ICカードの供給で業界トップを走るジェムアルト(Gemalto)。プラスチックカードを主力媒体に世界の180カ国以上で事業展開を進めてきた同社が2019年に注目するのは、生体認証やDynamic Codeといった高セキュリティ機能を組み込んだICカードの商用導入だ。そこでジェムアルトが鍵になると見るのは、「決済プラス『何か』」。その『何か』を追いかけて、同社を直撃した。
カード番号漏洩事故止まらず、切り札は生体認証ICカードとダイナミックCVV
ジェムアルトでは、次の決済カードの主流は「生体認証センサーを内蔵したICカード」になると見込んでいる。
同社の「Biometric sensor payment card」(写真1)は、接触IC取引・非接触IC取引の両方に対応するICカードに、バッテリーレスの指紋認証センサーを搭載したもの。決済系のICカードを利用する場合、通常はPIN(暗証番号)を決済端末側に入力するが、このカードでは指紋認証センサーに指を当てた状態でカードを挿入するか、かざすことで、PIN入力がスキップされ、取引が完了する仕組み。取引時に非接触ICを利用するEMVコンタクトレスでは通常、導入される国や地域によって1回当たりの決済可能額に上限(例えばイギリスでは30ポンドなど)が設定されているが、生体認証を利用すればこの制約を超えてカードの限度額いっぱいまで使うことができるようになる。あらかじめ登録しておくカード利用者自身の指紋情報(生体情報)などはICチップ内にのみ記録されるため、照合の際にも外部に漏れ出る心配がない(写真2、3)。
「生体認証センサーを内蔵したICカード」はこれまでも、同社を含め、技術開発や製品発表が相次いでおり、参入企業の名前は少なくない。問題は、従来のICカードと比べてカードコストが高騰する課題をいかにして乗り越えていくのか。
ジェムアルトの日本法人で金融事業本部長を務める西 健治氏は、「イシュアもブランドも注目しており、来年(2019年)は商用展開が始まるだろう」と見る。その根拠には「特に、クレジットカード情報の流出事件が後を絶たないことや、闇サイトを通じたカード情報の不正売買といった課題が待ったなしの状況にある中で、根本的な解決が求められている」(西氏)との思いが込められている。
実際、海外ではジェムアルト製のBiometric sensor payment cardの採用が相次いでいる。キプロス銀行では2018年初めに世界で初めてデュアルインターフェース生体認証対応EMV決済カードを商用で採用した(国際ブランドはVisa)。その後も、中東の金融技術会社であるareeba(国際ブランドはVisa)、イタリアの銀行グループであるIntesa Sanpaolo(国際ブランドはMastercard)と導入が進んでいる。2019年も引き続き導入地域は広がる見通しだという。
同じく2019年の商用導入を見込んでいるのが、裏面のセキュリティコード(CVV)を定期的に変更可能なダイナミックコード(Dynamic Code)を搭載したカードだ(写真4)。バッテリーを内蔵することなど高機能と引き換えにカード価格の上昇は否めないが、海外では利用者の要望に応じて別料金でオプション提供されている例もあるという。また、カードの代わりにスマートフォンアプリ上でDynamic Codeを表示する仕組みもジェムアルトではすでに開発済みだ(写真5)。
指紋登録コスト低減の切り札は、紙製のリーダライタ!
ところで先述のBiometric sensor payment cardでは、利用を開始する前にあらかじめカード利用者自身の指紋情報をICカードに登録する必要がある。そこでジェムアルトは登録時のソリューションを検討。1つは銀行の支店窓口でICカードリーダライタを使って行う方法、もう1つは自宅でカード利用者自身がセルフで登録する方法だ。
ただ、海外諸国と異なって、クレジットカードの発行者が銀行ではなくクレジットカード会社である日本の場合、利用者がカード会社の支店窓口を訪れて生体情報を登録する運用は現実的ではない。そこでジェムアルトでは、カード利用者自身が自宅で登録できる専用デバイスの提供を提案する。基本的には初回の1回限りの利用となるため、端末コストを抑えられるように「紙で出来たリーダライタデバイスも検討している」(西氏)とのこと(写真6の右側)。
登録時のデバイスにかかる費用を抑えようとするならば、NFC搭載スマートフォンのリーダライタモードを応用して登録する方法も考えられなくもない。しかし、西氏はスマホの利用に否定的だ。「スマホのNFCリーダライタモードは発する電波が弱いため、利便性が低いと思う。それよりも、電池を内蔵した専用リーダライタのほうが(この用途には)適している」(西氏)
それにしても、たったの一度しか使わないICカードリーダライタとは、いかにももったいない。そんないささかケチくさい筆者の疑問に、西氏は「ネットバンキングへのログインや3Dセキュアの2要素認証などの際などに、指紋認証機能付きICカードとリーダライタの組み合わせを応用することも可能。そうなれば、指紋認証機能付きICカードがネットワーク越しでの本人確認ツールになる」と嬉しい答えをくれた。実際、Biometric sensor payment cardの仕様は、業界標準の「FIDO UAF」などにも対応している。
通常はスマートフォンを単体で使い、本人確認が必要な場面では生体認証ICカードと組み合わせて強固な認証を実行する。生体認証ICカードの未来にはそんな活用法もありそうだ。
日本のEMVコンタクトレス移行には「決済プラス『何か』」が重要
ジェムアルトは、日本の金融市場へのEMVコンタクトレスの普及にも注目している。大手流通業では今年2018年に、マクドナルド、ローソンが全店で店頭レジのEMVコンタクトレス対応をすでに完了しており、イオングループでも2019年から順次、全国の店舗で対応を始める。訪日外国人などが自国で利用しているクレジットカードやデビットカードを、そのまま日本のお店でかざして利用できる環境が整い始めたといえる。
EMVコンタクトレスへの対応は、レジの読み取り端末側だけでなく、日本の消費者が利用するカード側でも進んでいる。現状、その多くは決済した金額を銀行口座から引き落とすブランドデビットカードに搭載されているが、「今後はクレジットカードでも多く出てくる」(西氏)という。
その最新事例が、三井住友カードが今年11月23・24日にそれぞれ発表した、EMVコンタクトレス対応のウェアラブルデバイスだ(写真7)。11月23日には、ビザ・ワールドワイド・ジャパンと三井住友カードが東京・お台場のヴィーナスフォートで、「Visaのタッチ決済」に対応する「リストバンド型プリペイドカード」を発行したと発表。翌24日には、三井住友カードとMastercardがパナソニックスタジアム吹田で開催される「明治安田生命J1リーグ ガンバ大阪vs V・ファーレン長崎戦」で、「Mastercardコンタクトレス」に対応する「Jリーグプリペイドカード」および「リストバンド」型のプリペイドカードを発行したと発表した。Jリーグのものは、パナソニックとぴあの提携により、電子チケットによるゲート入場管理にも対応した。
これらのデバイスは通常のカードとは形状こそ異なるが、同じ非接触IC技術を採用して製造されている(写真8)。この製品供給にジェムアルトも関与しているという。
いずれもスピーディな非接触IC決済が売りだが、西氏が着目するのはJリーグで採用された電子チケット機能との融合。「(EMVコンタクトレス対応のデバイスは)このような新しい試みに適している。カード形状に縛られず、異形状で提供できることもその1つだが、決済プラス『何か』が今後も求められてくる」(西氏)と市場ニーズを分析する。
カード素材のバリエーション強化、リスクベース認証の判定エンジン提供も
異形状への展開では、カード材質のバリエーションも強化している。例えばアメリカン・エキスプレスでは今年、日本でも上級会員向けのプラチナカードについて、従来のプラスチック製からフルメタル製への切り替えを開始した。このように高意匠な「ラグジュアリーカード」への需要は、今後もカード発行会社の間で高まると見る。そこでジェムアルトでは、フル(完全)メタルと比べて価格を2分の1から3分の1に抑えた「ハーフメタル」や、メタルコアをプラスチック素材で挟み込んだ「重量感のあるカード」などをラインアップに追加(写真9)。カードコストの低廉化や、配布対象となる会員グレードの違いによってカードを出し分けるといった展開をカードイシュアに促していきたい考えだ。
これまで見てきたように、ジェムアルトの金融事業はカードやリーダライタ製品の供給に代表される事業が中心だったが、近年はソリューション事業にも傾注している。
その1つの例が、欧州のPSD2規制が要求する対策措置にも対応したリスクベース認証ソリューション「Gemalto Assurance Hub(GAH)」。例えばオンラインでのカード決済に利用されている3Dセキュアの仕組みでは、バージョン2.0からリスクベース認証が標準機能に採用されている。取引に利用されるデバイスの情報や他の取引情報を組み合わせて取引ごとのリスク判定を行った上で、パスワード認証の実行可否に進むが、その際のリスク判定エンジンとして、ルールセットとそれらの重み付けを決定し、運用するのがGAHだ(写真10)。すでに南米、メキシコ、中東などで稼働しており、日本でも今年10月から導入が始まっているという。
同社では「引き続き、媒体に特化したビジネスが(当社の)事業を牽引してはいるが、開発リソースとしてはむしろデジタルソリューションに注いでいる」(西氏)そうで、今後もソリューションの拡販に取り組んでいく構えだ。