カード業界は今後,ICチップを搭載したクレジットカードをきっかけに大きく変わる。鉄道各社は乗車券の使い勝手向上を売り物に,自前のカードに本腰を入れ始めた。カード大手がアウトソーシング事業を強化した結果,業界再編や新規参入も加速している。

 カード業界では現在,大きな地殻変動が起こりつつある。その引き金を引いたのがICカードだ。クレジットカード会社編の最終回となるPart8では,ICカードを中心に,今後のカード業界の行方を決定付ける重要な動きについて解説しよう。

 ICカードは集積回路(Integrated Circuit)のチップを搭載したカードを意味する。クレジットカードやキャッシュカードをはじめ,オフィスビルの入退館証や,鉄道・バスなど交通機関の乗車券など,日常生活の様々な場面で用いられている。もはやICカードそのものが何かという解説が不要なほどに,世の中に浸透したと言ってよいだろう。

 カード業界でも,銀行系カード会社を中心に2001年ごろから,クレジットカードのIC化が本格化してきた。2006年度中には,日本国内で新規に発行されるカードのうち,ICチップ付きカードの占める割合がついに50%を超えた。

 読者の中にも,カード表面の左端にキラキラ輝く金色のICチップを搭載したICクレジットカードをお持ちの方が多いのではないだろうか(図1)。このICチップはEMV(「知っておきたい業界用語」を参照)と呼ぶ全世界共通の規格に基づくもので,加盟店の端末に接触させると,端末とチップとの電気的な信号のやり取りによって,決済に必要な処理を行うことができる。カード業界で「ICクレジットカード」という場合は,原則としてEMV規格に準拠した接触型ICチップを搭載したカードを意味する。

図1●ICチップ付きクレジットカードによる「オフライン認証」の仕組み<br>ICチップのデータを専用のクレジットカード端末で読み取ることで不正なカードかどうかをチェックできる
図1●ICチップ付きクレジットカードによる「オフライン認証」の仕組み
ICチップのデータを専用のクレジットカード端末で読み取ることで不正なカードかどうかをチェックできる
[画像のクリックで拡大表示]

偽造・不正の防止効果を狙う

 ICクレジットカードの発行には,従来の磁気ストライプ付きカードの発行に比べて,数倍ものコストがかかる。ICチップのコストに相当する分だけ生カード(会員番号などの情報をコーディング/刻印する前のカード)の単価が上乗せされることに加え,カード発行プロセスが複雑化するためである。というのも,ICチップには,従来の磁気ストライプに格納する情報(会員番号や有効期限,各種コードなど)に加え,カード利用者が会員本人かどうかを識別するための暗証番号や,カードの偽造を防止するための各種情報(後述)をICチップに埋め込む必要があるからだ。

 にもかかわらずカード会社がICクレジットカードの普及に努めているのは,なぜだろうか。それは,カードのセキュリティを抜本的に強化することで,次の2つの目的を達成しようとしているからである。

 1つは,磁気ストライプに格納された情報を盗み取る「スキミング」に代表される,カードの偽造・不正被害を防止することである。ICカードの場合でも,チップに格納した情報を不正に読み取って複製することは技術的に不可能ではないものの,磁気ストライプと比べて飛躍的に難しいため,コスト的に現実的ではない。加えて,加盟店の端末がICカードに対応している場合は,カード利用者は端末に暗証番号を入力しなければならない。

 こうしたハードとソフトの両面による偽造・不正防止効果は既に実証されている。ICカードへの移行が早かったフランスでは,1989年からの10年間に,カードの偽造・不正による被害額が70%近く激減した。

カード自体に「認証」機能

 カード会社がICカードの普及に努めるもう1つの目的は,カード取引を“オフライン化”することだ。

 Part5で述べたように,今日ではほぼすべてのカード取引がオンライン化されている。すなわち,会員がカードを利用する都度,そのカードが有効なものかどうかを加盟店の端末を通じてカード会社のシステムへ照会し,利用可否の承認(オーソリゼーション)を行う。こうした“全件オーソリ”は,リスク管理に絶大な効果を発揮するものの,そのために必要な通信とシステム運用のコストは莫大である。

 これに対してICカードでは,カード自体に「認証」機能を持たせることで,偽造カードかどうかが加盟店の店頭で即座に分かる。その結果,カード取引に伴うオンライン処理量を大幅に減らすことができることに加え,店頭での取引に要する時間を短縮できるメリットもある。

 オフラインでの「認証」では,カード発行者(イシュア)と,VISAやMasterなどのブランド管理団体が,それぞれの「暗号化の鍵」を用意する(以下では,前者をイシュア鍵,後者をブランド鍵と呼ぶ)。そのうえでイシュアは,(1)個々のカードを識別するための平文データ値(暗号化されていない数字列),(2)平文データ値をイシュア鍵で暗号化したもの,(3)イシュア鍵自体をブランド鍵で暗号化したもの,の3つをICチップに格納したカードを発行する。

 加盟店に設置するICカード対応端末には,あらかじめブランド鍵が格納されている。会員がカード取引をする際には,加盟店の端末でICチップの情報を読み取り,端末に格納されたブランド鍵で(3)の暗号化されたイシュア鍵を解読し,そのイシュア鍵を使って(2)の暗号化データを解読する。こうして得られた平文データ値が,(1)の平文データ値と一致すれば,そのカードが正当なものであることが分かる。

IC対応端末の普及が課題

 もっとも,リスク管理の観点から,すべての取引をオフライン化するわけではない。取引金額があらかじめ定めた上限金額(フロアリミット)を超えた場合や,オフライン取引が一定の回数以上連続した場合は,オンラインでオーソリゼーションの処理を実行する。さらに,カード取引のうち一定割合を無作為に抽出して,オンラインで処理している。

 しかし,ICカードが真価を発揮するには,加盟店の端末をICカードに対応した機種にしなければならない。ところが,日本国内だけで200万店を超える加盟店に設置されたすべての端末を更新するには,端末のコストはもちろん,設置工事や操作教育といった業務面の負担も大きい。そのため,現時点でICカード対応の端末の設置数は20万台足らずにとどまっており,切り替えは遅々として進んでいない。

 また,ICカードを使った取引では,すべての会員に自分のカードの暗証番号を記憶してもらうことが必要になる。ところが,サイン取引に慣れた会員の多くは,クレジットカードの暗証番号の存在すら認識していないケースが少なくない。これもまた,ICカードの本格運用に向けた大きな障壁である。日本でICカードが真価を発揮するには,まだしばらく時間がかかりそうだ。