ビザ・ワールドワイド・ジャパンが、いよいよ「Click to Pay」を日本でも導入します。日本では「クリック決済」という名称でサービスを提供し、オンラインにおけるクレジットカード番号の流出防止に加え、その名の通り「クリックだけ」でECサイトなどにおいてクレジットカードの支払いができる利便性も提供されます。Visaでは、年内にはサービスがスタートする見込みだとしています。
-
店頭ではタッチ決済、オンラインではクリック決済で、クレジットカード利用がさらに便利で安全に
10年間、進化しなかったオンライン決済
クレジットカードは、店頭ではカードのスワイプ、差し込み、タッチの3種類の決済方法があります。それぞれのセキュリティとしては、スワイプがサイン、差し込みが暗証番号、タッチが上限額の設定、といったものがあります。
しかし、簡単に偽造できる磁気ストライプを使ったスワイプ決済は、安全性の問題から現在は廃れつつあり、より安全性の高いICチップを使った差し込みやタッチ決済が主流になっています。
これに対してオンラインの支払いは、いまだにクレジットカード番号や有効期限、セキュリティコードといったカード情報を入力して決済を行っています。これは、店頭でいえばスワイプを使うようなものです。そのため、これまでも様々なセキュリティ機能が実装されてきました。
-
対面決済では、スワイプ、差し込み、そしてタッチと支払い方法が変化してきました。しかし、オンライン決済は昔からずっと手入力。カード情報を保存する場合も、ECサイトごとに保存していました
番号などのカード情報の流出を避けるために、一定のセキュリティ基準に準拠しないとデータ保管ができないため、基準を満たせない中小規模のショップではカード情報を通過させるだけで保存しないようにしています。また、他利用時に他者による不正利用を判別・防止するEMV 3-Dセキュアが導入されています。
さまざまな対策は講じられてはいるものの、クレジットカードの不正利用被害は増加しています。日本クレジット協会によれば、2024年のクレジットカード不正利用被害額は555億円です。
すべてがオンラインでの不正ではありませんが、特にオンラインでの被害となる「番号盗用被害額」は513億円とその大半を占め、今年1~3月も不正利用被害額が193.2億円、番号盗用被害額が182.9億円となり、被害は拡大の一途をたどっています。
しかも昨今では、ECサイトがカード番号を保存していなくても、ペイメントアプリケーションを改ざんして、「カード情報を入力したデータ」をそのまま外部に送信して盗む手法が使われています。このあたりの詳細は過去に連載でも紹介しています(東奔西走キャッシュレス(10) クレジットカードの生データは危険)。
加えて、「カード情報を入力する」というのは、利用者の体験価値を損ねています。財布からクレジットカードを取り出して番号などを手入力して、あるいは間違えて入力するといったこともよくあります。カード情報だけでなく、配送先の住所なども入力しなければならず、こうした決済の過程で22%が決済から離脱しいわゆるカゴ落ちになっていたとVisaのソリューション営業本部テクニカル・イネーブルメント部部長の田中俊一氏は説明します。
カゴ落ちの理由としては他にも、サイトの安全性に不安があったので離脱したという人が25%、せっかく入力しても最終的にカードの利用が承認されなかった人も9%いたそうです。こうしたカゴ落ちと不正、そして承認率という3つの問題を解決するのがクリック決済です。「タッチ決済で実現したような、簡単でスマートで安全な決済を提供したい」と田中氏はアピールします。
-
クレジットカードの入力の体験が低く、それがカゴ落ちの原因にもなっていました
同シニアマネージャーの村城智香子氏は、日本のEC市場がこの10年で約2倍の取扱高に成長していると指摘。ただ、田中氏が言うように、この10年間は決済情報を手入力する状況が変わらないままでした。
-
拡大する国内EC市場
こうしたことからVisaでは、ユーザー体験の向上を目指してクリック決済を日本でも導入することを目指しています。このクリック決済は、あらかじめカード情報をVisaのクリック決済用サーバーに保管し、決済時にはそのカード情報を選択することで支払いを行うというものです。
-
あらかじめ登録したVisaのウォレットからカード情報を引き出しているため、サイトごとに個別に登録したり手入力したりといった作業は不要。すでに欧米を中心に提供されていますが、今後アジア太平洋でも拡大していく予定
いわゆるウォレットサービスで、AppleウォレットやGoogleウォレットにクレジットカード情報を登録して、支払時に選択するのと同様の仕組みを、Visa自身が提供するという形です。ECサイトでは決済方法としてクリック決済が表示され、それを選んでカードを選択すれば支払いが行えることになります。
-
クリック決済の特徴。EMV仕様に基づいており、ブランドをまたいで共通したUXを実現。パスキーでさらに簡単に安全に使えます
この仕組みはもともと、クレジットカードの仕様を定める国際ブランドの団体であるEMVcoが策定し、EMV SRCと呼ばれる国際規格となっています。グローバルでは、VisaだけでなくMastercardやアメリカン・エキスプレスもサポートしています。単にクレジットカードが登録されているのではなく、カード番号はトークン化され、別のECサイトで悪用されるといったことはありません。
-
実はすでに、海外で提供されているクリック決済(Click to Pay)には日本のカード情報も登録できます。VisaとMastercardも同じ画面から選択。画面の中央は三井住友カードのナンバーレスカードで、券面デザインも表示できるようになっていました。これは過去の記事「クレジットカードの生データは危険」に掲載したものです
手動でカード情報を入力する必要はなく、使いたいカードを選ぶだけで安全にカード決済が行えます。住所情報も登録できるため、送付先の入力も手入力が不要になります。データはVisaが管理するため、セキュリティレベルが異なるサイトにカード情報を送信したり保存したりする必要もありません。
-
決済時の画面の例。すでにクリック決済にログインしているため、カード情報が支払い方法選択画面に表示されています。ここでカードを選ぶだけ
さらに、クリック決済ではパスキーの対応も想定されています。パスキーは生体認証でログインできるパスワードレスの多要素認証の方式で、特にフィッシング詐欺に対する体制を備えている点が特徴です。これを使うことで、スマートフォンやPCの生体認証を使って決済を行うことができます。現状は、決済時にワンタイムパスワード(OTP)を入力する場合もありますが、パスキーであればそうした必要もありません。
-
実際に支払いをする際に、さらに安全にするためにパスキーに対応します
-
Visa Payment Passkeyは、カード情報と紐付いて、支払時などの認証として使われます
これは、「Visa Payment Passkey」と呼ばれており、カードとデバイスを紐付けます。結果として、トークンが漏えいしても他人のデバイスでは使えない形になります。
-
これはカードとパスキーを紐付ける画面の例。カード決済時に「パスキーを登録しますか?」と聞かれて、そのカードに対してパスキーを紐付け。複数のカードがあれば、それぞれ個別にパスキーを登録する形になるそうです
-
決済の画面。クリック決済でカードを選んだら、そのカードに対してパスキー認証が求められるので、生体認証を行います。iPhone・Mac、Android、Windowsのいずれもパスキーが使えるので、端末にとらわれずに支払いができます
海外では、クリック決済の提供によって承認率が4.1%、不正利用の軽減率が58%、決済の時間が20秒短縮といった効果が現れているとのことです。パスキーを導入した取引では、従来のOTP認証と比べて不正利用が半減したというデータもあるそうで、こうした技術の組み合わせで、不正利用を大きく引き下げられる可能性があります。
-
クリック決済のメリット
基本的にはAppleウォレットやGoogleウォレットと同じ仕組みではありますが、EMVcoが定めた仕様で、国際ブランドの多くが参画していることや、デバイスを問わずに使える点などがメリットだとしています。
国際ブランドであるため、よりカード会社などに近い立場にあり、対応カードが増える可能性は高く、アクワイアラや決済代行業者のサポートも期待できそうです。クリック決済に対応するためには、ECサイトに組み込みをして、決済代行業者などが対応する必要もあるため、対応事業者の拡大が普及の鍵になるでしょう。
日本では今回Visaが発表していますが、他の国際ブランドもあわせてサービスを提供することが重要でしょう。今回の発表を皮切りに、各社の取り組みが進むことも期待したいところです。
