2020年4月3日8:00
国内でも非接触IC決済やQR/ バーコード決済の動向が注目される。また、政府のキャッシュレス化政策が注目されている。そこで、株式会社ジェーシービーで15年間の実務経験を経て、株式会社野村総合研究所で約14年間、決済分野のコンサルテーションや決済ビジネスの立上げ支援に従事した決済サービスコンサルティング株式会社 宮居雅宣氏に、「キャッシュレス決済技術」と「政策」の2つのテーマで、国内の決済サービスの課題と期待について、説明してもらった。
決済サービスコンサルティング株式会社 代表取締役 宮居雅宣
1.非接触IC決済とQRコード決済のその後
筆者は昨年「カード決済&リテールサービスの強化書2019」にて、「非接触IC決済かQRコード決済か、モバイル決済の展望」との寄稿をさせていただいた。Suica、nanaco、WAON、楽天Edyに代表される日本の電子マネーは、FeliCaベースの非接触ICによって「タッチするだけ」という極めて簡単な操作でセキュリティの高い決済サービスを展開している。国際ブランド決済も、Visaのタッチ決済、Mastercardコンタクトレス、American Express contactlessなどISO14443(Type-A/B)ベースの非接触ICによって「タッチするだけ」と簡単でセキュリティが高く国際ブランド同士で相互利用できるEMVcontactlessを世界的に展開している。一方、中国ではAlipayやWeChat Payが爆発的に普及し、日本でも特に2019年はPayPayやLINE PayなどのQRコード決済が大胆なキャッシュバックキャンペーンを背景に利用者や加盟店を増やし、キャッシュレス・消費者還元事業も功を奏して利用が拡大している。
2019年は、セブンPayがサービス開始直後に不正利用の多発によってサービスを中止したり、PayPayとLINE Payが経営統合を発表したり、メルペイがOrigamiを買収したりと複雑な動向が発生したが、これらは数年前より筆者が経済誌や講演などで不正利用懸念や事業性懸念として指摘していた通りで、想定の範囲内の動向である。一見、単なるデータの移行で簡単そうに見える決済サービスが実はそのように単純なビジネスではなく、また、些細な業務の問題と軽視した課題が実は後々大きく事業性に影響する決済サービスの難しさが、ビジネスを開始してみてやっと認知されたということだろう。非接触ICやQRコードといった技術は、来店者と店の間でデータを授受するための媒体に過ぎず、決済サービスの本質ではない。ただし、媒体が容易に他人になりすまされるようなセキュリティであれば当然不正利用は発生するし、店頭で授受したデータをサーバに送る間に不正に改竄されても、偽情報を登録できてしまう脆弱な作りや業務運用でも不正利用は発生する。金銭的価値をターゲットとして、犯罪者は小さなセキュリティホールを突いて吸い尽くそうとするし、対策してもイタチごっことなり、さらなる対策にまたコストを要する。収入源である加盟店手数料を著しく廉価にする一方で利用者に大胆な割引をバラ撒く手法は、当然事業性が厳しい。会社や事業を買い取った側がまた事業を他へ譲渡するなど、決済サービスの合従連衡は今後ますます加速するであろう。
むしろ合従連衡によって「ある決済サービスが潰れて加盟店に取扱代金が支払われず、売上代金が回収できなくなった小売店が倒産。その小売店に当該決済サービスを薦めた金融機関も融資した事業資金を回収できずに破綻。」といった金融システミックリスクが発生しなくてよかったと私は安堵している。同時期には山形の老舗デパートが発行した全国百貨店共通商品券が利用できない事態※1が発生し地元消費者に不安の声が高まったが、決済サービスの怖さは滅多に起きないレアな事象が起きた途端に初めて露呈することにあるということを顕著に示した事例といえる。資金決済法が成立したころ、金融庁出身の学識経験者が海外で「日本は決済サービスが提供しやすい環境整備が進んでいる」とアピールした後に筆者が海外調査に行くと、その話を聞いた各国の有識者から「日本人は前払いしたお金が半分戻って来なくても平気なのか?」と逆に質問攻めに遭ったことが思い出される。加盟店手数料の安さは決済データの利活用で収益を得るための先行投資だという有識者も居るが、決済データの利活用で決済事業を賄うほどの収益を得ることは残念ながら難しいだろう。2014年頃、数多くのCard Linked Offer実証実験が展開された中で唯一の成功事例となったセディナおよび某銀行系カード会社と野村総合研究所の実証実験を主導した筆者の経験に照らせば、多種多様で大量の決済データを収集してガラガラポンしたところで有用な結果が出て来ることはなく、有効な施策を立案するには仮説を持ってデータの塊から傾向値を引出すアプローチが必須で、そのためには仮説作りが重要なのだ。データサイエンティストを大勢揃えたところで結局実務ノウハウが無ければ有効な仮説を導き出すことは難しい。利活用に資する決済データを得る環境を整備するには、利用者と加盟店の両方を十分に獲得した上で活発に利用される状況を実現しなければならないが、その実現には相当な体力を要する。特典を提供する時だけ使われる決済サービスを展開しても本末転倒である。また、他の本業で儲かるので決済サービスは無償でよいという有識者もいるが、金融システミックリスクを抱える決済サービスは、他の本業が傾いたからやめますと安易に撤退できるビジネスではない。膨大な小売企業を巻き込む決済サービスの取扱代金は、経済活動に大きく影響する。決済ビジネスには実務ノウハウが無ければ気が付かない地雷のようなリスクが数多く潜在しており、実務経験の無い有識者やコンサルの無責任なアドバイスを鵜呑みにして事業進出すると痛い目に遭いかねない。
このように、日本経済に大きな影響を及ぼしかねないと懸念するほど存在感を強めつつあるキャッシュレスであるが、ここでは引き続き、多くの決済事業者や小売企業が多大な関心を寄せる非接触ICやQRコードなどの活用技術動向に焦点を当てる。
2.事業性に影響するセキュリティ技術
昨年の寄稿で紹介した中国におけるQRコード決済の不正利用は、アリババグループやテンペイグループがマスコミにも大きな影響力を持っているため大々的には報道されていないものの、看過できない深刻な状況に発展したようだ。決済のセキュリティ技術を研究する筆者のネットワークでも数年前から対策技術を模索するアプローチが活発になっていた。不正利用額が甚大でないと公安が対応してくれない事情もあるようだ。そして2019年1月、Alipayは顔認証端末「蜻蜓(トンボ)」を実用化し、その3カ月後にはWeChat Payも顔認証端末「青蛙(カエル)」を実用化した。6月には中国セブン-イレブンに「蜻蜓(トンボ)」が大規模導入されるなど、スーパーマーケットやデパート、コンビニや病院のレジには顔認証デバイスのタブレット端末が並ぶようになり、顔認証で荷物受取するスマートロッカーなども出現している。12月には携帯電話申込時に顔情報の登録が義務付けられた中国では、生体情報の提供に抵抗感を感じる消費者が少ないものの、不安を感じる声が無い訳ではない。生体情報は万が一ハッキングなどで盗まれても変更できないことから、自らの力の及ばない所で他者が自己の生体情報を集約管理することに不安を感じるのは極めて自然な感覚といえる。
日本でも顔認証技術の活用動向は活発化しており、例えばNECは事実上の世界のセキュリティ標準であるNIST※2における顔認証技術のベンチマークテストで他社を大きく引き離す第1位の性能評価を獲得している。しかし圧倒的な第1位のNECでさえ静止画像の認証エラー率が0.5%あり100%ではない。また、政府が生体情報を収集する中国やインド、性悪説が大前提で自らの正当性を主張したり他国のスパイではないことを証明すべく自己の情報を積極的に公開する欧米の国々とは異なり、性善説が大前提で人を疑うかのような言動が憚られ、プライバシーに極めて敏感で情報公開に慎重な日本人は、生体情報の提供にはあまり積極的ではない。事実、全国で金融機関が生体認証機能付きICキャッシュカードを発行してすでに13年あまりが経過しているが、全国金融機関における普及率は22,4%にすぎない※3。筆者がアリババグループの信用スコア「芝麻信用」が中国でグループを超えた絶大な影響力を発揮している事実を早くに認識しながらも、日本における信用スコアビジネスを冷静に見ていたのは、このような民族性の違いを強く意識していたからに他ならない。では日本で顔認証決済は普及しないのかというと、そこにはまだ工夫の余地があると考えており、注目するサービスもある。例えば鹿児島銀行は、生体情報をサーバで保管しない方法で、顔認証を活用している。
鹿児島銀行は、顔認証によって「印鑑レス取引」や「キャッシュカードレス取引」を実用化している。初回は本人確認のうえ、写真撮影や証明書写真から顔の特徴を読取ってデータ化し、通常のQRコードリーダーでは読み取れない特殊な高セキュリティのQRコード(SQRC)に保存する。顔データを保存したSQRCは、キャッシュカードの券面に印刷したり、シールにして貼ることも可能であるが、鹿児島銀行ではスマートフォンの銀行アプリに登録して「キャッシュカードレス」を実現している。登録後は、SQRCをATMに取り付けた特殊なQRコードリーダーで読取って登録者の顔の特徴を把握すると同時に、ATMのカメラで利用者の顔を読み取って比較することで、利用者が登録者本人か否かを判断する。顔データは銀行のサーバなどに保管されることはなく、利用者のスマートフォンに入っているだけなので利用者自身が自らの手で管理できる。さらにこの方法は、利用者とサーバの間で1:nの顔データ認証を行うのではなく、利用者とその持参デバイス(または媒体)で1:1の顔データ認証を行うので、サーバ連携するオンライン接続システムが不要で、認証時間もスピーディなうえ、認証エラーも発生し難い。サーバに顔データを登録管理しないので生体情報漏洩のリスクも無く、システム構築・運用コストも抑えられる。ちなみに鹿児島銀行の顔データ読取技術もNECが提供しており、SQRCはQRコードの開発者であるデンソーウェーブが提供している。
ここで活用されているSQRCは、昨年の寄稿で指摘したQRコード決済の不正利用を防止することもできる。セキュリティ商品なので大々的に広告宣伝はされておらず極めてマイナーな存在ではあるが、鹿児島銀行のほかにも大手金融機関の窓口業務や非接触ICカード不要で廉価に権限別入退室管理を実現できるソリューション、アミューズメントパークの年間パスポートや転売防止機能つきチケットなど、さまざまなシーンで利用が始まっている。
中国で爆発的に普及したQRコード決済で不正利用が多発したように、2019年にQRコード決済が普及した日本でも、2020年には不正利用が多発する可能性が高い。
例えば、2020年1月になって実は数カ月前から不正利用が発生していたと判明したPaidyの後払い決済の不正利用の手口は、サービス開始当初より不正利用できることが分かっていた。筆者はある業界団体を通じて懸念を伝えたこともある。しかしサービス開始後長い間、不正利用は発生しなかった。発生したのは、利用者が増えて利用が活発化してからである。単に不正利用犯が手口を発見するのに時間がかかったと見ることもできるが、昔、大手カード会社でセキュリティを担当し、関西クレジットカード犯罪対策連絡協議会の実働部隊のリーダーとしてカード会社各社と不正利用犯を逮捕するなど国際犯罪集団と闘った筆者の経験から言えば、犯罪集団は中途半端に手を出して稼ぎ損ねることのないようターゲットの決済サービスが普及するのを静かに待っていたと考える方が妥当だ。QRコード決済も同様に、日本国内で普及するのを犯罪集団が待っていると考えるべきである。杞憂で終わればよいが、不正利用が多発し、補償せざるを得ない事象が多くなれば、決済事業者の事業性にも大きく影響する。そうなれば前述の金融システミックリスクにもつながる。決済事業者が加盟店に取扱代金を支払えなくなれば、中小規模加盟店の中には経営が立ち行かなくなる店も生じかねず、金融機関の経営にも影響しかねない。キャッシュレス不信といった社会問題になるだけでなく、国内経済にも大きな影響を及ぼしかねないのだ。大仰なようだが、決済サービスにはそういう怖さが潜在することを見過ごしてはならず、店頭でテータ授受する媒体や運用、バックヤードシステムでのテータ管理には細心の注意を払う必要がある。媒体におけるSQRCの例のように、セキュリティを高めて安心安全に使える環境を整備することが、キャッシュレス決済の拡大にもつながるはずである。
3.改正割販法IC対応期限の到来とTOKYO2020
非接触IC決済でも2020年は大きな環境変化を迎える年である。2018年6月1日、改正割賦販売法が施行され、決済端末のIC対応が義務付けられた。加盟店は2020年3月末までにPOSなどの端末のIC対応を行う必要がある。改正割賦販売法の条文自体にIC対応必須の記載はないものの、実務指針である実施計画に明記されている以上、同程度以上の措置を講じていないと違法になる可能性が考えられる。筆者は弁護士ではないので法令に関する見解を語ることはできないが、カード会社勤務時代に法令対応を業務に落とし込んでいた実務経験に照らすと、違法になる可能性に最大限の注意を払い、見過ごして違法取引を発生させないようシステム・業務両面で対応を整備する必要がある。実際にこれまで「IC化はカード会社の問題。POSを改修するならカード会社が費用を負担すべき。」と主張してIC化が進まなかった大型加盟店は、コンプライアンス上やらなければならないとしてIC対応を進めている。日本ではIC取引すなわちイコールPIN入力だが、海外発行のICカードにはCHIP(チップ)&サイン取引もあり、IC対応の中にPIN対応とサイン対応の両方が混在するなど、システム的な対応が難しい面も多そうだ。過払金返還請求で深刻な経験をしたカード業界には、ぜひ同じ轍を踏まないよう法令の真摯な解釈と対応に注力していただきたい。同時に海外のブランド決済動向に目を向けると、非接触ICによって便利に買い物できることが消費を拡大させている傾向が顕著に表れている。是非ともこの機会にEMVcontactless利用環境を整備し、オリンピック・パラリンピック東京大会に大挙して訪れるであろう訪日外国人が消費しやすい環境を整えるべきと考える。
中国の消費者は依然QRコード決済の方が使い慣れて消費し易いと思われる。AlipayもWeChat Payも中国では顔認証決済を実用化しているものの、ステッカーを貼るだけで取り扱えるQRコード決済のMPM方式とは大きく異なり、加盟店端末としてのタブレット設置やタブレットからのサーバ接続など顔認証決済環境の整備にはコストも対応負荷も大きいことから、日本では2020年はまだ中国人観光客用にはQRコード決済のMPM方式が有効と思われる。ただし、すでに日本国内でも不正利用が発生しているとの情報も入っており、店頭に貼ったQRコードステッカーの上に偽物のQRコードステッカーが貼られていないか、常に注意する必要がある。
また、LINE PayがQUICPayとしても使えたり、メルペイがiDとして使えるように、QRコード決済においても非接触ICを活用する動きが始まっていることにも注目すべきであろう。日本では「電子マネーは非接触IC」「〇〇PayはQRコード」などと端末インターフェイスによって決済サービスが分類されがちであるが、非接触ICやQRコードはあくまでインターフェイスに過ぎない。利用者が実際に代金を払うタイミングとインターフェイスを組合せることで、さまざまな決済サービスが実現されていると考えた方がよい(【図表1】参照)。そして日本でクレジットカードとして普及した国際ブランド決済には後払いだけでなく前払(プリペイド)も即時払い(デビット)もあり、世界各国で相互利用できるインターフェイスとしてEMVcontactless(ISO14443ベース)が整備され、世界の金融機関がEMVのデータ仕様(ISO7816ベース)でシステムを構築している以上、全く異なるデータ仕様の非接触ICを世界の金融機関に普及させるのは難しいことも理解すべきである。(ちなみにQRコードのEMV仕様はISO7812のID番号に準拠したサービス識別番号を整備したに過ぎず、ICのEMV仕様とは大きく異なる。)だからといって、日本国内で普及する決済サービスを全てEMVにすべきという訳ではない。サービス提供環境によって親和性の高い技術を活用すればよい。世界規模で量産される技術の方が低コストを実現し易いため、例えば同じISO14443のTypeBの非接触ICカードでも日本の公共系の非接触ICカードが国際ブランド決済カードのTypeBより数倍も高額であるが、TypeA/BとFeliCaと接触ICカードの全てに対応したカードも、やはり量産効果がなければ高額になる。セキュリティも利便性も高い非接触ICであるが、そのような高機能の非接触ICカードには、まだしばらくコストの課題が残りそうだ。
4.今後の技術活用動向
前述の通り技術には大きく、店頭における利用者と加盟店の間のデータ授受媒体の技術と、バックヤードでデータを登録・管理・保護する技術の2種類がある。媒体技術については、例えば2013年にはAppleやPayPalが「ビーコン決済」を展開したが普及しなかったほか、経済産業省も数年に渡って予算を取りLiquidと指紋決済の実証実験を実施したが利用が低調であったように、さまざまな技術が出現するものの普及は容易ではない。特に中国のように巨大市場を有する国では、シェア自転車や無人店舗のように活発に大規模なトライ&エラーが繰り返されるが、日本ではそうはいかない。最近はキャッシュレスの認知度が向上したため新技術の活用にも注目が集まりやすいが、そもそも利用者と小売店の両面で環境整備が進まないと普及しない決済サービスでは、新技術への移行は容易ではないと考えた方がよい。とはいいつつ、最近も顔認証決済やタッチレス決済などの新たな技術を活用した決済サービスの実証実験が活発であり、いつ頃どの技術が実用化するのか筆者自身も大いに関心を寄せている。
店舗表示型の統一QRコード「JPQR」については昨年も記載した通り、そもそも参考にしたシンガポールのSGQRでさえ利用率は1%以下である。単に決済事業各社に飛ばすURLを羅列したSGQRよりも、JPQRの方が多少決済事業者に対応負荷が生じる手法というだけでなく、QRコード自体よりもその後ろに繋がる業務運用の方が大変な決済サービスにおいて、表示媒体に過ぎないQRコードを1つにすることがどれほどの効果をもたらすのか疑問が残る。下手にQRコードを1つにまとめることで、かえって店頭トラブルが多発する可能性が高いことは、現在展開されるキュッシュレス・ポイント還元事業に参加する加盟店各社が店頭トラブルをふまえて「この決済サービスは対象だが、この会社のサービスは対象にならない。」などと手書きや独自印刷した紙をレジ前に貼って告知・説明している状況を鑑みれば想像に難くない。加盟店ごとに取扱う決済サービス各社のQRコードを表示するより統一QRコードを表示する方がどれほど便利なのか、ぜひ総務省の「統一QR普及事業」に参加する加盟店の声を確認したい。
顔認証決済については前述の通り、積極的に自己の正当性をアピールするのではなく他人を疑うことを表に出さない習慣が強く、プライバシーを重視してキャッシュレスに不安を感じる消費者が多い日本においては、事業者が顔データを収集し保管管理する手法は敬遠されそうである。鹿児島銀行の事例のように、消費者自身が自己の顔データを管理できる手法であれば普及する可能性がありそうだ。QRコードのセキュリティを高めたSQRCを組み合せたり、ICのセキュリティ領域に格納する方法も有効であろう。
タッチレス決済については、一般利用者における実用化は難しいのではないだろうか。同じ決済ツールを複数、鞄や財布に入れている場合の特定方法が課題になると思われる。PASMOがサービスを開始するよりずっと前に、NTTデータが山梨交通というバス会社で非接触IC乗車券を発行したことがあるが、定期券カードとストアドフェアカード(プリペイドカードとして乗車の度に運賃を支払うカード)の両方を定期券に入れた乗客が、定期券エリアでタッチしたのに定期券ではなくプリペイドカード側の残高がどんどん減ってしまい問題になったこともある。今でも会社用のSuicaと個人用のSuicaを使い分けるなど複数のIC乗車券を保有する乗客は多いであろう。例えば大きなスーツケースを持った団体旅行客とか、車椅子の方など、鞄からいちいち非接触ICカードの入った財布や定期入れを取り出してかざす操作が大変だというケースであれば、専用レーンを通過するだけで支払いが終わるタッチレス決済が有効かもしれない。
無人店舗や無人レジの実験も活発である。海外では、例えば無人店舗が活発に展開された中国はトライ&エラーの一環だったと見るべきで、すでに相当減少していることや、日本のように簡単に銀行口座を開設できない米国ではクレジットカードやデビットカードを持てない貧困層差別であるとして現金拒否を禁止する州法が制定され、かのAmazon Goでは入口ゲートから店員に声をかければ店員のスマホで二次元バーコードをかざして入店させてくれ、特設レジで現金で支払って退店する運用が追加されていたり、現金流通量が非常に少なくなったスウェーデンでも銀行に現金の取り扱いを義務付ける法律が制定されるなど、キャッシュレスとは異なる動向が見られるものの、労働力が激減する日本においては引き続き効果的な実現方法が模索されるであろう。ただし店員の作業を顧客に押し付けたり、複雑な機械操作を顧客に委ねる手法は、高齢化が進む日本においてそれこそ「高齢者置き去り」になりかねない点に注意が必要だ。筆者はまだ50代前半で、加盟店に端末操作を教えた経験もあるが、それでも月に1回程度利用するホームセンターのセルフレジではいつも操作に手間取り困惑する。周囲を見渡すと1台あたりのレジスピードは明らかに店員操作レジよりも遅く、4台に一人配置された店員はいつも客につかまっている。スーパーマーケットのセミセルフレジで、支払いに戸惑い、機械に小銭を入れようとして落としている高齢者を「これくらい簡単なのではないか」と思って見ていた自分がまさにその状況に陥っていることを実感し「不親切な店だ。もう来ない。」と思うのだ。おもてなしの国を自負する日本の技術が、ユーザーフレンドリーと働き方改革の両方を実現することを期待するが、そう考えるとやはり支払行為そのものが不要になる、即ちあらかじめ登録した決済方法によって店頭での支払行為が不要となる「サービス連携」決済への期待が高まる。実際にタクシーではいつもJapan Taxi WalletやS.RIDEを利用する。事務用品ではアスクル、食品ではネットスーパーで、商品を受け取る度にいちいち支払う必要なくカード利用明細で支出管理ができる。IoTやMaaSなどサービス提供はデジタル化していく。複数のサービスのシームレスな利用を実現するには、まさにこのサービス連携決済が成否を分ける存在にもなろう。訪日外国人も、飛行機や船で来日する際に機内や船内でクレジットカードやデビットカードを事前登録すれば、移動や買い物の度に支払い行為が不要でストレスなく商品入手やサービス利用が可能となれば、非常に便利で消費も活性化するであろう。ただし、他人のカードを紐付け登録されたりしないようセキュリティ対策も重要である。
セキュリティでは、クレジットカードの不正利用額が史上二番目となり、その多くが番号盗用被害であることから、フィッシングなどの情報搾取や情報漏洩を防ぐ技術の実用化が喫緊の課題となっている。筆者は日本の暗号学の権威である東工大の辻井名誉教授が開発に携わり、ディフィー・ヘルマン暗号方式で世界的に著名なスタンフォード大学のヘルマン教授が非公式に支援する特許技術にも関与しているが、シリコンバレーや他国で採用検討が進む技術が日本ではなかなか理解されないのも事実である。欧州がGDPR、米国がデータ保護法を制定し、GAFAもこれまでの方針を180度転換して無条件にデータそのものの保護に注力する中、残念ながら日本は個人情報の保護から脱却できておらず、企業が費用対効果を考慮する間に消費者のフィッシング被害は拡大している。データ保護技術の活用は喫緊の課題である。
決済サービスは利用者と加盟店の両面で使える環境が整い、商取引にて発生する利用データに基づいて最終的に利用者から提供者に金銭的価値を移転させる装置産業であり、その始点である店頭の媒体からバックヤードの利用データ、さらには未収までさまざまなリスクが潜在して高いセキュリティの確保が求められるインフラビジネスである。新たな技術活用には常に積極的に取組むべきであるが、広大なビジネスプロセスのごく一部分の技術で右往左往するのは得策ではない。我が国は大掛かりなトライ&エラーを繰り返して多くの犠牲を出しても物ともせず発展し続ける大国でもない。サービスでは競合しても、その土台として構築運用コストがかさばり差別化要因も少ないインフラにおいては、業界はもちろん業界を超えた協業によって、効率的・効果的にデジタル化社会を支えるキャッシュレスインフラの実現に取り組んでいただきたい。
※1 東北財務局が資金決済法に基づく還付を行う予定と発表済。
※ 2 米国国立標準技術研究所。米国政府の調達におけるセキュリティ基準を定めていることから、事実上の世界のセキュリティ基準となっている。
※ 3 2019 年3 月末時点。2019 年8 月金融庁報道発表資料より。
カード決済&リテールサービスの強化書2020より