このコラムの常連読者の皆様は、今年初めに数ヶ月の間に3枚のクレジットカード番号を盗まれたことを覚えていらっしゃるでしょう。この出来事をきっかけに、Apple Payが現実世界やアプリ内購入で普及し、SierraとiOS 10でSafariでもApple Payが使えるようになったことに、喜びと驚きを隠せません。(Android Payなどの決済手段も、Webベースのeコマースに導入される予定です。)
しかし、Apple Payはどこでも使えるわけではありません。だからこそ、Finalのような製品はしばらくの間、有用であり続けるかもしれません。Finalは、マーチャントバンクが何年も前に導入した仮想の、時には使い捨てのクレジットカード番号というアイデアを復活させ、改良したものです。私は2004年にChaseカードでこれを利用していたことを覚えています。そのモデルでは、ウェブサイトにアクセスしていくつかの選択を行い、カードを発行します。そのプロセスは少し見苦しく、一部のカードでしか利用できず、利用期間も長くなかったようです。
CitiやBank of Americaなど、いくつかの銀行が現在このサービスを復活させているようです。また、Squareは9月9日にSquare Cashに単一のバーチャルカードを作成できるオプションを追加しました。
このアプローチは、カード番号をオンラインでファイアウォールで保護します。盗まれた番号は、設定されたパラメータ外で使用された場合にブロックされ、新しい物理カードを取得する必要もありません。
最後のフロンティア
Final アプリで仮想カードを管理し、関連する取引を確認できます。
Finalはアプリでこれに対応しています。アプリ内で直接バーチャルクレジットカードを作成し、その番号をSafariベースのフォームにコピー&ペーストできます。また、Finalのウェブサイトからバーチャルカードの作成、請求額の確認、支払いを行うこともできます。iOSアプリはすでにリリースされており、Androidアプリも近日中にリリース予定です。(CitiとBank of Americaは、それぞれのウェブサイトの利用を必須としているようです。)
方法は非常にシンプルです。アプリでカードアイコンをタップし、加盟店ロックカードと使い捨てカードのどちらかを選択し、「生成」をタップします。アプリはバックエンドと通信し、秘密のソースを使って正規の新しいVisa番号を生成します。(同社は、銀行パートナーであるFirst Bank & Trustとの連携プロセスについては明らかにしないとしています。)この番号には有効期限とCVV(通常カード裏面に印刷されているセキュリティコード)があり、他のVisaカードと同様に世界中で使用できます。
バーチャルカードをロックする加盟店を事前に指定することはできませんが、生成した番号を使って最初に決済を行った加盟店がその役割を担います。ワンタイムカードの場合、最初の決済後、番号は無効になります。定期的な支払いや、頻繁に利用する信頼できるサイトでの購入には、加盟店ロックされた番号が適しています。定期的な支払い方法を提供したくないサイトでの購入には、ワンタイムカードが適しています。
正当な取引に対しては依然として支払い義務があります。
加盟店ロックカードは、1つの請求IDに対しては無期限に使用できますが、他の場所で使用された場合、取引はブロックされ、Finalから通知が届きます。Finalには優れたアラート設定が用意されているため、知りたい情報と知りたくない情報を非常に細かく絞り込み、プッシュ通知、メール、またはその両方でアラートを受け取るように選択できます。
この区分化によって、リスクが変わることはありません。米国では、クレジットカード番号が盗まれた場合の賠償責任は、最初に盗難を報告したか、カード発行会社が窃盗犯に使用されていると判断したかに関係なく、わずか 50 ドルです。実質的に、米国で発行されたすべてのクレジットカード ネットワークでは、この賠償責任は 0 ドルになります。
しかし、あなたの時間は貴重です。仮想番号が盗まれた場合、1つの加盟店でその番号を交換するだけで済みます。また、どの加盟店が情報漏洩を起こしているかも分かります。Finalなどの仮想カード発行会社は、最終的には既存のシステムよりも迅速にカード情報漏洩を特定できるようになるとされています。これは、カード発行会社と顧客の双方が信頼しなくなるため、セキュリティ対策の不十分な加盟店を廃業に追い込む可能性も秘めています。これは、カード決済を受け入れるオンライン小売業者がシステムのセキュリティ対策を改善するという好循環を促進するでしょう。
Square Cash を使用すると、残高から支払いを行うための単一の仮想カードを作成できます。
これにより、オンラインショッピングがEMVやモバイル決済に近づきます。これらの現実世界のシステムはトークンを生成し、暗号化技術を用いてカード情報を渡しますが、販売時点情報管理(POS)や中間地点に多くの情報を漏らすことはありません。Finalなどのシステムでは、暗号化されていないクレジットカード番号をフォームに直接貼り付ける必要がありますが、オンラインショッピングのたびにカードに印刷された同じ番号を使うよりも、はるかに漏洩リスクが低くなります。
仮想カードは、iOS または Web アプリでタップまたはクリックするだけで無効にできますが、これによって正当な料金を支払う契約上の責任がなくなるわけではないことを Final は親切にも指摘しています。
Square Cashの最新リリースでは、Square Cashアカウントの残高にリンクされた、またはリンクされた口座から資金を送金してチャージできるバーチャルVisaクレジットカードを作成できます。ただし、これは単一のカードであり、どの加盟店にもリンクされていません。
バーチャルをやり過ぎないようにしましょう
バーチャルカードの大きな制約は、物理的なカードを提示できないため、対面での確認が必要な取引には使用できないことです。ほとんどの企業はこれを怪訝な目で見るか、詐欺を企んでいると考えるでしょう。過去には、カードをスキャンするだけで磁気ストライプ付きのデジタルデバイスを1つ持ち運べるバーチャルカード「ウォレット」があり、近々市場に登場するものもあります。特にカード番号と署名を確認する小売店で、店員相手にこれを使おうとする人を見たことがありません。
Finalは、少なくとも今のところは、そのようなゲームには手を出そうとはしていません。EMVチップとストライプの両方を搭載した従来型のクレジットカードを発行し、可能な限りカードのディップを推奨しています。物理的なカード番号が盗難されたり紛失したりしても、バーチャルカード番号には影響がなく、カードを再発行するだけです。
Final がプロセスを改善するためにできることが一つあります。多くのパスワード保存アプリメーカーが行っているように、Safari 拡張機能をリリースすることです。そうすれば、iOS の Safari で共有ボタンをタップし、Final を選択して Touch ID で認証し、拡張機能を使ってカードを作成し、フォームに完全に入力できるようになります。コピー&ペーストを伴う往復操作は不要です。
Finalは徐々に展開されているため、現在は申し込むには順番待ちリストに登録する必要があります。しかし、同社は顧客獲得を徐々に加速させており、今後数ヶ月以内に順番待ちリストを解消したいとしています。
SquareやFinalのような新興企業と、CitiやBank of Americaのような大手銀行の両方がこれを強化しているため、オンラインでのクレジットカード情報の漏洩は、最終的には私たちの不便さを軽減することになるかもしれない。
