ニューノーマル時代のカード決済のトレンドと、安心・安全な暗号資産移転基盤の提案~2023年度第1回 光輝会ジョイントフォーラム」(後編)
日比谷図書館ホールにて先ごろ開催された「2023年 第1回 光輝会ジョイントフォーラム」。本年度第一回目のテーマは「ニューノーマル社会の展望と課題」だ。前編のレポートでは、Self-Sovereign Identityの研究、およびHyperledger Irohaによるカンボジアのデジタル通貨の活用について、それぞれ登壇者が発表した。後編では決済サービスと本人認証のトレンドや、暗号資産の発展に資する匿名性や特定・追跡性を実現するプラットフォームについて解説がなされた。
コロナ禍を経た決済サービスの変化と、今後のセキュリティ対策
今回お届けする後半は、決済サービスコンサルティングの宮居雅宣氏よる「決済サービスと本人認証の新たな動き」に関する講演内容から紹介しよう。日本でも経産省の主導のもとに、キャッシュレスサービスが進み、2022年には決済額が111兆円で決済全体の32.5%(新基準では55%)になったという。
「ただしこの総額は、電子マネー(FeliCaプリペイドの非接触IC決済)8種類と、コード決済16種類の集計であり、toica(JR東海)やmanaca(名古屋鉄道)といった一部の交通系は含まれないため、さらに利用額は大きいと予想されます」と宮居氏。
いろいろ話題になっているマイナンバーカードは、近接型非接触IC通信の国際規格「Type-B方式」であり、電子マネーのほうはおなじみの「FeliCA」である。一方、海外ではクレジットカードのVisaやMASTER、AMEXなどは、すべてType-A/B方式になっている。クレジットカードは1980年代半ばに磁気式、その後は接触IC氏、タッチ決済の非接触IC式、NFCモバイルへと進化していった。
宮居氏は「クレジットカードは常に国際互換性を保ちつつ、新技術を活用し、加盟店端末もすべて世界共用の非接触IC対応(Type-A/B方式)になっています。ワールドワイドでは、新型コロナのパンデミックにより、キャッシュレス決済が急伸し、特に非接触決済が加速しました」と説明する。
米国ではキャッシュレス決済が大きく伸びたが、口座振替と銀行振り込みが中心だ。またVisaの発表では、オーストラリアは99%、シンガポールは98%、スペインは95%、英国は90%が非接触ICのタッチ決済になっている。非接触IC決済の動きは買い物だけでなく、各国の交通機関でも常態化し、Visa・MASTERカードのみならず、Apple PayやGoole Payなども世界の店舗や交通機関で共用できるようにType-A/Bでなっている。 一方、日本の場合は従来までFeliCAが中心だったが、ようやく訪日外国人向けにVisaやMASTERなどのタッチ決済が交通系に採用され始めた。たとえば、関西空港から南海電鉄に乗る際や、大阪メトロ、JR九州なども対応に踏み切ったそうだ。現在のところ28都道府県の65交通事業者が導入済だ(あるいは導入する予定)。
宮居氏は「これにより高額決済はクレジットカード、少額決済は電子マネーという使い分けがなくなってきました。コロナ以前までは1000円以下なら現金を使う人が8割以上いましたが、コロナ以降は1000円以下でもクレカを使う人が4割近くになりました。キャッシュレス化が進み、すべての支払いで現金が減り、クレカや電子マネーが使われるようになってきました」と大きな変化を指摘する。
このように国際ブランドの非接触IC決済の影響もあり、インバウンドの買い物でも交通手段でも、同じ方法で決済が完結するような世界に変化してきたといえるだろう。
「一方で、以前までカードを敵対していた国内のコード決済事業者も、自社発行のクレカを強力に推進しています。そのため必然的にクレカもType A/B非接触カードが搭載されるようになりました。このカードをApple Payに載せれば、タッチでVisaやMASTERカードで決済できます」(宮居氏)。
ただし、コード決済が先行する中国では、実はAliPayやWeChatPayなどのQRコード決済で不正利用が多発しており、また地下鉄でコード決済を行うと改札が大渋滞してしまうという問題があった。そこで規制を厳しくし、顔認証決済を実用化するようになったが、データ収集や環境整備が煩雑で、マスクでの顔認識が難しいこともあり、掌紋認証を導入するに至っている。タッチ決済のほうは銀聯がApplePayのFaceIDを活用して推進中だ。
ここまで宮居氏は対面での決済トレンドを説明してきたが、非底面決済のほうは国内外ともに不正利用がより深刻な状況だ。国内における不正利用の金額は、2022年で約437億円と過去最大になっており、そのうち95%がオンラインショッピングの番号盗用によるものだという。そこで経産省とカード業界では「EMV-3Dセキュア」と送信ドメイン認証を義務化するようになった。
宮居氏は「このEMV-3Dセキュアは、オンラインショップで決済するときに、本人確認をカード会社に遷移して、あらかじめ登録した秘密の質問やパスワードの情報を確認し、本人であれば決済を許可するものです。さらにIPアドレスやデバイスID、公的認証、生体情報など、事前登録したハードウェアを用いた認証も使って本人をしっかり認証します」と説明する。
しかし、こういったセキュリティ強化に逆行する形で、簡単で便利な本人認証なしの「BNPL」(Buy Now Pay Later)という非対面決済が世界的に流行し始めている。もちろんリスクはあるが、決済限度額を5万円ぐらいに抑えることでリスクヘッジするものだ。 宮居氏は「手軽な決済サービスが横行すると、せっかくセキュリティを強化しても、安きに流れてしまい、不正利用の増大が広がってしまいます。そのため、最低でも本人が使っているデバイスやIPアドレスを確認するなど、決済全般で一律のセキュリティ対策が求められるでしょう」と指摘した。
安全・安心な暗号資産移転基盤「SSVATF」の仕組みとメリット
続いて、IT企画 代表取締役の才所敏明氏が、「暗号資産業界の健全な発展のために~利用者の匿名性と特定・追跡性の両立~」 をテーマに解説した。
まず才所氏は、暗号資産の歴史と悪用の現状、その対策の歴史について説明した。2008年に最初の暗号資産であるBitcoinが発表され、2009年から運用が始まった。その翌年には暗号資産交換業者(以下、VASP)が登場し、2014年にVASPのMt.Goxが約470億円の暗号資産を流出させる事件も起きた。
2015年にはEthereumが発表されたが、あらかじめ設定されたルールに従って実行されるプログラムの「スマートコントラクト」を初めて実装し、ブロックチェーンの利用範囲が広がった。2018年にはコインチェック事件が起き、約580億円の暗号資産が流出。2022年にはTerraUSD(ステーブルコイン)が99%以上の大暴落となった。またVASPのFTXが経営破綻を起こしたことも記憶に新しい。
才所氏は「現時点で1万以上の暗号資産が登録され、時価総額は157.39兆円(2023年5月27日時点)となっています。しかし、まだ業界は未成熟で、技術的にも改善の余地が多く残っており、法制度やガイドラインの整備にも課題が残されています。その1つが暗号資産の不正・不法利用です」と指摘した。
現時点で暗号資産の悪用状況で受け取られた資産は総額20.68Bドル(約2.72兆円)にも上り、その原因はランサムウェア、盗難資産、詐欺などが挙げられる。
暗号資産の悪用の急増は、社会の安心・安全を脅かすため、国際社会も規制強化や悪用防止に動いている。具体的には、OECDの金融活動作業部会「FATF」(Financial Action Task Force)で対応策を協議。その結果をガイドラインとして各国に通知、それをベースに国内の法制度を改定する流れだ。2015年のG7サミットでは、VASPの登録・免許制導入、利用者本人確認の義務化を各国に要請した。それを受けて、2016年には日本で「犯罪収益移転防止法」の改正が行われ、VASPの登録制や確実な本人確認(KYC)の実施、記録保存の義務化が決定された。
2018年にはVASPにも金融機関と同様にML/FT(マネー・ローンダリングおよびテロ資. 金供与)規制が規程され、翌年にVASPに対して「トラベルルール」と呼ばれる要件を各国に要請した。このトラベルルールでは、VASPが暗号資産の提供者と受取者の基本情報(氏名、住所、各国の識別番号)を確認したうえで、その基本情報を電信送金と共に送信し、VASP間でも共有し、さらに基本情報を確実に保存しなければならない。
「日本では2022年に金融庁がトラベルルールへの対応を業界団体の日本暗号資産取引協会に要請しました。また同年にトラベールルールが改定されたため、追加対策も要請されています。暗号資産の管理に使う“Unhosted Wallet”(VASPが管理するWalletでなく、個人がPCなどで管理するWallet)で暗号資産を移転する際に、相手を精査することがVASPに求められることになり、ガイドラインとして各国に要請中です」と才所氏。
この要請は今後の対応になるものの、日本では今年に入って「犯罪による収益の移転防止に関する法律施工令の一部を改正する政令案等」が公表され、この中で改正トラベルルールで規定されたUnhosted Walletへの対応が盛り込まれる模様だ。このように各国ではガイドラインに則り、国際ルールのもと暗号資産の悪用対策を進めているところだ。 しかし、才所氏は現在のトラベルルールについて2つの課題があることを指摘した。1つ目はトラベルルールの適用対象とならない移転パターンがあることだ。
「たとえば、前出のUnhosted Walletの利用者が提供者であり、かつ受取者のときは、不正な暗号資産の移転でも誰も確認できず野放し状態です。国際的にどんなルールで対応するかも今後の課題になっています。実際にビットコインの提供者と受取者のトランザクション数の割合の推移をみると、P2Pで管理できないトランザクションは全体の61%に及びます。資産移転では80%がUnhosted WalletのP2Pです(2020年現在)」。
2つ目のトラベルルールの課題は、暗号資産の移転のたびに、VASP間で個人情報が共有される問題だ。暗号資産の提供者と受取者が異なる場合、それぞれトラベルルールに従ってVAPSが本人確認を実施する。両者が暗号資産の移転を行う場合、VASP間で提供者・受取者の個人情報の交換が行われる。暗号資産の移転が成立すると、これもトラベルルールに従って、関与するVASPに個人情報が保存される。このように暗号資産の移転のたびに、個人情報の共有が繰り返される。
さらに提供者と受取者が国内だけなく、海外の場合もある。そのときは各国の個人情報保護や、法規制ガイドラインの順守が求められるが、そうなると海外のVASPにも個人情報が共有されることになる。
これについて才所氏は「これは個人情報の不必要な拡散になるでしょう。暗号資産の移転時に利用者の匿名性を確保しつつ、しかし不正・不法な場合には、その利用者を特定・追跡できる両立の仕組み、プラットフォームが必要です」と提案する。 そこで、これらを両立した安心・安全な暗号資産移転を実現する基盤「SSVATF」(Secure and Safe Virtual Asset Transfer Framework)を検討中だ。
現在のトラベルルールでは、暗号資産の移転を行う利用者の身元確認と、どの情報の保管はVASPが行っている。しかしSSVATFでは、これらは各国で運用される認証基盤・NAF(National Aruthentication Framework)、たとえば日本のマイナンバーカードのような国民識別コード(NAF ID)を利用する。
ただし、このNAF IDを直接は使われない。登録事業者がNAF IDを確認したうえで、あらためてSSVAFで使う識別コードのDIDを付与する。さらにWalletを使う場合も、異なるDIDが付与される。このように複数回のDID(★注1)が割り振られて個人情報や管理情報を仮名化(匿名化)し、最終的に暗号資産をやり取りするわけだ。
(★注1)DID : ジタルアイデンティティに関連する概念のうち、SSI(Self-Sovereign Identity)や、SSIを実現する技術手段をのDIDs(Decentralized Identifiers)と呼ぶ。
SSVAFでは、暗号資産の提供者と受取者の本人確認や匿名性、追跡性が確認されたあと、暗号資産システム側に送り、そこで初めて承認処理に入る。ここで暗号資産システム側で利用者のDIDかどうかを確認するためには、何らかの追加機能が求められる。可能な限り既存機能で実現できるようにする。これにより「暗号資産の資産移転における利用者の確実な匿名性」「不正・不法な利用者の確実な特定・追跡性」「既存の暗号資産システムとの容易な連携」が実現できる。 最後に才所氏は「暗号資産業界ではセキュリティは事業者自身が、利用者の財産保全や個人情報などの保護を行って発展してきました。しかし、残念ながら社会のためのセキュリティの責任を未だ果たしていないと思います。業界の責任として、不正な資産移転や脱税防止などを確実なものにしていく仕組みが必要です。そのためにSSVATFを提案しています」とまとめた。
(この記事の前編はこちら。合わせてお読みください)
