私が2020年7月に公開した「日本のEC決済が変わる?“Click to Pay”徹底解説 」という記事について、新しい情報と共に改めてClick to Payをご紹介します。Click to Payは、オンライン決済において国際ブランドカード決済を行う時の標準インターフェイスとして定められたSRC(Secure Remote Commerce)仕様に基づくサービスの名称です。欧米やアジアの一部地域ではすでに導入が始まっていますが、この記事を書いている2025年2月現在、日本ではまだ始まっていません。
近年、キャッシュレス化が進む一方で、オンライン決済におけるカードの不正利用が依然として増加傾向にあります。その対策として、国際ブランドがClick to Payの普及を拡大しようとしています。本コラムでは、Click to Payに関する最新のニュースとその背景についてお伝えします。オンライン決済を利用される方にとって、この動向は今後の支払い体験に少なからず影響があるかもしれません。
1.Mastercardの動向
Mastercardは2024年11月のプレスリリース(*1)で、オンライン決済時に必要だった、カード番号や固定パスワード、ワンタイムパスワードの入力を2030年までに段階的に廃止すると発表しました。
同社のチーフ・プロダクト・オフィサーである ヨルン・ランバート氏は、「(オンライン決済において)私たちは現在のカード情報の手入力やパスワードを廃止し、数回のクリックでシームレスかつ安全な支払いを実現できるよう推進していきます。」と述べています。この改善を世界規模で実施し、オンライン決済時のカード情報などの入力プロセスをトークン化します。更に、生体認証と組み合わせることで、新しいプロセスに置き換え、オンライン決済をよりスムーズかつ安全に行うことを目指しています。
プレスリリースでは、2030年までに日本を含む全世界にClick to Payを導入し、オンライン決済におけるカード番号やパスワードの手入力を完全に廃止すると発表したのです。
実はVISAも同様にClick to Payのグローバル展開を加速しており、日本では2025年内にClick to Payの展開を開始すると発表しています。(*2)
(*1) https://www.mastercard.com/news/press/2024/november/mastercard-reinvents-checkout-with-password-and-number-free-payments/
(*2) https://www.nikkinonline.com/article/233329
2.Click to Pay普及拡大の背景
国際ブランドがClick to Payを全世界規模で早急に展開しようとしている背景には、すでに上述したように世界中でオンライン決済時での不正利用が増加し続けており、対策が追いついていないことがあります。不正利用の最大の原因は、「なりすまし不正」です。攻撃者が正規ユーザーのログイン情報やカード情報をフィッシング詐欺などの手段により不正に入手し、本人になりすまして利用しています。
オンライン決済ではIDやパスワード、カード番号、有効期限、セキュリティコードを手入力することで決済を行っています。また本人確認では二段階認証や3Dセキュアにおいてもワンタイムパスワードが多用されています。このワンタイムパスワード認証は一見強固に見えますが、最近はリアルタイムモニタリングなどの新たな攻撃によって、不正に突破されているのが現状です。(下図参照)
まず、攻撃者は銀行やカード会社の公式サイトに似せたフィッシングサイトを用意します。そして銀行やカード会社からの連絡と見せかけたフィッシングメールを正規ユーザーに送信し、フィッシングサイトに誘導します。リアルタイムモニタリングでは、ここにアクセスした正規ユーザーの入力をリアルタイムに監視します。そして、ユーザーの入力したログインやパスワードだけでなく、銀行、カード会社から正規ユーザーに送られてきたワンタイムパスワードをリアルタイムで正規サービスサイトに入力し、不正ログインに成功しているのです。
国際ブランドは、オンライン決済におけるカード番号、パスワード、ワンタイムパスワードの手入力が不正利用を助長していると考え、Click to Payの普及徹底拡大に踏み切りました。
では、次の章でClick to Payについて、どのようにカード情報、パスワードの手入力を省いているのか、説明します。
3.Click to Payを使ったオンライン決済の流れ
ここからはClick to Payで商品を購入するときの流れを説明します。ここでは、一例としてスマートフォンで商品を購入するときの流れをご紹介しますが、パソコンやタブレット等で決済する場合も基本的には同様です。
上図は商品を選択した後のショッピングカート画面(①)から始まります。
①ショッピングカート画面
製品を選択後、ショッピングカート画面で「レジへ進む」ボタンを押します。
②カード選択画面
事前にClick to Payに登録済のカード一覧が表示されます。カード選択画面では決済で使用するカードを選択します。ここでのポイントはカード番号や有効期限、セキュリティコードなど、商品購入時に入力する必要はないということです。「支払をつづける」ボタンを押します。
※カードの登録方法や流れは今回省略しますが、対応サイトなどで事前に利用するカードを登録しておく必要があります。
③支払内容確認画面
事前に登録済のお届け先住所、電話番号と選択したカード情報、商品の支払金額等が表示されます。内容を確認したら「注文を確定する」ボタンを押します。
④本人確認画面
生体認証(顔認証、指紋認証等)を行います。本人確認においてパスワードやワンタイムパスワードを入力する必要はありません。
⑤支払完了画面
生体認証により、本人確認が完了すると、支払は完了します。
4.まとめ
このように、Click to Payが導入されることで、「オンライン決済時に、カード情報やパスワード、ワンタイムパスワードなどの入力は不要となる」ということがおわかりいただけるかと思います。実際はそれだけではなく、システム面では、Click to Payは、カード番号を安全なトークンに置き換えることが前提であり、カード番号は一切使われません。国際ブランドが、トークンの利用と生体認証における本人確認を組み合わせることで、よりセキュリティレベルの高いオンライン決済を実現しようとしており、その仕組みをご理解いただければ幸いです。
Click to Payを導入するには、加盟店からカードを発行するカード会社や銀行など、システム全体がClick to Payに対応する必要があります。TISはClick to Payの導入対応の支援も行っていますので、ぜひお気軽にご相談ください。
※この記事が参考になった!面白かった! と思った方は是非「シェア」ボタンを押してください。