行会社の間で、生体情報などの豊富なデータを共有することができるようになり、より円滑な決済サービスが提供できるだろう。

     

     さらに、バージョン2.2の新しい機能について、ユーザーがオフラインの環境においても加盟店側で取引を開始し、本人認証も実現できる。

     

    3D Secure 1.0と3D Secure2利用するデータの比較

    図. 3D Secure 1.03D Secure 2が利用するデータの比較
    (出典:Visa資料「Evolving Authentication」)

     

     Visaとしては、依然として3D Secure 2を重要視している。またUXをさらに向上させるために、今後データ連携と個人データの活用に一層力を入れるのではないだろうか。

    EMV Secure Remote Commerce (SRC)

     SRCとEMVCo.(EuropayMasterCard InternationalVisa International の3社が作った、ICカードの統一規格や決済端末の仕様を定める認定機関)が、カードを提示しない非対面決済ソリューションのために開発した標準仕様の基盤セットである。

     

     SRCはデジタル取引における様々なリモート決済環境と決済端末にわたって、決済処理の標準化を実現することにより、簡素化を進め、安全性を強化することが可能である。

     

    ① カードユーザー認証方法の標準化

     「複雑なパスワードを設定したら覚えられない!」、「チェックアウトだけなのに入力項目が多くてもうやめたい!」といった声をよく聞く。
     このような手間がかかるパスワードの設定と入力はSRCを使えば要らなくなる。生体認証などの個人認証方法と組み合わせて安全で簡単に支払いができる。
     

     

    入力項目が多い~従来の複雑な決済体験

     

    図. 入力項目が多い~従来の複雑な決済体験

    (出典:Visa資料「Securing Digital Commerce」)

     

     

    選択→決済完了~簡素化された決済フロー

    図. 選択→決済完了~簡素化された決済フロー ※赤い枠:SRCの共通マーク

    (出典:Visa資料「Securing Digital Commerce」)

     

     

    ② ユーザー体験と決済マークの標準化

     デジタル決済では、店頭での決済と異なりどこからどのようなデバイスでアクセスするかは、全く予想できない。時には自宅からタブレットを利用してアクセスするだろうし、時には外出先からスマートフォンを利用してアクセスするだろう。
     SRCを利用すれば、ユーザーがどこでどのようなデバイスを使っていても、共通の決済マークとユーザーインタフェースを表示し、「今SRCを使っている」と実感できる。これによりユーザー認知度と信頼感を促進することも可能であろう。

     


    Secure Remote Commerce_SRC共通の決済マーク
    図. SRC共通の決済マーク(出典:emvco.com)

     

     

    ③ 共通データの標準化

     SRCは前述の3D Secureやトークン化等、他のEMV仕様との互換性機能を提供する。
     例えば3D Secureのオプションを使用して、SRC決済時にユーザーが事前にカード発行会社に登録した、本人のみ把握しているパスワード等の情報をもって自ら本人認証を行うことができる。

     

     SRCAPI/SDKApplication Program Interface/Software Development Kit)を提供することで標準化をサポートし、決済取引のUXとセキュリティを強化できる。様々な機能を集大成した魅力的なサービスといえる。

    中国の決済市場 ~振り返りから未来へ~

     今回のVisa Security Summitでは、より安全な取引と良質なUXを提供する「決済のテクノロジー」だけではなく、決済における中国の取り組みをテーマとした中国のデジタル加盟店・QSA等の講演にも注目が集まっていた。

     

     ここ数年、中国のモバイル決済を含め、デジタル市場の成長が世界でも注目を浴びている理由は、「デジタルコマースの拡大」に深く繋がっていると考えられる。(筆者自身は上海出身で2年ぶりに実家へ帰省したところ、目を疑うほどモバイル決済が進化しており、大変驚いた記憶が鮮明に残っている。)

     

     Visaの調査では、中国は、消費者が過去1か月でモバイル決済を利用する率が世界トップであった。経済の好調が人々の購買意欲と送金サービスのニーズを引き出してきたと思われる。

     

     日本の場合、クレジットカードのシステムはすでに先進的であり、デジタル決済の推進もクレジットカードのシステムに依存している。一方、中国ではクレジットカードの発行審査が厳しく、クレジットカードの所有率は高くない。そのため、政府が設立したカードブランド「銀聯」(Union Pay)の海外拡張戦略の中で、銀行に「銀聯」マークのデビットカードの発行を強く求めていた。

     

     金融業界へのガバナンスが強まることによって、審査の要らない銀聯デビットカードが急激に国民的なカードとなった(2018年時点で銀聯カードは世界の総発行枚数が約70億枚にも及んでいるという)。その膨大な銀聯のユーザーがすべて、モバイル決済の潜在的なユーザーとなっている。

     

     ユーザーに対してのモバイルサービスは銀聯カードとの連携が簡単であり、加盟店に対してもモバイル決済を導入するハードルが低く、かつ銀行の個人認証システムにより安全性が保証されているため、モバイル決済が爆発的に普及していくこととなった。

     

     今後の動向について、都市部以外の決済市場浸透戦略、シェアリングエコノミー等、決済関連の領域で、より付加価値のあるサービスの展開、および増加している不正利用に対するセキュリティ対策の推進に重点が置かれるであろう。

    世界の決済市場 ~避けられないデータエコノミーの時代~

     今年のVisa Security Summitで提言していたのは「データエコノミー」である。それは、イノベーションの促進と同時に、世の中のあらゆる情報から積極的に価値のある個人データを引き出して活用することで、決済業界が抱える課題の解決を目指すものである。

     

     一方、各国の間にデータ利活用への温度差があるのは事実である。

     

     Visaの統計分析から、消費者のリスクへの許容度について日本は中国より3倍以上低く、個人に便益が還元される前提で個人データを提供することについても消極的な姿勢を示した。データ共有への抵抗感を和らげるために、ユーザーが自分の個人データの主導権をデータ利用者から取り戻し、自分の意志で自由にサービスを選択できるようなルールを策定することが必要であろう。

     

     またグローバルの観点から、最近日本の決済市場においても、国を跨ぐコラボレーションが話題になっていた。例えば決済市場において、外国人観光客の消費ニーズに応えるため、日本のQR決済サービスの1つであるPayPayは中国のAlipay、韓国のKakaoPay等と連携し、同コード決済サービスを外国人に提供する。

     

     今後共通のQR仕様に留まらず、決済市場のグローバル化に伴い、顧客データも世界規模で国家間、事業者間の垣根を超えて連携が増えていくと予想される。まさに「クロスボーダー社会」の到来である。それまでに個人データを安全に利用するためには、世界規模で通用する「コンプライアンス」と「規格」の作成が求められるのではないだろうか。

     

     未来の決済市場においてはコラボレーションとセキュリティは一層重要になっていく。

     

    Business graph with arrow showing profits and gains

    最後に ~日本の決済はどうなる?~

     リスクへの許容度は、高くないが、日本にもデジタル化の波が来ている。これから既存の決済とは全く異なる方式が登場することが考えられる。それらが普及していくためには、様々な課題とチャンスの到来を意味する。

     

     Visa Worldwide Japanによると、日本の消費者は利便性・安心性・透明性を理由に「現金で決済する」とアンケートに回答している*。利便性・安心性について、UXとセキュリティ面において改善に努めてきたSRCのようなイノベーションを活用できれば、既存の現金や物理のクレジットカードから解放される日も遠くないと考えられる。

    *https://sogyotecho.jp/visa-yasubuchi-1/

     

     また、「クレジットカードは知らない間に使い過ぎてしまう」との懸念に対して、即時に口座から引き落とされる仕組みとなるデビットカードがデジタル決済と連携し、浸透すれば、そのような懸念をもつ個人に対しての解決策となるだろう。

     

     今年10月から予定されている消費増税では、政府はキャッシュレス決済によるポイント還元施策を打ち出している。デジタルコマースが中国のデジタル決済社会の起爆剤になったように、決済のデジタル化が遅れている日本において、この施策がきっかけとなり日本のデジタルコマースやモバイル決済の推進に火がつく可能性もある。

     

     昨今のキャッシュレス決済の中心であるQRコードについても、決済市場の覇権争い、統一規格を含め、常に話題となっており、今後の決済市場の動向から目が離せない。

     

     NRIセキュアでは、QR決済をはじめとしたモバイル決済に関するリスク評価の実施、その他のコンサルティング活動などを通じて、キャッシュレス社会に貢献したいと考えている。

     

    新規CTA