2023年4月27日8:30
市販のモバイルデバイス(COTS)を活用したキャッシュレス決済が広がりを見せている。PCI SSCでは、リーダーでカード情報を読み取ってからCOTSでPINを入力する「SPoC」と、アプリケーションをダウンロードしたCOTSのみで非接触決済に対応する「CPoC」の2つのセキュリティ基準を運用(参考記事)。さらに2022年11月には、これらの欠点を補完する包括的な仕組みである「MPoC」の基準を発表した。この普及はスムーズに進むのか。顕在化している課題はあるのか。決済技術に詳しいネットムーブ ペイメント事業部長の高田理己氏に最新事情を聞いた。(「決済セキュリティ2.0」より)
多様なクレジットカードに対応し
PIN入力も可能な新基準が登場
COTS(Commercial off-the-shelf)と呼ばれる市販のスマートフォンやタブレットなどのモバイルデバイスを、決済端末として活用するケースが増えている。PCI SSCはこの動きに対応し、これまで「PCI SPoC」(Software-Based PIN Entry on COTS)と「PCI CPoC」(Contactless Payments on COTS)の2つのセキュリティ基準を運用してきたが、2022年11月にはこれに加え、3つ目となる「PCI MPoC」(Mobile Payments on COTS)をリリースした。
「SPoC」は、外付けの専用リーダーでカード情報を読み取った後、専用ソフトウェアをダウンロードしたCOTSデバイスでPIN入力を行う方法。一方「CPoC」は専用リーダー不要で、専用ソフトウェアをダウンロードしたCOTSデバイスのみで決済を完了することができるが、PIN入力はサポートされていない。したがって決済金額に上限があり、高額決済に対応できない。また、COTSデバイスのNFC(Near Field Communication:近距離無線通信)機能を用いてカード情報を読み取るため、接触型ICカードや磁気カードには対応できないというデメリットもある。
今回リリースされた「MPoC」は、これらの弱点を補い、「SPoC」と「CPoC」の両方に対応する包括的な基準だ。接触型・非接触型どちらのICカードにも対応でき、これまで個別に取得が必要であった国際ブランドの「PIN on Glass」認証がサポートされることでCOTSデバイス上でのPIN入力も認められる。
決済端末やセキュリティビジネスを展開し、国内外の決済セキュリティ事情に詳しいネットムーブ ペイメント事業部長の高田理己氏は「特にCPoCでは高額決済に対応できないという点が、普及の足かせになっていました。これが取り払われたことは大きい。VisaとMastercardは2020年にCPoC認定を取得したソリューションに対して『PIN on Glass』の認証を追加することで高額決済に対応することを同意しました。今後COTSデバイスによるコンタクトレス決済がさらに増えていくのは確実で、それを後押しすることによって彼らの収益も伸びるという判断をしたのでしょう」と見る。
ネットムーブは自らも2017年10月に「PCI P2PE ソリューション」および「PCI P2PE コンポーネント」のプロバイダ認定を国内で初めて取得、2020年10月に更新している。キャッシュレス決済サービス「Spayd(スペイド)」や認証ソリューション「saat(サート)」を提供、決済センターの運営も行っており、さまざまな角度からペイメント業界をウォッチしている。
「MPoC」の運用上の特徴は大きく2つある。1つは、Attestation&Monitoring(認証&モニタリング、以下 A&M)の徹底。「SPoC」ではPIN、「CPoC」では非接触型ICカード番号というセンシティブな情報を、PCI PTSが認定した専用デバイスではなく、汎用デバイスに入力することになる。そのため、iOSやAndroidのOSのプラットフォームが正常かどうかを、常時監査する必要があるのだ。
もう1つの特徴は、モジュラーアプローチと呼ばれるもの。各ベンダーが提供するSDK(ソフトウェア開発キット)をソリューションに組み込んで、フレキシブルなシステム構築ができるようになっていることだ。
