2019年5月20日8:00
ビザ・ワールドワイドの講演では、デジタル環境でのなりすましや偽造防止対策としてVisaの提供するソリューション、Visaトークン・サービスおよび今後の方向性について紹介します。
ビザ・ワールドワイド・ジャパン株式会社 デジタル・ソリューション&ディプロイメント シニア ディレクター 小林浩樹氏
決済のデジタル化に向けたVisaのイノベーション
Visaでは、現在のペイメントシーンをどのように見ているのか、そして今後どういったところに注力していきたいか、そういった中でセキュリティをどうやって担保していくのかという観点で、説明させていただきます。
ビザ・ワールドワイド・ジャパン株式会社 デジタル・ソリューション&ディプロイメント シニア ディレクター 小林浩樹氏
まずは、決済のデジタル化に向けてVisaが世界各地で展開している主なソリューションから紹介します。非接触決済は、「Visaのタッチ決済」を全世界で展開しています。また、「Visa Direct」と呼ばれるP2Pの決済、「Visa Net」のネットワークはAPIを開放して、ともに新しいサービス、あるいは新しい決済顧客体験の創造を展開していく試みを行っています。
現在、全世界において、現金決済からキャッシュレスへの移行が急速に進んでいます。例えば、イギリスでは2005年に現金決済の割合が64%であったものが、2015年には45%にまで減少しており、2025年には、27%まで減少すると言われています。現金決済が減少していく中で、キャッシュレス決済に移行していますが、特に非接触決済の伸びが著しいです。
イギリスでは、2015年の非接触決済が2014年の3.3倍となりました。2014年には、ロンドンの地下鉄やバスなど、公共交通機関において「Visaのタッチ決済」が使えるようになりました。また、オーストラリアでもやはり現金以外の決済手段が急速に浸透しており、デビットカードの伸びが進展に寄与しています。
カナダで行われたアンケートによると、すでに50%以上の消費者が現金を持っていないというデータが出ており、66%の消費者が小切手を利用していません。50%の消費者は、外出の際に財布を持たずにスマホで買い物をしたいと考えているというアンケート結果もあります。ここで紹介したのはあくまでも一例ですが、全世界において現金決済からキャッシュレス化が進んでいます。
翻って日本はどうなのかと申しますと、日本クレジット協会の『日本のクレジット統計2017版』によると、民間最終消費支出が300兆円あたりで推移する中、クレジットカードの信用供与額の比率が2014年から急激に伸び、2017年においては19.3%まで伸びています。このように、日本においてもキャッシュレス化がどんどん進んでいます。
ただし、(カード決済の普及状況が)20%程である日本は、まだまだキャッシュレス化という意味では萌芽期にあります。例えばアジアでは、台湾が27%、シンガポールが52%、韓国では73%がカード決済に切り替わっていますので、Visaとしては日本のキャッシュレスの割合を高めて、キャッシュレスのメリットをいかに皆様に享受していただくことが課された使命であると認識しております。
そういった中で日本でも、キャッシュレス化に向けた多くの成長機会が存在しています。対面取引において、5,000円以下の取引が年間で100兆円ほどあるというデータがあります。年間の民間最終消費支出が300兆円あり、そのうちの3分の1が5,000円以下の買い物の取引となりますが、カード決済の割合はわずか4%しかなく、この領域にまだまだキャッシュレス化に向けた大きな成長機会が存在するとみています。
日本政府では今後10年間、2027年6月までにキャッシュレス決済比率を倍増して4割程度とすることを目指すという宣言をしていますので、われわれとしてもその目標を実現するべく、いろいろな活動を展開していますが、その中で今後は決済のデジタル化が必須になると考えています。
決済の方法についてもいろいろなものが出てきており、多様化しています。例えば、一番最初は、紙のカード、手書きの伝票などから決済が始まりましたが、電算化に伴いまして、磁気カードが利用されるようになり、そこからまた、EMVの接触IC、非接触ICとさまざまな決済方法が出てきました。さらには対面に加え、オンライン、非対面、モバイル決済など、現在ではさまざまな決済方法が出てきており、まさに百花繚乱といった状況です。
対面決済と非対面決済をみると、かつては明確な区別、違いがありましたが、それも現在では、例えば、Uberですとか、あるいはメキシコのファストフード店では、注文や決済はネットで行って、商品やサービスは対面で受ける方法が現れてきております。こうなりますとその取引は、対面取引なのか非対面取引なのか、というような状況にもなってくるわけです。これは、消費者のニーズに沿って決済方法が多様化している1つの例でございます。ここにおきましてもやはり、物理的なプラスチックカードを用いることではなくて、そこで用いられるのはアカウントであって、つまりその決済のデジタル化が必要になってくるということです。
ここまでは、決済手段が現金からキャッシュレスに移行しているということと、決済方法が消費者のニーズに沿って多様化している、さらにはその両方にとってデジタル化が必要であるという説明をしてまいりました。しかしながらそういったトレンドがいかに変わっていこうとも、決済の基本は、昔も今もこれから先も変わりません。というのは、利便性を高めると同時に、いかに高いセキュリティを担保し、信頼性を保っていくかが重要です。決済は多様化していますが、どのような決済方法をとったとしても、高いセキュリティは担保していかなければなりません。残念ながら、利便性を追求しようとすると、セキュリティがないがしろになるということが往々にしてありますが、まさにそのギャップを埋めるのが、イノベーションやフィンテックなど、そういった技術だとわれわれは考えております。
未来を見据えたセキュリティ:トークナイゼーション
決済の方法が多様化していく中で、今後高いセキュリティを保っていくのに非常に重要なソリューションと位置付けているのがトークナイゼーションの技術です。そもそもトークンとは、1つのカード番号から利用形態ごとに別々の番号を割り当てて、その別々の番号で決済を行う方法となります。1つのカード番号から、利用形態、例えばイシュアウォレットの利用に関してはトークン番号1というものを発番、割り当てをします。別の利用形態、サードパーティーウォレットでは、別の利用形態においてはトークン番号2を、また別の利用形態においては3を、というふうに別々の番号を割り当てて、その後のオーソリや売上、決済においては、カード番号ではなく、トークンを利用して処理を行います。
具体的な利用形態として、(1)Apple Payで使われているような「セキュアエレメント」をベースとしたウォレットアプリ、(2)HCEベースとなるアプリを使ったイシュアウォレットでの利用法、(3)Google PayやSamsung Payのように、HCEベースのサードパーティーウォレットとして提供されているアプリでの利用、などが挙げられます。
また、(4)EC/COF(カードオンファイル)という、いわゆるカード番号登録型加盟店、カード番号を登録してもらい、その登録されたカード番号で決済を行う事業者において、今保有しているカード番号をトークン化することによってセキュリティを高める利用形態があります。
さらに、「GARMIN PAY」のように、ウェアラブルでの利用形態もございます。日本は、GARMIN PAYに、三菱UFJ銀行がVisaデビットを載せて運用しておりまして、「Visaのタッチ決済」が使える加盟店でご利用いただいております。トークンが実際に使われているところは、ウェアラブルなどが世界でも中心です。
近い将来を見据えますと、今後、モノとモノがインターネットに接続して決済を行っていく、IoTの世界に移行すると、生のカード番号を使うことは(漏えいした際の影響を考えると)非常に危険ですので、当然、トークンを使って決済を行うことが必須になっていきます。今後IoTでビジネスを展開される場合には、今からトークン化を意識される必要があろうかと思います。
足元の話でVisaが一番着目しているところは、カード番号登録型加盟店がお持ちのカード番号をトークン化することです。
ジェムアルトのデータによると、昨年の上半期において、情報漏えいされたデータの件数が、約33億5,000万あるそうです。これは1日にすると1,800万件以上、1分で約1万3,000件、情報漏えいしていることとなります。
ではそのカード情報が漏えいした場合に、どういうことが起きるのか? 漏えいされた情報が悪用されて、不正被害があった場合、一義的にはイシュアがその被害を被りますが、被害はそこにはとどまりません。もちろんカード番号が漏えいしたあとのカード会員のほうでも、新たなカード番号を加盟店に登録しなければならないなど、諸々の処理が発生します。アメリカの調査では、既存のクレジットやデビットカードで起きた不正利用問題を消費者が処理するのにかかった平均時間は9時間であったという結果が出ております。当然カード会員では、その苛立ちの矛先というのはイシュアやデータ漏えいが発生した事業者のほうに向けられますし、マスメディアも批判的な報道が漏えいされた事業者に向けられます。これもアメリカの例ですが、かつてアメリカのスーパーマーケットのTarget(ターゲット)で大規模な情報漏えいの事件がありました。そのときにForbes(フォーブス)が試算では、ターゲットがデータ漏えいによって被った推定損害額が148ミリオンドル、日本円にして約150億円となりました。
それでは、カード番号を保管されている企業はどういった対応策があるのか? 1つには、PCI DSSに準拠することによってペイメントデータを安全に管理する方法、あるいは、不正利用を発生する前に止めるための不正検知、本人認証方法の精度をより高めていくやり方などがあります。または、そもそもカード情報を、カード会員自身で管理できるような仕組みを作ってしまうことも考えられます。カード番号登録型加盟店における、登録されているカードのセキュリティをどう高めていくかという点については、登録されているデータを無価値化する、つまり登録されているデータが盗まれても意味のないものにしてしまうトークナイゼーションが今後重要なポイントになっていくと捉えています。
では、登録型加盟店におけるトークン化をモバイルウォレットのトークン化と比較しながら説明します。モバイルウォレットの場合、まず一番最初にカード会員がカード情報を入力するところからトークン化が始まります。カード会員が入力した情報をもって、モバイルウォレットの事業者がトークンリクエスターとして、Visaトークン・サービス(VTS)に対してリクエストをかけてこられます。VTSでは、イシュアとやり取りしながらトークンを生成し、そのトークンをウォレットのほうにお返しします。ウォレット、あるいはクラウドの場合もありますが、保管されたトークンをその後の取引・決済において利用いただくのが、モバイルウォレットの流れです。
▶▶後編へ続く
※本内容は、2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のビザ・ワールドワイド・ジャパン株式会社 デジタル・ソリューション&ディプロイメント シニア ディレクター 小林浩樹氏の講演に加筆を加え、紹介しております。
