クレジットカードのナンバーレス化の普及が本格化 コンタクトレス決済、ナンバーレス普及の前に加盟店がしておきたい3つの準備 | PCI DSS Ready Cloud

クレジットカードのナンバーレス化の普及が本格化 コンタクトレス決済、ナンバーレス普及の前に加盟店がしておきたい3つの準備

  • このエントリーをはてなブックマークに追加
クレジットカードに大きな変化が起きている。カード番号などが記載されていないナンバーレスカードが登場してきているのだ。すでに新規発行ではナンバーレスが選べるようになっている発行会社もあり、今後、有効期限切れによる更新時にはナンバーレスかナンバーありかを選べるようになっていくと思われる。つまり、今後、クレジットカードはナンバーレスに置き換わっていくということだ。

このナンバレースカードは、アップルが2019年からサービスを開始したアップルカードが最初のもの。カードの裏表のどこにも本人の名前以外は書かれていない。なぜ、クレジットカードはナンバーレスになっていくのだろうか。そして、加盟店としてはどのような準備を考えておけばいいだろうか。

クレジットカードと言えば、表面には「カード番号」、「有効期限」、「名前」がエンボス加工(凹凸加工)で刻印され、裏面には署名欄とセキュリティコードが記載されているのが一般的だった。

しかし、このような重要情報を人の目に触れる形にしておくことは、セキュリティ的に非常に問題がある。実際、「カード番号」「有効期限」「名前」がわかれば、そこから磁気ストライプ情報を生成して、ブランクカードに貼り付け、勝手に使用するという事件も過去に多発した。また、今でも「カード番号」、「有効期限」、「名前」と背面のセキュリティコードがわかれば、本人以外でもネットで使用することが可能だ。

よくネットアカウントのパスワードを紙に書いてパソコンの横に貼っていると、危険だと指摘されるが、クレジットカードもパスワードに匹敵する情報が書いてあり、人に見せるのは非常に危険で、取り扱いに気配りが必要なツールになっている。世の中には一瞬見ただけで必要な情報を記憶してしまう人もいるし、スマホで表裏の写真を撮れば、誰でも簡単にクレジットカード情報を盗むことができる。ナンバーレスカードではこのような危険性がなくなる。消費者も加盟店も安心をして扱えるカードになる。

ナンバーレスカードには2種類ある。ひとつはすべての情報を背面に印刷し、表面には何も表示しないセミナンバーレス。もうひとつはカードの表裏のどこにも情報が表示されていないフルナンバーレスだ。それぞれによって使う利用者層が異なっている。

1)一般向けのセミナンバーレス
裏面だけにカード情報を記載するナンバーレスカードは基本的に今までのクレジットカードと使い方は変わらない。多くのクレジットカードがこのセミナンバーレスカードに移行をしていくと思われる。

2)スマホ利用者向けのフルナンバーレス
もうひとつは、表にも裏にも情報が印刷をされていないタイプのナンバーレスカードだ。カード情報は内蔵のICチップに記録されているため、対面決済では従来と同じように使うことができる。

ただし、メインで使うのは、ApplePayやGooglePay、専用アプリを使うスマホ決済だ。対面で使うときはスマホをかざすコンタクトレス決済(NFCによるタッチ決済)を使い、ECなどのオンラインサービスでは、ApplePay、GooglePay経由で使う。スマホで使うことが前提で、対面決済でコンタクトレス決済の設備がない加盟店で、プラスティックカードを使いICカード決済(差込みPINコードを入力する)をする。
つまり、セミナンバーレスは一般の人、フルナンバーレスはスマホの扱いに慣れている人を想定している。

消費者にとって、ナンバーレスカードにはさまざまなメリットがある。

1)セキュリティが大きく向上する
レジでカードを出す行為にはセキュリティリスクがある。近年では、カード番号を盗む目的で店舗アルバイトなどに応募をして犯行を行う例もある。また、レジに設置されている監視カメラも解像度があがり、設置場所によってはカード番号が読み取れるケースもある。
このような場合でも、番号が記載されていなければ、流出をするリスクがなくなる。裏面に記載されているタイプでも、裏面を上に向けなければ、番号流出のリスクを下げることができる。

2)発行がスピーディーになる
アプリと連動するタイプのナンバーレスクレジットカードは、ウェブなどから申し込みを行うと、最短では数分で発行される。審査が自動化されているためスピーディーで、アプリ内のクレジットカードはすぐに利用ができるようになる。それから数日で、プラスティックのカードが郵送されてくる。

3)紛失のリスクが小さくなる
アプリと連動するタイプのナンバーレスカードでは、スマホがあればコンタクトレス決済ができるようになる。現在はまだ磁気ストライプ、ICによる決済に対応している加盟店も多いが、コンタクトレス決済対応の加盟店が増えれば、プラスティックのカードは家に置いておくことができるようになり、紛失の心配もなくなる。
持ち歩く場合でも、財布の中に入れ、バッグや内ポケットなど、しっかりした場所に入れておくことができ、紛失のリスクは小さくなる。

このような動きに対して、加盟店は何をしておけばいいだろうか。加盟店が行っておくべきなのは、決済端末の確認とスタッフの研修だ。

1)決済端末の更新
日本政府は2022年中にクレジットカードのICカード化を完了する予定で政策を進めている。これは発行されるクレジットカードのすべてをICチップ入りのICカードにし、加盟店の端末をICカード対応のものに更新するというものだ。また、大手カード会社は今後10年ほどで、磁気ストライプ方式の廃止を進めようとしている。

つまり、現在のカード決済方式は磁気ストライプ(溝を擦る)、ICカード(差込み、PINコード入力)、コンタクトレス(タッチ決済)の3種類あるが、セキュリティリスクのある磁気ストライプが廃止され、安全性の高いICカードとコンタクトレスの2方式に絞られていくことになる。

特にコンタクトレス決済は、スマホ決済でも使われる方式で、今後若い世代を中心に急速に広がると見られている。つまり、加盟店としてはコンタクトレス決済に対応したレジ、決済端末に更新をしていく必要がある。

2)従業員の既存カードの取り扱い研修
ナンバーレスカードに限らず、クレジットカードの扱いでセキュリティ上重要になっているのが「店舗スタッフは手を触れない」というものだ。利用客に自分で挿入してもらう、タッチをしてもらう、PINコードを入力してもらう。スタッフが手を触れないことにより、顧客のセキュリティを守る必要がある。ところが、現実はスタッフがカードを預かって処理をするケースがまだまだ多い。

スタッフとしては親切心からやっていることだが、セキュリティ意識の高い日本人利用客、カードセキュリティの意識が進んでいる欧州の人はこれを嫌う。ましてや飲食店でテーブルでカードを預かり、スタッフがレジに持っていき決済するスタイルのテーブル決済はもはやNGだ。テーブル決済を提供したい場合は、モバイル決済端末を導入し、利用客の目の前で決済をすることが必要だ。

カード決済のオペレーションを見直して、スタッフ研修を行なっておくことが必要になる。

3)従業員のスマホ決済に関する研修
コンタクトレス決済は、対応のクレジットカードでもスマホでも支払いができ、PINコードの入力も不要なスピーディーな決済方式で、安全性も他の決済方式に比べて高い。しかし、まだ普及しているように見えないのは、対応加盟店が少ないこともあるが、スタッフの知識不足により、店舗側がうまく対応ができないこともある。確かにタッチ決済は、Suicaなどの交通カード、iD、QUICPayなどの電子マネー、クレジットカードのコンタクトレス決済、ApplePay、GooglePayのNFCコンタクトレス決済と複雑で、スタッフの対応も簡単ではない。
しかし、全店舗でコンタクトレス決済を導入し、スタッフ研修を行なっているファストフードチェーンでは、コンタクトレス決済で支払いをしている人を見かけるようになっている。加盟店が対応をすることで、コンタクトレス決済を使う人が増え、安全なコンタクトレス決済が使えるという理由で新しい客層を獲得することも可能になる。
特に若い世代、デジタルリテラシー高めの顧客が多い店舗では、研修を行い、設備面、接客面の両方で対応をすることが急務になっている。

クレジットカードは、不正使用に対抗するため、常にセキュリティを高める改善を行なっている。1950年代頃、クレジットカードが普及し始めた時、加盟店はカードインプリンターという装置を使っていた。これは、カーボン複写紙を利用して、カード番号などを伝票に写しとる道具だ。このインプリンターに対応するため、カード番号はエンボス加工をされている。こうしてつくった伝票に使用者のサインをもらうことで、正式な伝票となり、加盟店がカード会社に送ることで支払いを受けることができる。カード会社はまとめて使用者に請求をするという仕組みだ。

ところがこのインプリンターが悪用されるようになった。所有者が酔って眠っている間、あるいは起き忘れた時に、カードを勝手に使ってインプリンターで伝票をつくってしまい署名を偽造するという手口だ。

このようなことから、磁気ストライプ方式が使われるようになった。カードに記録されている磁気情報を読み取り、センターに問い合わせをして決済をする。自動的に決済場所と決済時間が記録されるため、不正利用があっても、後から調査をすることが可能になった。ところが、磁気情報は複製が可能であるため、偽造カードによる手口が使われるようになった。

そこで登場したのがICチップだ。カード情報はICチップに記録され、これを偽造することはほぼ不可能。さらに、ネットでカード情報を入力して使われることを防ぐためにナンバーの記載もしないナンバーレスカードが登場している。

現状は、「磁気ストライプ」「ICカード」「コンタクトレス」「ネット決済」の4種類の方法があるが、数年で「ICカード」「コンタクトレス」「ネットではApplePay、GooglePay経由の決済」に移行をしていく。クレジットカードの不正利用はほぼできなくなる。
また、近年、消費者のクレジットカードの安全性に対する意識も高まっている。カードの不正利用というと以前は「海外で使った時にカード情報を盗まれた」ということが多かったが、最近はフィッシングサイトの増加により、国内でしか使っていないのに不正利用されるというケースが増え、身近なところでも被害にあった人の話を聞くようになっている。QRコードや電子マネーによるスマホ決済を使う人が増えているのも、アカウント情報を盗まれるリスクが小さいことも影響している。

クレジットカードの決済形式は、ここ数十年で最も大きな変革期に差し掛かっている。顧客に安全な決済方法を提供することも、顧客サービスのひとつなのだ。(執筆:牧野 武文氏)


図1:表面、裏面のどこにもカード番号、有効期限、セキュリティコードが記載されていないフルナンバーレスの三井住友カード(NL)。背面に所有者名と署名欄がある。https://www.smbc-card.com/nyukai/card/numberless.jspより引用。

図2:表面にはカード情報が記載されず、裏面に集約されているナンバーレスカードの楽天カード。記載されている情報は従来と同じであるものの、裏面を見せなければ盗み見などを防ぐことができる。https://www.rakuten-card.co.jp/cashless/newcard/より引用。

図3:1970年代ぐらいまで使われていたカードインプリンター。カードを置いて、カーボン複写紙を使って、カードの番号などを伝票に転写する。https://en.wikipedia.org/wiki/Credit_card_imprinterより引用。

図4:カードインプリンターを使って作成された伝票。左側にエンボス加工されたカード番号などが転写され、サインをしてもらうことで正式な伝票となる。ここから出発して、セキュリティを高めるために決済端末が進化をしてきている。https://en.wikipedia.org/wiki/Credit_cardより引用。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加