クレジットカードのコンタクトレス決済が広がり始めている。VISA、Mastercard、JCB、Amexなど主要なカードブランドが対応加盟店を広げている。ファストフード、スーパー、コンビニなどが中心だ。名称は「コンタクトレス決済」「タッチ決済」「非接触決済」などカードブランドによって異なるが、いずれもNFC(Near Field Ccommunication)を利用して、タッチするだけで、サイン不要(上限額あり)で決済ができるというものだ。わかりやすく言えば、SuicaなどのIC乗車券感覚でクレジットカード決済ができるようになる。
コンタクトレス決済は、この決済の簡単さが強調されているが、それだけではなく、セキュリティ面でも、格段に安全になるという点が大きい。そこで、利用者と加盟店の2つの視点から、コンタクトレス決済のメリットを整理しておきたい。
1)レジオペレーション時間の短縮
現在のクレジットカードは、レジオペレーション時間の短縮にあまり貢献できていない。意外に時間がかかるのだ。EMV準拠のICクレジットカードであっても、「利用客がリーダーに差し込む」→「PINコード(暗証番号)の入力」→「認証」→「レシートの印刷」という手順が必要になる。その店舗のネットワーク環境によっては認証に時間がかかることもあり、現金決済と同程度の時間がかかってしまうこともしばしば起きている。
スーパーやコンビニのように、レジ待ち行列ができる店舗では、利用客から待たされるという不満が出やすい。そのため、クレジットカード専用レジを用意している店舗もあるほどだ。
これがコンタクトレス決済なら「タッチ」→「レシートの印刷」のみになり、近い将来、レシートは電子化されて、「タッチ」のみのオペレーションになる。レジオペレーション時間は格段に短くなり、店舗にとってはレジ業務の効率化が可能になり、利用客にとっては快適なレジ体験がもたらされることになる。
2)セキュリティの向上
コンタクトレス決済は、タッチという決済方式だけでなく、トークン決済であるという点が大きい。これにより、不正使用が起きることはまずなくなり、安心をしてクレジットカードを使えるようになる。
トークンというのは、クレジットカード番号とは異なる秘密番号のようなもので、コンタクトレス決済では、このトークン番号で決済ができるように設計されている。ポイントは、「カード番号を店舗側に渡さない」ということだ。トークン番号は万が一流出をしても、ネットや店舗で利用することも、偽造カードを作ることもできない。「カード番号を外に出さないので安心」というのがトークン決済のメリットだ。
今年2020年6月にも、横浜市のスーパーでアルバイトをしていた高校生が、顧客のカード番号を盗用し、航空券やホテル代金など1000万円以上を詐取したという事件が起きている。顧客のカードを盗み見て、セキュリティコードと有効期限を暗記し、レシートに印刷されたカード番号をメモするという手口だった。
コンタクトレス決済では、店舗側にカード番号が送られないので、レシートにももちろんカード番号は記載されない。カードを見せるのは、タッチする一瞬なので、カード情報を暗記することは難しい。また、セキュリティの観点から、カード番号や個人名を表記しないクレジットカードも登場している。
コンタクトレス決済対応カードは、当然EMVのICクレジットカードにも対応していて、ICを偽造することは不可能。研究室レベルでは複製に成功している例もあるが、犯罪者がそこまでの知識を持ち、資金と労力を注ぎ込むとは考えづらい。犯罪として割りに合わない。
つまり、コンタクトレス決済対応カードでの不正利用は、「フィッシングサイトに騙されて、本人自らカード情報を入力してしまう」というケースのみになる。利用者は、コンタクトレス決済かIC決済だけにする(磁気ストライプ決済の場合は、他の方法で決済するようにする)ようにすれば、カードの不正利用被害を受けるリスクは限りなく0に近くなる。
3)加盟店側のセキュリティコスト低減
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(クレジット取引セキュリティ対策協議会)では、加盟店に「カード情報の非保持化」か「セキュリティ基準であるPCI DSSへの準拠」のいずれかが求められている。
PCI DSSへの準拠以外の対策として、PCI P2PE認定ソリューションの導入又はセキュリティ対策協議会がとりまとめた セキュリティ技術要件に適合するセキュリティ基準を満たしたカード 情報の暗号化に対応した内回り方式といった選択肢があるが、技術的にもコストもハードルが高い。
コンタクトレス決済を含む対面加盟店で、「カード情報の非保持化/非保持化同等・相当」である直接外部の情報処理センター又はASP事業者/クラウド等に伝送される外回り方式を採用すれば、PCI DSS準拠や他の実現方法と比較した場合、リーズナブルに実現可能である。
4)インバウンド対応にもなる
現在は国際的な往来が止まっているが、永久にインバウンド観光客がこないというわけではない。時期はともかく、徐々に戻ってくることになる。コンタクトレス決済は、クレジットカードの従来の決済方式と同じく、ワールドワイドの共通規格だ。そのため、インバウンド観光客の決済手段としても有力だ。特に、ヨーロッパではEMV準拠のICカードやコンタクトレス決済がいち早く普及をしているため、磁気ストライプ決済のみの加盟店は決済に対する不安を感じてしまい、避けられる傾向がある。コロナ禍の間に、決済のインバウンド対応をしておく必要がある。
また、逆に日本人が海外に行った場合も、コンタクトレス決済が利用できる。先ほど触れたように、セキュリティも強固なので、外国でも安心をして利用することができる。
5)スマートフォンと連動しやすい
コンタクトレス決済は、ある意味、クレジットカードの究極の決済方式だが、問題は現在のクレジットカードではコンタクトレス決済ができないということだ。NFCチップが埋め込まれたコンタクトレス対応のクレジットカードに更新をする必要がある。
多くのカード会社では、次回の有効期限による更新時に、コンタクトレス決済対応カードに切り替えると思われるが、今すぐ、コンタクトレス決済を利用する方法がある。それは手持ちのクレジットカードを、スマートフォンのApple PayやGoogle Payに登録をすることだ。これだけで、スマホからであればコンタクトレス決済が利用できるようになる(対応状況はカード発行会社により異なる)。
これは、クレジットカードのスマホ化に留まらない。例えば、モバイルオーダー、フードデリバリーのウェブやアプリから、クレジットカードによるオンライン決済ができるようになる。従来は、アプリごとにカード番号を登録するという煩わしい作業が必要だったが、Apple PayやGoogle Payでは、決済方法を選ぶだけで決済ができるようになる。初めて利用するサービスでも利用しやすく、新規顧客を獲得する可能性が広がる。
また、飲食店などで予約時に予約フィーを決済してもらい、店舗での対面決済時に予約フィー分を割り引くなどして、いわゆるドタキャン対策をすることもできる。決済方法は、スマートフォンと連動させることで、新規顧客を獲得したり、リピートさせるツールとしても活用できるようになる。
多くの業種がコロナ禍で、手痛い打撃を被っており、キャッシュレス決済どころではないという方も多くいらっしゃることだろう。しかし、永遠にコロナ禍が続くわけではなく、いつかは日常が戻ってくる。その時までの時間、どんな準備をしていくかで回復のスピードは大きく違ってくる。コンタクトレス決済は、キャッシュレス決済の決定版ともいえる重要な決済手段で、数年後には標準の決済方式のひとつになっていることはほぼ間違いない。どのような手順で対応をしていくのか、考えておく必要がある。(執筆:牧野 武文氏)
図1)クレジットカードの不正利用被害額は年々増加している(単位:億円)。特に、番号盗用被害が増えている。フィッシングサイトに騙されて本人が入力してしまうケースの他、店舗スタッフが悪用する、店舗から流出するというケースも多い。日本クレジット協会(https://www.j-credit.or.jp/)の統計より作成。
図2)コンタクトレス決済対応の加盟店には、リップルマーク(電波型の図形)がついたブランドロゴが掲示される。
図3)コンタクトレス決済を利用するには、リップルマークのついた対応クレジットカードが必要になる。非対応のカードでも、Apple Pay、Google Payに登録をするとコンタクトレス決済がスマートフォンで利用できるようになる(対応はカード会社により異なる)。
図4)Apple Payに登録したクレジットカードの情報欄。デバイスアカウント番号の欄に「MasterCard」「QUICPay」の2つの番号があることに注意していただきたい。QUICPayはFelica端末に対して電子マネーで決済をする時のトークン番号。MasterCardはNFCでコンタクトレス決済をする時のトークン番号。つまり、Apple Pay、Google Payは、電子マネー決済、コンタクトレス決済の両方に対応をしている。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス