Visaがトークンを利用する「クリック決済」を日本で導入

生体認証と組み合わせれば安全性と決済体験がさらに向上

Visaのソリューション営業本部テクニカル・イネーブルメント部長の田中俊一氏は、「クリック決済は、Visaが別途普及を目指している『Visa Payment Passkey』（以下、パスキー）と組み合わせることで、よりセキュアなカード決済を実現することが可能」だと強調する。

パスキーは国際的に標準化された、生体認証の仕組みを取り入れた本人認証の仕組みで、利用するには初回利用時に登録を行う。

EC加盟店のサイトでパスキーを設定するボタンをクリックして、Visaの登録サイトに遷移し、デバイスの生体認証（指紋や顔）を行えば、パスキーが生成され、デバイスに秘密鍵が、Visaのパスキーのサーバーには公開鍵が保存される。

登録後は、カード決済時にデバイスで生体認証を行うだけで本人認証が完了する。バックヤードでは、デバイスが秘密鍵で電子証明書を生成し、これをVisaのパスキーサーバーに送り、公開鍵で復号化し、電子証明書を確認する作業が行われる。

生体情報で本人認証するので、第三者が真正の会員になりすましてカードを不正利用するのは困難だ。生体情報に登録時に使用したものと異なるデバイスを使用すると認証できないという点でも、不正利用の防止効果が大きい。

カード会員はデバイスに指を当てたり、顔を向けたりするだけなので、非常に簡便なUI／UXで認証できる。固定式パスワードやワンタイムパスワードを入力する手間が不要になるので、決済体験が向上する。

田中部長は「クリック決済においてパスキーの利用は必須ではないが、クリック決済とパスキーはワンパッケージとして導入されるのが、セキュリティと顧客体験の両方の観点から望ましいので、一緒に推進していきたい」とする。

なお、パスキーはクリック決済だけで使われる認証方法ではなく、例えばEC加盟店が必須とされているEMV3－Dセキュア（以下、EMV3DS）のフローの中で利用することも可能だ。

PSPがEC加盟店の導入を支援

EC加盟店がクリック決済を導入するには、購入者がクリック決済のボタンをクリックしたら、トークン取得をリクエストする電文を送り、送られてきたトークンを電文に取り込んで、オーソリや決済処理の電文を生成する機能を実装しなければならない。

大手のECサイトであれば、自力で自社の決済サーバーにこうした機能を組み込めるかもしれないが、多くのEC加盟店はPSPの決済システムを活用して、非保持化対応してきた。

EMV3DSの導入も、PSPが提供するサービスを利用する形で対応しているところだ。クリック決済についても同様に、PSPが自社の決済システムにクリック決済のためのシステムを実装することで、EC加盟店がクリック決済に対応する形が一般的だろう。

このため、Visaはクリック決済を推進するにあたり、PSP5社をパートナー企業と位置付け、協業していく方針を明らかにした。Adyen JAPAN、SBペイメントサービス、NTTファイナンス、GMOペイメントゲートウェイ、Worldpayの5社だ。