間もなく、日本でもサービスが始まると言われているApple Pay。先週辺りはアレが対応しない、コレは使えないといったニュースがWeb媒体を中心に飛び交ったが、情報が錯綜してるという印象もあり、実際サービスインしてみないと分からないことも結構ありそうだ。

10月下旬にサービスが始まるというApple Pay

個人的には、そういったネガティブ要素をあげつらうのには全く興味がなく、それより、初めてモバイル決済/オンライン決済を利用する人々が、果たして本当に安全に使えるかどうか疑心暗鬼になっているところを、どうやってAppleやJR東日本が疑問を解きほぐしていくのかに関心を寄せている。

実は、筆者は、数週間前に有名オンラインショッピングサイトのアカウントを乗っ取られた。アカウントの「言語設定」が変更されたというメールが届いたと思ったら使ってるメールアドレスとパスワードが変更されてしまった。

10分の間にメールが3通届き、乗っ取りが完了していた

慌ててサポートに連絡をしようとしたのだが、乗っ取られる前のメールアドレスからは当然問い合わせのメールは出せない。仕方なく、サポートセンターの番号を検索して電話。サポートセンターの方もこういうケース初めてなようで、困った様子。まず、本当に不正アクセスだったかどうか調査するから、結果を連絡する、メールで、と。いやだから、そのメールが使えなくって電話してるんだってば。で、登録してあったカードを念のため止めておきたいから、教えてくれと聞くと、ダメです、という返答。そりゃそうか、本人確認とれてる状況でもそれ教えるのアウトだよな。そうしたら、全部で4枚登録してあるというのだけ伝えてくれた。それで、下四桁の番号をこちらから申告して、一致するのだけを教えてくれた。

乗っ取りをお知らせするメール。この時点でログインできなくなっていた

翌日、不正アクセスでしたというメールが来た、登録してあったアドレスに。メールによれば、乗っ取られる前の状態に戻したとのことで、とりあえずログインできるかどうかチェック。無事に入れたのだが、先の下四桁の番号が一致したカードの情報が消されている。残っているのは問い合わせた時、一致する番号がなかったカードで、全部有効期限が切れていた。念のため、サポートにメールを出すと、安全のため、利用可能なカードの情報は一旦削除、再登録してくださいという返信が。

うんまあ、そうだよなという対応で、とりあえず住所と電話番号抜かれたくらいで、大きな被害もなくて安心した。カードの情報に関してはがっちりガードしてるので、盗まれる心配はないとのことだった。しかしながら、クレジットカードの番号を突っ込んで、それを保存し、支払いをするという方法にはどうしても不安が付き纏う。そこでApple Payだ。

Apple Payは、どうしてもその利便性の部分がクローズアップされがちだが(されるに決まってるが)、セットにして着目すべきはセキュリティの高さなのだ。Apple PayのWebページで紹介されているよう、セキュリティとプライバシーを十分配慮した、「より安全な支払い方法」というところがポイントなのである。

Apple Payのセキュリティとプライバシー

まず、Apple Payは、ユーザーの実際のクレジットカード番号を使う代わりに、独自の番号を割り当てる(「トークン」という一回しか使えないパスワードを利用する)。この方法を採っているため、Appleがユーザーのカード情報を加盟店と共有することはない。カードを使った店で番号を抜き取られたという話を耳にしたことがあるが、Apple Payではそういった心配がなくなるのである。さらに使用するには基本的にTouch IDによる指紋認証が必須となっている。加えて、iPhoneやApple Watchを紛失したとしても、失くしたデバイスを紛失モードにすることで、Apple Payの使用を一時的に止めることができる。さらにさらに、「iPhoneを探す」アプリを利用して紛失したデバイスの中味を遠隔消去したり、Appleが提供するクラウドサービス「iCloud」からカードをリモートで削除することも行える。サードパーティのアプリからApple Payを使うのも安心だ。なぜなら、App Storeで販売されているアプリの審査は非常に厳しく、穴のあるアプリが公開されることはまず有り得ないからだ。Apple Payは、セキュリティ面では死角が無いと言って差し支えないだろう。

また、プライバシーという面では、決済の詳細を保存しないという方針を採っている。つまり購入履歴をAppleはとらないよということだ。先のアカウントを乗っ取られたオンラインショッピングサイトでは、カードの情報を保存すると同時に、購入履歴も保存している。サービスを利用しようとすると、この前買ったものに関連付けられた商品の広告が表示されるのは購入履歴や覗いた商品を参照しているからなのだが、Apple Payでは、こういうことやらないと明言している。

筆者は先日、JR東日本の副会長である小縣方樹氏にApple PayとSuicaについて伺うことができたのだが、その席で同氏は、Suicaの場合、プラスティックのカードを失くしても、駅に紛失届けを出してもらえれば利用停止にし再発行できる(これも広い意味での「セキュリティ」だと考えているとのことだ)、意外と地味だが高く評価されてきたことを強調した上で、もともとセキュリティレベルが高いのだと説明してくれた。また、Appleのセキュリティに於ける技術力が加わることで、より強固になるという考えを示した。小縣氏は、列車を動かすという事業では「安全性」が第一であることを理解してほしいと続けてくれたが、なるほど、Appleと組む理由はここかと、得心がいった。小縣氏の言葉を借りれば、高いクオリティと高いセキュリティをウリにしている二者が手を携えたということなのだ。

Apple PayからSuicaを利用する上でのセキュリティのメリットも紹介しておこう。これまで、無記名のSuicaカードでは、紛失した際のチャージ金額復帰は不可で、記名式でも駅での申請時の金額の補償と再発行(14日以内)が必要だった。が、iCloud上に情報が残るので、デバイスが出てこなかったとしても新規のiPhoneやApple Watchに元のチャージ残高などを移行できるのだ。

一応、最悪の事態も考えてみた。それはiCloudを乗っ取られた場合だ。おそらく、Apple IDを作る時に設定した「秘密の質問」から辿っていくということになるのだろうが、サービスが始まってもいない、現時点での対応は分からない。ただ、乗っ取りのリスクを減らすことはできる。それは「二段階認証」だ。件のオンラインショッピングサイトでも「二段階認証」は用意されていたのだが、何しろ、利用しはじめが相当昔のことだったので、設定すらしていなかったのだ。この「二段階認証」を設定すると、突破の難度はさらに上がるので、Apple Payを通じて、これから初めてモバイル決済/オンライン決済を利用するという向きには必須と言えよう。

My Apple IDのページから「2ステップ確認」を設定する

実は筆者はこの「二段階認証」の存在を、乗っ取り事件があるまで知らなかった。IT業界のとある人に教えて貰って設定するようにしたのだが、それでも安心はできないから頻繁にパスワードは変更したほうが良いとアドバイスされた。その人の話では、愛人自慢が好きなIT業界の皆様方に於かれては、パスワードを相手の名前+誕生日にしてる人も少なくないということだった。え? そんなの一番ダメなヤツじゃん? と思ったのだが、パスワード変更の頻度と同じくらい、コロコロ相手が変わるから、問題ないそうだ。宜なる哉(ちなみに、この記事のタイトルがスクランブリング起こしてるのも、その方から、SEなんとかに効くから検索上位に来るよと指南されたからである)。

「おサイフケータイ」の存在はガラケー使ってる時代から知っていたが、どうにも利用する気にはなれなかかった。当時は、携帯電話に財布預けるなんて、失くしたらアウトじゃん? アナタ、見当識は大丈夫なの? と思っていたくらいで。ところが、Apple Payのセキュリティとプライバシー保護の取り組みを知って、これなら使ってみようという気になった。いや、日本で一番始めにApple Payを利用する一般ユーザーは俺だくらいのつもりになってきている。

冒頭、AppleとJR東日本が、安全面で疑心暗鬼になっているユーザーをどうやって啓蒙していくのかというところに関心を寄せていると書いたが、サービスイン後の取り組みも気になるところではある。前出の小縣氏は、幸い、自分たちで「媒体」を持っている、駅の大型ディスプレイ、中吊りなど様々な方法でアピールしていくと答えてくれたが、当然、CMもガンガン打つのだろう。その暁には是非ともマイナビニュースに出稿をお願いしたいところだ(本稿にはお金ついていない)。