ガソリンスタンドでガソリンを買ったり、全国展開の薬局チェーンでアスピリンを買ったりしたことがあるなら、決済端末の上部に「Touch Here」というステッカーが貼ってあるのを見たことがあるでしょう。これは、クレジットカードを端末にかざすだけで(スワイプではなく)支払いができることを促しています。火曜日に公開されたAppleの新しいApple Payシステムのビデオデモをご覧になった方は、きっと似たようなことに気づいたでしょう。
近距離無線通信(NFC)を使った決済は、スワイプ不要の端末やApple Payの基盤技術であり、決して新しいものではありません。この技術は1990年代後半から存在し、キーフォブ、決済カード、さらには(一部のスマートフォンでは)Google Walletなど、様々な形で利用されています。必ずしも最も広く普及している決済技術ではありませんが、決して新しいものではありません。
すると疑問が湧いてくる。なぜApple Payはこんなにも話題になっているのだろうか? 現実歪曲フィールドが、実際には取るに足らないものを大げさに宣伝しているだけなのだろうか? それとも、もっと深い何かが隠されているのだろうか?
借りたもの、新しいもの
Apple Pay の新機能を理解する最も簡単な方法は、Apple Pay の使用手順を実際に体験してみることです。
最初のステップは、iPhone 6または6 Plusを購入することです。Apple Payに対応しているのはこれらの機種だけです。システム全体がセキュアエレメントとNFCチップセットという2つの新しいハードウェアに依存しているからです。
スマートフォンを手にしたら、次にクレジットカードでチャージする必要があります。クレジットカードの写真を撮るか、Apple Storeアカウントに既に登録されている既存のカードを承認するかのいずれかの方法でチャージします。Appleはこのチャージシステムをサポートする最初のベンダーです。おそらく、クレジットカード会社から許可を得た最初のベンダーだからです。
セレニティ・コールドウェルしかし、ここからが面白いところです。iPhoneがカード番号をスキャンしても、その番号はローカルに保存されるわけではなく、Appleのサーバーにも保存されません。Appleの情報筋によると、Appleはカードに関連付けられた決済ネットワークまたは発行銀行への接続を仲介し、そこからデバイスアカウント番号が提供されるそうです。
この手法はトークナイゼーションと呼ばれます。トークナイゼーションには様々な種類がありますが、本質的には、機密データ(例えばクレジットカード番号)を、(通常は)同じ構造とフォーマットを持つランダムなデータに置き換えることです。例えば、実際の16桁のクレジットカード番号をデータベースに保存し、クレジットカードの構造要件をすべて満たす(LUHNチェックに合格する)別の16桁の番号を返す、様々なトークナイゼーションシステムが存在します。
トークン化の優れた点は、クレジットカード番号を必要とするレガシーシステムの更新の必要性を軽減、あるいは完全に排除し、実番号を一切漏洩させないことです。トークン化は通常、決済ネットワークによって処理されます。決済ネットワークは(一部の実装では)クレジットカード番号をスワイプするとすぐに暗号化し、トークンと交換して加盟店に提供し、返金や顧客追跡などに利用します。加盟店のシステムが侵害されても、実番号は漏洩しません。また、トークンは特定のクレジットカードごとに加盟店固有のものとなるため、他の場所では使用できなくなります。
トークン化はオンライン決済にも機能し、通常は消費者を決済ポータルにリダイレクトし(またはサイトへのトラフィックをキャプチャし)、カードを収集し、トークンをオンライン サイトのシステムに返します。
どちらのシナリオにも、依然として情報漏洩の危険性が存在します。POS端末では、クレジットカード番号はスワイプするたびに漏洩する可能性があります。オンライン取引では、入力元となるコンピューター、接続先のネットワーク、そして情報収集を行う決済サイトが攻撃にさらされる可能性があります。
さて、話に戻りましょう
Appleは、米国のクレジットカードの大半をカバーするのに十分な数の発行銀行および決済ネットワークと提携しています。これらの各ネットワークは、スマートフォンでスキャンしたカード番号を取得し、デバイスのアカウント番号を発行する役割を担っています。上記の例ではトークンが加盟店ごとに発行されていましたが、Apple PayではカードとiPhoneごとに固有のトークンが発行されます。
最初から、これは使いやすさとセキュリティの強力な組み合わせです。カードの登録は極めて簡単で、実質的に摩擦がありません(カードを手元に置いておくことがセキュリティ対策だと思うかもしれませんが、それは簡単に偽装できます)。デバイスごとにトークンを使用するため、カードを発行した銀行(またはその決済ネットワーク)だけがカードを保有します。Appleにカードを預ける必要はありません。これは、Googleが自社のサーバーでカードを保管するGoogle Walletシステムとは異なります(ちなみに、Googleはこの種のセキュリティの維持に非常に優れています)。
次のステップはさらに興味深いです。
デバイスアカウント番号(トークン)はデバイスに送信され、セキュアエレメントに保存されます。セキュアエレメントは、Secure EnclaveのようなAppleの用語ではありません。高度なセキュリティ操作のために確保された、スマートカード上の保護されたメモリを指します。お使いのスマートフォンにSIMカードが挿入されている場合、セキュアエレメントが搭載されています。ほとんどのNFCチップセットにも搭載されています。セキュアエレメントとは、カード会社が非接触型決済を行う際に必須とするハードウェア部品です。
従来の非接触型スマートフォン決済では、ユーザーはスマートフォンのロックを解除し、(通常は)2つ目のパスコードを入力してセキュアエレメントからカード番号のロックを解除する必要がありました。AppleはTouch IDのおかげで、この手間を省きます。スマートフォンをNFCリーダーにかざし、Touch IDで指紋認証を行うだけで、デバイスアカウント番号(クレジットカード番号ではありません)が決済に使用されます。パスコードを入力するよりも、はるかに迅速かつ簡単です。
Apple Watchには、独自のセキュアエレメントとデバイスアカウント番号が搭載されます。Apple Watchにカードを登録する手順はまだ不明ですが、iPhoneがなくてもApple Watchを使って決済できるようになると予想されます。Apple Watchを着けてランニングに出かければ、ランニングパンツの小さなポケットから汗まみれの札束を取り出すことなく、ガソリンスタンドで水を買うことができます。セキュリティ面では、Apple Watchを物理的に所有しているだけで十分であるという明確な前提がありますが、クレジットカードを物理的に所有しているだけで十分です。Apple Watchを手首から外すと画面がロックされ、ロック解除にパスコードが必要になるため、さらにセキュリティが強化されます。
オンライン購入も同様のプロセスに従いますが、対応アプリのみで利用可能です。アプリは新しいApple Pay APIを使用してiOSにデバイスアカウント番号を要求し、それに基づいて取引が行われます。この方法はSafariでアクセスしたサイトでは利用できず、承認されたApp Storeアプリでのみ利用可能です。
Apple Payが他と違う理由
Apple Payは、最初のモバイル決済システムではありません。Google Walletは2011年にリリースされ、携帯電話会社がSoftcardを支援し、PayPalさえもモバイル決済をターゲットとしています。しかし、いずれも広く普及しておらず、Apple Payはいくつかの理由から、明らかに市場を揺るがす存在になりつつあります。
まず第一に、Appleがユーザーエクスペリエンス全体に払っているいつもの配慮です。Google Walletでは、オンラインまたはアプリを通じてカード番号を手動で入力する必要があります。支払いを行うには、アプリを使用し、パスコードでロックを解除する必要があります。Google WalletはNFCに対応していますが、実際の実装はAndroidスマートフォンのハードウェアとソフトウェアの組み合わせによって異なります。スマートフォンにNFCが搭載されていても、セキュアエレメントが搭載されていない場合は、非接触型決済には使用できません。また、スマートフォンにセキュアエレメントが搭載されていても、NFCチップセットにアクセスできないか、通信事業者の制限により、Google Walletがアクセスできない場合があります。
競合製品であるSoftcardも、まさにこれらの携帯電話キャリアによってサポートされていますが、Googleをあまり支持していないようです。また、Googleはユーザーのカードを自社サーバーに保存し、決済ネットワークとのすべての取引を仲介・記録しています(Walletはデバイスに仮想プリペイドカードを発行します)。Googleはプライバシーポリシーでこれを保護していますが、それでもユーザーのすべての取引記録はGoogleが保持しています。Softcardはアプリであり、承認された携帯電話機種でのみ動作し、キャリアごとに異なります。キャリアがSoftcardをサポートしているのは、ユーザーの購入履歴を追跡し、その情報を自社の目的に利用できるようにするためです。
対照的に、Apple Payはすべての新しいiPhoneとApple Watchで利用できます。Appleはあなたの取引を追跡せず、あなたのプライバシーは加盟店からも保護されます。
しかし、技術的な違いはさておき、Appleはそのビジネスモデルによって独自の立場にある。取引を追跡する意思も必要性もない。決済処理業者になる意思も必要性もない。ハードウェアを完全にコントロールしているため、通信事業者との契約に縛られることもない。Googleは市場に数年先んじて参入したにもかかわらず、依然としてデバイスメーカーと通信事業者の足かせとなっている。Softcardは携帯電話事業者のお決まりの強欲と愚行によって足かせとなっている。PayPalはデバイスに全く影響を与えていない。
これはAppleによる長期的な投資であり、iTunes Storeを初めて構築して以来、おそらく最も重要な投資の一つです。Appleは決済におけるユーザーエクスペリエンスの向上に注力し、それを活用してデバイスの販売拡大を図っています。現時点ではApple Payから直接得られる収益は大きくありませんが、対応デバイスの利用者が増え、より多くの加盟店にユーザーエクスペリエンスへの対応を促すようになれば、取引ごとの少額の手数料が大きな収益源へと成長する可能性が高いでしょう。
Apple Payのようなシステムを利用することで、加盟店のリスクも軽減されます。ご存知ないかもしれませんが、不正購入によるコストは加盟店が負担し、カードが見つからなくなるリスクが高いため、オンラインプロバイダーは取引ごとに高い手数料を支払います。カード発行銀行は、不正使用されたカードの再発行費用を負担します。(VISA、MasterCard、American Expressはほとんど手数料を負担していないことにお気づきでしょう。)加盟店やカード発行会社がApple Payを好むのも不思議ではありません。Apple Payは、リスクとコストを軽減するからです。
Apple Payは、加盟店と決済ネットワークにとってより安全で、消費者にとってよりプライバシーが守られます。優れたユーザーエクスペリエンス、優れたセキュリティ、そして優れたプライバシー。これらすべてが、(ユーザーの行動を追跡したい加盟店と通信事業者を除く)ほぼすべての関係者にとって納得のいくビジネスモデルによって支えられています。この先どうなるか、私たちは分かっていると思います。
