デジタルウォレットは、オーストラリア人の決済手段の標準的な一部となっています。オーストラリアの非接触型決済の普及率は世界最高水準であり、同国のタッチ決済に占めるスマートフォンやウェアラブル端末の割合が物理カードを上回るほどに拡大しています。2024 年には、オーストラリアで 40 億件のデジタルウォレット決済が行われ、総額は 1,600 億オーストラリアドル (AUD) に達しました。

以下では、オーストラリアにおけるデジタルウォレットの仕組み、取引を保護するデジタルウォレットのセキュリティ機能、およびウォレット決済を受け付ける企業が不正利用と責任について知っておくべきことについて説明します。

目次

• デジタルウォレットとは
  
• オーストラリアにおけるデジタルウォレットの仕組み
  
• オーストラリアでの取引を保護するデジタルウォレットセキュリティ機能
  
• オーストラリアにおけるデジタルウォレットのセキュリティに関する一般的な懸念事項
  
• デジタルウォレット決済によるオーストラリアの企業の保護
  
• オーストラリアの企業がデジタルウォレット決済を受け付ける前に知っておくべきこと
  
• Stripe Payments でできること
  

デジタルウォレットとは

デジタルウォレットは、決済情報を保持し、物理カードを提示することなく決済できるようにするソフトウェアです。オーストラリアでは、Android デバイスの Google Pay と Samsung Pay、iPhone と Apple Watch の Apple Pay が最も広く利用されています。

オーストラリアにおけるデジタルウォレットの仕組み

タップ決済のプロセスは外から見ると瞬時に完了しているように見えますが、顧客がスマートフォンを使って購入する際には複数のステップが実行されています。

デジタルウォレット取引の仕組みは以下のとおりです。

• カードのプロビジョニング: ウォレットアプリにカードが追加されると、ウォレットプロバイダーはカード発行会社に連絡し、カード発行会社は顧客の本人確認を行い、承認されるとデバイスプライマリアカウント番号 (DPAN) と呼ばれるデバイス固有のトークンを生成します。

• 認証: 決済が処理される前に、顧客は顔、指紋、または個人識別番号 (PIN) を使用してデバイスで認証を行います。これはローカルで行われるため、ウォレットプロバイダーが生体認証データを受け取ることはありません。

• 決済の開始: 近距離無線通信 (NFC) に対応した端末にデバイスをかざすと、ウォレットは 1 回限りの暗号トークン (取引固有のコード) とともに DPAN を送信します。

• ネットワーク処理: 端末はトークンをアクワイアリング銀行に送信し、アクワイアリング銀行はそれをカードネットワークに渡します (Visa、Mastercard、POS における電子資金移動、または eftpos など)。ネットワークはトークンをカード発行会社に転送し、カード発行会社は暗号を検証してその結果に応じて承認または拒否します。

• 売上処理: 売上処理は標準的なカード取引と同じ方法で行われます。トークンはカード発行会社の側で実際のカードアカウントにマッピングされ、資金は通常の清算プロセスを経て移動します。

オーストラリアでの取引を保護するデジタルウォレットセキュリティ機能

デジタルウォレット取引では、複数のセキュリティレイヤーが同時に動作します。これらが連携することで、トークン化されたウォレット決済は、標準的なカード取引と比べて明らかに侵害されにくくなります。

デジタルウォレット取引に保護レイヤーを追加する機能は以下のとおりです。

• トークン化: DPAN はデバイスに固有であり、暗号は取引に固有であるため、送信中にデータを傍受しても攻撃者が再利用できる情報は何も得られません。

• デバイス認証: Face ID、Touch ID、指紋、PIN により、所有者なしにデバイスを使用することが困難になります。これは決済シグナルが送信される前に実行されます。

• 安全なハードウェア: 最新のスマートフォンには改ざん防止チップが組み込まれています。このチップは DPAN を保存し、スマートフォンのオペレーティングシステムから隔離された環境で暗号の生成を処理します。

• NFC の範囲の制限: NFC は数 cm 以内で動作するため、実際には受動的な傍受は困難です。

• カード発行会社とネットワークレベルの不正利用監視: オーストラリアの銀行とカードネットワークは、ほぼリアルタイム (NRT) で取引を監視し、デバイスレベルで何が起こったかに関係なく、取引を拒否または異常としてフラグ立てすることができます。

オーストラリアにおけるデジタルウォレットのセキュリティに関する一般的な懸念事項

デジタルウォレットを取り巻く脆弱性は、周囲のプロセスや人間の行動から生じます。

知っておくべき主なセキュリティ上の懸念事項を以下に示します。

アカウントプロビジョニング不正利用

犯罪者がデータ侵害、フィッシング、またはソーシャルエンジニアリングによって他人のカード詳細を取得し、そのカードを自分のデバイスにプロビジョニングした場合、生成されるトークンはネットワークの観点からは正当なものとなります。オーストラリアの銀行はこれに対応するため、プロビジョニング時の本人確認を強化しましたが、依然として積極的な対応が求められる懸念事項であり続けています。

デバイスの紛失または盗難

スマートフォンがロックされていない場合や、何者かが所有者に認証を強制した場合、ウォレットにアクセスできるようになります。ただし、ウォレットプロバイダーは通常、所有者がリモートで決済を無効化できる機能を提供しており、トークン化された構造により、誰かがデバイスで不正に取引を行った場合でも、顧客の実際のカード番号は漏洩しません。

プロビジョニングを狙うフィッシング

顧客は、カードのプロビジョニング中に使用されるワンタイムコードを詐取するために設計された偽の銀行通信によって標的にされることがあります。通常、このシナリオではウォレット自体が侵害されることはありません。この攻撃は、確認ステップを傍受しようとするソーシャルエンジニアリングです。

悪意のあるアプリ

サイドロードされた、または古くなったアプリは脆弱性を生じさせる可能性があります。Secure Element アーキテクチャはアプリが引き起こせる損害を制限しますが、ユーザーがデバイスを根本的に危険にさらした場合の完全な防御手段にはなりません。オペレーティングシステムを常に最新の状態に保つことが重要です。

デジタルウォレット決済によるオーストラリアの企業の保護

デジタルウォレットのセキュリティアーキテクチャは、不正利用や不審請求の申し立てに対する企業のリスクを具体的な形で変化させます。

デジタルウォレット決済がオーストラリアの企業を保護する仕組みを以下に説明します。

ライアビリティシフト

標準的なカードネットワークのルールでは、トークン化されたデジタルウォレット取引中に不正利用が発生した場合、カード発行会社がプロビジョニング時にトークンを検証するため、通常は責任が企業ではなくカード発行会社に帰属します。カード非提示 (CNP) 取引では、多くの場合、企業が責任を負います。

チャージバックへの対抗力

デジタルウォレット取引は、強力な認証シグナル (デバイス認証、暗号トークン、カード発行会社の検証など) を伴うため、カード会員が実際に承認した取引に対して不審請求の申し立てを成功させることは難しくなります。これによりチャージバックが完全になくなるわけではありませんが、企業が異議を申し立てる際の証拠状況が有利になります。

端末にカードデータなし

対面の決済では、端末はプライマリアカウント番号 (PAN)ではなくトークンを受け取ります。生のカードデータがハードウェアを通過することはなく、物理カードがスキミングされるリスクもありません。大規模な小売業者に影響を与えてきたような POS 侵害への露出が大幅に低減されます。

オンラインの攻撃対象領域の減少

デジタルウォレットにより、顧客はオンラインで決済を受け付ける企業の決済フォームにカード番号を入力する必要がなくなります。ウォレットはトークン化された認証情報を決済代行業者に直接渡します。これにより、転送されるデータ量が減り、問題が発生しうる箇所が少なくなり、万一問題が発生した場合の責任の所在もより明確になります。

オーストラリアの企業がデジタルウォレット決済を受け付ける前に知っておくべきこと

企業がデジタルウォレット決済を本番環境に移行する前に、考慮すべき点がいくつかあります。事前にこれらを正しく設定しておくことで、消し込みの問題や顧客サポートの問題を回避できます。

• 端末の互換性: 対面での受け付けには、NFC 対応の端末が必要です。オーストラリアで販売またはリースされている最新の端末は非接触型決済をサポートしていますが、ハードウェアがトークン化されたウォレット決済を受け付けるよう設定されていることを確認しておくことが重要です。

• オンライン決済の導入: デジタルウォレットをオンラインで受け付けるには、決済代行業者がウォレットのアプリケーションプログラミングインターフェイス (API) をサポートする必要があります。実装はプロバイダーによって異なりますが、Stripe などの一部のプロバイダーは、ウォレット決済を自動的に処理するドロップイン Checkout を提供しています。

• 消し込み: 取引はカード番号ではなくトークンとして送信されるため、保存済みのカードデータと取引を照合する場合は消し込みプロセスの調整が必要になる場合があります。

• 返金と不審請求の申し立ての処理: デジタルウォレットへの返金は、顧客の紐付けられたカードに戻されます。ただし、決済代行業者がマッピングを適切に処理しない場合、トークンレベルの仕組みによって混乱が生じる可能性があります。

Stripe Payments でできること

Stripe Payments は、あらゆる企業がオンライン、対面、そして世界中でデジタルウォレット決済を受け付けられるよう支援する、統合型グローバル決済ソリューションを提供します。

Stripe Payments でできることは以下のとおりです。

• 決済体験の最適化: 構築済みの決済 UI、12 種類以上のデジタルウォレット決済手段を含む 100 種類以上の決済手段、そして Stripe が構築したウォレットである Link へのアクセスにより、スムーズな顧客体験を実現し、エンジニアリング工数を数千時間削減できます。

• 新市場への迅速な展開: 195 カ国、135 種類以上の通貨に対応した越境決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑さとコストを軽減できます。

• 対面決済とオンライン決済の統合: オンラインと対面のチャネル全体で、デジタルウォレット決済を簡単に追跡および照合できます。

• 決済パフォーマンスの向上: ノーコードの不正利用対策や承認率を向上させる高度な機能など、カスタマイズ可能で設定が簡単な決済ツールにより、収益を増やせます。

• 柔軟で信頼性の高いプラットフォームで迅速に成長: 過去の稼働率 99.999% と業界トップクラスの信頼性を備え、ビジネスの成長に合わせて拡張できるプラットフォーム上で構築できます。

Stripe Payments によるオンライン決済と対面決済のサポートについては詳細を見るか、今すぐ始めることもできます。