最後に現金を触ったのがいつだったか覚えていますか?
聞き慣れない質問だと思いますが、この答えであなたがどれくらい現金主義であるかが簡単に推測できます。というのも筆者のようにキャッシュレス決済が生活の一部となっている方は、おそらく答えられないからです。
以前は現金しか使えない店が多かったため、現金が主な決済手段として使うことにはある程度合理性がありました。しかし、現在は2019年に始まった政府のキャッシュバックキャンペーンのおかげもあり、ほとんどの店が何らかのキャッシュレス決済を導入しています。
そういった変化があったにもかかわらず、相変わらず現金で支払いをしている人はかなりいます。
では彼らはなぜキャッシュレス決済を利用しないのでしょうか?
人により理由は様々ありますが、大きな理由の1つに「セキュリティに対する不安」があげられます。具体的には、不正使用や個人情報の流出です。
実際、最近では2019年にセブンペイの不正使用事件がありました。
この事件で、多くの人は「キャッシュレス決済は怖い」と思ったでしょう。しかし、この事件はセブン&アイ・ホールディングスの問題であり、キャッシュレス決済という決算手段そのものにセキュリティ上の問題があるということではありません。
現金主義の人が安心してキャッシュレス決済を利用できるように、なぜApple Payが他のキャッシュレス決済に比べて圧倒的に安全であるのかを伝えたいと思います。
ポイントはシンプルに2つ。
認証方法と支払い情報の取り扱いの違いです。
まず、Apple Payが採用している方法を簡単に説明し、次にその方法を実現するためのテクノロジーについて詳しく解説していきます。
支払い者の認証方法
お店やオンラインでキャッシュレス決済を利用するには、あなたがその決済方法を利用する権利があることを確認する必要があります。
具体的には、クレジットカードならサイン、暗証番号、またはカードの裏に記載されているCVVと呼ばれる3桁の数字を使って確認します。電子マネーは、物理的なカードの所有のみです。
クレジットカードの暗証番号以外は、物理的なカードが盗まれた時点でいくらでも不正に使えてしまいます。また、カード自体が盗まれなくても、スキミングと呼ばれるカード情報だけを盗む不正の被害にも遭いやすいです。
では、Apple Payはどのように安全性を確保しているのかというと、認証方法に生体認証を採用しています。古いiPhoneなら指紋認証のTouch ID、新しいiPhoneなら顔認証のFace IDです。
生体認証のよいところは、端末が盗まれても不正使用されないところ。本人の指や顔まで盗めないですからね。
ちなみに、認証の誤認が起こる確率は、Face IDが100万分の1、Touch IDは5万分の1。前述のCVVの3桁の数字の場合たったの729分の1ですから、生体認証がどれほど安全なのかは明確ですね。
支払い情報の取り扱い
クレジットカードで支払いをすると、以下の図のようにお店に支払い情報として個人情報が伝わります。
では具体的にどのような個人情報が伝わるのかというと、少なくとも次の4つ。
- 名前
- カード番号
- 有効期限
- カードの種類
- 発行元の銀行
これに加えて、配送などを頼めば住所や電話番号まで含まれます。恐ろしいほどの量と質の個人情報ですね。流出されると大きな問題が起きるのは確実です。
もちろん、情報が伝わっても店がきちんと管理していればなんの問題もありません。しかし、現実的にどれぐらいのお店がきちんと管理できているでしょうか?
できている店は多くないでしょう。きちんとしたセキュリティ対策を施すにはお金と時間がかかりますから。サポートがとうの昔に終了したWindows XPやWindows 7などを平気で使っている店もあるくらいです。
では、Apple Payはこの問題をどの様にクリアしているのでしょうか?
店と個人情報を共有しないで済む「トークナイゼーション」という方法を採用しているだけです。
トークナイゼイションについての技術的な説明は次の項目でするので、ここではApple Payで支払いをした場合は「支払いに関する個人情報は店側には伝わらない」ということだけ理解すれば十分です。
つまり、店は情報を保有しないので、店から個人情報が流出することはありません。店のセキュリティ対策レベルとは無関係に、情報が守られるというこ。ユーザーは安心して支払いができますし、店側もセキュリティに投資するお金と時間を省けるわけです。
また、共有されていない情報をスキミングすることは不可能ですから、不正使用の防止という観点からも安全が保証されます。
以上の内容をまとめると、Apple Payは生体認証により不正使用を防ぎ、トークナイゼーションによって個人情報を守っているということです。
ここまではわかりやすさを重視して技術的な内容をあえて避けて解説してきましたが、ここからは、Apple Payが「生体認証」と「トークナイゼーション」という技術を実現させるためのテクノロジーついて見ていきます。
トークナイゼーション
トークナイゼーションは、重要な情報をその情報とは関係ないランダムなIDに置き換える技術です。文章では分かりづらいので、次のイメージをみてください。名前を含むクレジットカードの支払情報を「1E385634-CA42」というIDで表現しています。
※このIDは筆者が勝手に作ったもので実際のApple Payが使う数字や桁数とは一致しません
このIDのみがお店側に共有されるので、この情報をもとに名前や本当のクレジットカード番号をたどることができないのはわかりますよね。
ではこのIDは誰が生成するのかというと、カード発行会社です。
ユーザーがApple Payにクレジットカードを登録してから、IDを受け取るまでのプロセスを簡易的に表したのが次のイメージ。
4つのプロセスを踏みます。
- カード発行会社がユーザーにカードを発行
- ユーザーがApple Payにクレジットカードを登録
- 登録情報がAppleのサーバーを通じてカード発行会社に伝わる
- カード発行会社がIDと秘密の鍵を生成し、ユーザーに送り返す
IDと秘密の鍵は次で説明するiPhoneのセキュア・エンクレーブに保存されます。ユーザーはお店で支払いをするときは、支払情報の代わりとしてこのIDを使うわけです。
※イメージ中の秘密の鍵については次に説明します。
Secure Enclave(セキュア・エンクレーブ)
セキュア・エンクレーブは、AppleがiPhoneの生体認証に必要なプロセスを処理するために開発したプロセッサーです。
なぜ生体認証に専用のプロセッサーが必要なのかというと、指紋や顔の情報を外部から確実に守る必要があるからです。セキュア・エンクレーブは安全性を確保するために、iPhoneのその他の部分とは完全に独立しています。
言い換えれば、独自のオペレーティングシステム、ドライバー、アプリケーションが搭載されている別のパソコンです。ですから、iPhoneが万が一ハッキングされても、セキュア・エンクレーブに保存されている情報は守られるということ。
セキュア・エンクレーブは生体認証以外にもう一つ重要な機能があります。
ダイナミック・セキュリティ・コードの生成です。
聞き慣れない言葉だと思いますが、クレジットカードの裏側に記載されている3桁のコード(CVV)を思い浮かべてください。通常オンラインでクレジットカード払いするときはこの番号を認証に使いますが、Apple Payではこのコードを支払いをするたびに新しいコードを生成します。
トークナイゼーションでふれた「秘密の鍵」は、ダイナミック・セキュリティ・コードの生成に使われます。カード発行会社は、iPhoneは秘密の鍵を共有しているので、生成されたコードが正規のコードであることの確認が可能です。
ですから、何らかの方法でハッカーがユーザーのIDを盗めたとしても、ダイナミック・セキュリテイ・コードがなければ何もできません。支払いの2段階認証と言い換えてもよいです。
まとめ
現金主義の人が安心してキャッシュレス決済を利用できるように、Apple Payがいかに他のキャッシュレス決済と比べて安全であるかを解説してきました。
技術的な部分の説明が難しすぎて読み疲れたと思うので、もう一度重要なポイントを簡単に繰り返します。
Apple Payは、1)トークナイゼーション、2)生体認証、3)ダイナミック・セキュリテイ・コードで個人情報の流出と不正使用を防止。
そしてその3つのセキュリテイ機能の実現には、Appleが開発したセキュア・エンクレーブと呼ばれるプロセッサーが大きな役割を果たしています。
周りに現金主義の人がいたらぜひApple Payによるキャッシュレス決済が安全であるかを教えてあげてください。
