カード決済完全に理解した -『決済サービスとキャッシュレス社会の本質』

クレジットカード決済についてさらに詳しくなるべくこちらの本を手にとった。

決済サービスとキャッシュレス社会の本質

著者は数十年に渡り日本のカード業界の中心でJCBの中でリスクマネジメントの実務からETCカードの策定といった大きな戦略まで手掛けてこられた方。その信頼度は寄せられたクレジットカード業界の方々からの帯書きが数ページに及ぶことからも伝わってくる。

内容も2020年5月出版ということで昨今のorigamiやPAYPAYなどのQRコード決済に関する話にもしっかり紙面を割かれており新しい。

数十年に渡って実務をしてきた著者の知識・経験について余すことなくすべて詰め込んだという内容である。そのため1ページに含まれる情報量はめちゃくちゃ多い。しかし、すべて読み切ると著者の数十年の知見を追体験したような感覚になる素晴らしい本だった。

例によって「覚えておこう」と思った内容をここに刻んでいく。

レアケースの考慮が事業継続において重要

筆者は冒頭にてこう始めている。

しかし決済サービスはそのレアケースこそが即座にサービス存続に致命的な影響を及ぼす超薄利多売のビジネスである。

自分が使った支払いにも関わらず盗難されたと主張したり、使ったにも関わらず払えないと開き直ったり、人の決済サービスを盗んで使ったり、騙して多重債務を追わせるものが存外に多いことを実務上の経験から述べている。事業継続において甘く見がちなレアケースをいかに重要視すべきなのかについて述べるこの言葉をとても重く大事な言葉だと感じた。

金融システミックリスク

「安かろう悪かろう」の決済サービスを作った際のリスクとして金融システミックリスクという言葉を上げている。

加盟店が決済サービスで売った商品の売上代金を決済事業者が支払われなければ、経営が立ち行かなくなる加盟店が多発する。するとその取引先や融資していた金融機関まで連鎖倒産するなど、経済に多大な影響を及ぼしかねない。これを金融システミックリスクという。

決済サービスを提供するということは、たんに取引の手段を提供するだけにあらず、決済ネットワークを取り巻く社会インフラの一端を担う責任感をここに感じた。

昨今ポイント還元などの特典の大盤振る舞い合戦があるがそれについても他の事業で収益の柱を上げているから今問題ないとしても、その柱がこけ始めると決済サービス自体も崩れていくリスクが金融システミックリスクにつながると考えるとたしかに危うい。単体で以下に事業継続性を出すか。

決済サービスをとりまく登場人物

この辺はカード決済を解説すると必ず出てくる話。瞬時に言葉にできるように改めて整理しておく。

国際ブランドの役割として、加盟店がカード取扱代金を支払えない自体が発生した際に、ブランドの信頼性維持のため加盟店にカード取扱代金を支払うといった金融システミックリスクへの対応の仕組みが用意されている。

そして、この構図からさらに「4パーティスキーム」と「3パーティスキーム」の2つが主な分類となる（その他、ハウスカードのスキームである「2パーティスキーム」もある）。

「4パーティスキーム」はVisa・Mastercardのスキームである。

「3パーティスキーム」は、American Express・Diners Club・DISCOVERのスキーム。

ちなみに、American Expressは、もともと荷馬車で貨物を運ぶ宅配便業者（Cargo Express）らしく、郵便為替業務から金融業に参入しトラベラーズチェックを発行して金銭的価値を享受するネットワークを形成した経緯があるようだ。その経緯から、American Expressのカード番号の冒頭2桁は34・37であり、ISO/IEC 7812の番号定義では主要産業識別が「旅行・娯楽/銀行・金融」である。

また、日本で加盟店が多いとされるJCBは、「4パーティスキーム」と「3パーティスキーム」の長所を組み合わせたスキームと著者は捉えている。カード発行権利は複数のイシュアーに提供するが、加盟店契約の契約者に必ずJCBが入ることで加盟店情報を集約管理する。すべてのJCB加盟店に販促を図れ、不正利用情報が収集しやすく対策も講じやすい。筆者はJCB内部で不正利用に対する業務をされていたらしく、そのため不正利用について本書では多くの紙面を割かれている。

加盟店手数料

加盟店手数料の平均値は2018年のNRIの調査によると3.09%なようだ。未収リスク（支払いが滞る確率）の高さによって手数料を設定されることもある。

クレジットカード決済加盟店手数料の業種・店舗規模別の相場表 |【EMEAO!】失敗しない！業者選定ガイド

家電量販店やコンビニなど、決済回数が多く未回収のリスクもあまり想定されない業種は、加盟店手数料率は1～2%程度と比較的安めです。
一方、風俗店など売り上げの未回収リスクが高くなる業種や、クレジットカード決済の導入自体が難しい業種では、加盟店手数料率も高くなる傾向があります

この手数料をアクワイアラー、イシュアー、ブランド会社でシェアする構造となっている。

チップライアビリティシフト

国際ブランドでは決済スキーム全体の信頼性を確保するため、EMV仕様に代表されるような業界標準に準拠しつつ、データ取引方法・セキュリティ確保のルールといったブランドレギュレーションを定めている。そのひとつに「チップリライアビリティシフト」というものがある。日本では2015年10月より実行された。

ライアビリティシフトとは：どのようなビジネスが対象に？

これは「ライアビリティシフト（債務責任の移行）」と呼ばれるもので、お客様がICチップを搭載したクレジットカードを提示した際に、ICチップ未対応の決済端末で決済を行い、不正利用が発生した場合、その被害の債務責任はカード発行会社ではなく加盟店に課されます。

この経緯は、欧州で導入が早かったICカードが導入の遅かった米国の加盟店で不正利用されてしまう、という話もあるようだ。

欧州諸国の金融機関が発行したICカードのクレジットカードやデビットカードが、IC対応していない米国の加盟店端末で使用される不正額が増加し、英国をはじめ欧州各国が米国にIC対応を求めるようになった。
宮居 雅宣. 決済サービスとキャッシュレス社会の本質 (Japanese Edition) (Kindle Locations 562-564). Kindle Edition.

ウェーバー対応

国・地域別の特殊事情をブランドメンバー会社がブランド会社に説明・理解を得ることで特例措置でブランドレギュレーションの適用除外ルールを整備することがある。これを「ウィーバー対応」という。

日本では、1万円以下のカード利用ではサインレス・PINレスといったものが存在するらしい。そうそう国外に出ることがないのでこれが日本の特別対応であることを知らなかった。

ICカードの仕様

2016年12月9日、改正割賦販売法が公布、2018年6月からクレジット決済端末のIC対応が義務付け、2020年3月までに国内すべてのクレジットカード加盟店端末もIC化対応することとなった。

ICカードにはいくつか分類があるらしい。特にリーダライタとの距離などで分類される

なお、日本でのクレカ上陸は1960年ごろらしいのだが、その頃の加盟店はカード写真とカード持参者で同一人物であることを確認、裏面のカード番号を紙の伝票に手書きで記入し集計、カード会社に郵送するフローだったらしい。

関係ないがこの運用を見て、GoToTravelを購入者が使う際にトランザクション番号のようなものを店がメモしている運用を思い出した。

なお、「遠隔型」・「近傍型」は電波を飛ばすために電源を必要とするようなのだが、そうすると、カードの物理的計上を規格化するISO/IEC7810で定められた0.76mmの厚みを超える可能性が高くなるらしい。

ISO/IEC 7810 - Wikipedia

All card sizes have a thickness of 0.76 millimetres (1⁄32 in).

「近接型」・「密着型」であれば電池が不要で既存のクレカ・デビットカードと同じ0.76mmに収めることが出来るため、金融分野の非接触型ICカードは「近接型」が採用されているようだ。

電池が必要になるという話を見て、そういえば「カードは光らせることできるのかな？」とふと疑問になった話が雑談の中であった。

ゲーミングデバイスメーカー「Razer」、光るクレジットカードを発表ゲーミングデバイスメーカー「Razer」、光るクレジットカードを発表

ゲーミングデバイスメーカーが光るクレジットカードを作っていて面白いなと思った。

近接型ICカードの通信方式の規格

これは、Type-A・Type-B・Felicaといったお話。Felicaと聞くととても身近になるが、これは周波数の電波の波の判別方法や速度に寄ってデータとして判別する規格の代表格のようだ。

ICカードと端末の仕様を定めた「EMV仕様」では、EMV contactlessという仕様がありType-AとType-B（ISO/IEC14443）に準拠している。

ISO/IEC 14443 - Wikipedia

Cards may be Type A and Type B, both of which communicate via radio at 13.56 MHz (RFID HF).

一番おなじみのFelicaはこのISO/IEC14443に準拠しておらず、カード形状ではなくデバイス間の非接触IC通信の規格であるISO/IEC18092に準拠している。

ソニー株式会社 | FeliCa | FeliCaとは | FeliCaって何？

FeliCa技術の通信方式は、ソニーとNXPセミコンダクターズが共同提案したNFC技術-ISO/IEC 18092(NFCIP-1)に準拠しています。
NFCの技術仕様は、ISO/IECで定める国際標準規格に基づいてNFCフォーラムが策定しており、ISO/IEC 14443・ISO/IEC 18092をサポートしています。

SONY公式の書きっぷりとしては、Felica技術の通信方式はNFC技術-ISO/IEC18092に準拠し、NFCの技術仕様はISO/IEC 14443をサポートするという構図で説明している。

筆者の見解では、このFelicaはカードの国際規格に準拠しているとはいえないFelicaを公共性の高いICカード調達で選択した場合、世界貿易機関(WTO）からの提訴を受ける可能性が高いと指摘している。WTOでは各国に公共性の高い調達などで原則として国際規格（ISO、IEC、ITU）に準拠することを義務付けており、準拠しない場合WTO違反として提訴される。

日本発のFelicaは、日本の鉄道で乗り入れが複雑な運賃事情・ラッシュアワーの大量の乗降客を加味して、0.2sという瞬時に複雑な料金計算をしオフラインでICチップの残高から運賃を引き去るという特殊能力に特化した、スピード処理用の非接触ICカードと評価している。

Felicaをワールドワイドの仕様にできるかという点については、筆者は国際規格に準拠していない点に加えて次の点を指摘している。

ひとつは、製造/流通コスト。規模の経済が使えない・SONYの特許権で他社の廉価製造が困難といった理由でコストにはねてくる。さらに、決済データ仕様がISO/IEC7816ではなく独自データ形式である点。これもスピードに特化するために独自データ形式とした背景があるよう。

日本のクレジットカード加盟店手数料の高さの原因

以前、ホリエモン氏がクレジットカードの加盟店手数料が高いから導入しないことに対して言及する動画を上げていた（中身は見ていないのだが...）。

筆者は、日本ではカード会社という専用の事業者が銀行とは別に存在している点をあげている。海外諸国では銀行が同じシステムでクレジットカードを発行・管理しているようだ。

日本がそのような構図になっているのは、1960年当時の銀行法の兼業禁止規定が理由となっていた。この規定により金融機関がクレジットカードを発行することができなかったため、クレジットカード発行会社を設立する動きとなり、専用のシステム・業務を構築運用する体制で事業展開となった。

更に後述するが欧米がリボルビング払いが一般的が故にリボ手数料収入が得られるのに対して、日本では割賦販売法によって信販会社にしか分割払いが認められていない事情があった。

銀行法・割賦販売法によって収入・費用に対する制約の中で独自発展していったことが加盟店手数料が比較的高額になっていった理由と分析されていた。

決済端末も、米国の水辺分業で端末事業者とネットワーク事業者が異なる自由競争を促進する構図に対して、端末を決めるとネットワーク事業者決まる垂直統合されたビジネスモデルで競争状態にないゆえに、高額であるという話だ。

商習慣としても百貨店の月賦販売に由来する「分割払い」に対応したJPO(Japan Payment Option)という国内独自規格があり、加盟店端末はこれに対応している。

Japan Gets SET

そうすると、決済端末は日本国内独自になりそのスケールで製造・販売することになるため、高額になる構図がある。

欧米ではリボルビング払いが一般的

日本ではリボルビングはなるべく使わないほうがいいという認識が一般的だが、欧米ではむしろリボルビング払いが一般的らしい。

まず、欧米では銀行の処理・信頼性が低いらしい。「銀行に任せて自動振替させると振替金額を間違えてしかも連絡してこない」といった悪い体験がベースになっている。FinTech Startupが隆盛する理由としてこのような銀行 = 悪という構図が大義をまとう背景となっているようだ。

また、日本と違い信用情報が「性悪説」である金融機関では、お金を借りたことがない人は次のような認識をされるらしい。

性悪説の欧米金融機関では「だれもお金を貸したことがない、だれからも信頼されていない非常に危険な客」と判断されることが多い。
宮居 雅宣. 決済サービスとキャッシュレス社会の本質 (Japanese Edition) (Kindle Locations 824-826). Kindle Edition.

そのため、個人の信用格付向上の必要経費のような扱いでリボルビング手数料を払うという判断をするようだ。

「リボ払いの悪い連鎖は起きていないの？」と思ったがソレは実際に起きているようだ。ふと調べてみたが昨今のご時世により6700万人（4人に1人）の米国人がクレジットカード支払いに対するトラブルを抱えている見込みだというニュースがあった。

67 million Americans may have trouble paying credit card bills

リカーリング・登録型加盟店方式

月額金額の決済でクレジットカードを用いる場合に事前にクレジットカード番号を登録しておいて支払う方式をリカーリング・登録型加盟店方式と呼ぶらしい。

PCI DSS

聞いた瞬間に遠い目をして遠ざかって行きたくなるでおなじみPCI DSS。Payment Card Industry Data Security Standardの略で、国際決済ブランド会社がクレジットカード会員の情報やカード関連情報を保護・安全に扱うことを目的としている。2004年にVisa、Mastercard、American Express、Discover、JCBの5社で策定され、共同設立したPCI SSC(PCI Security Standards Council)が運営・管理している。

Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards

デビットカード

デビットカードには、キャッシュカードで買い物するJ-Debitと国際決済ブランドがついた国際ブランドデビットの２種類が存在する。

キャッシュカードの物理仕様が、訪日外国人のカードが使えない理由となっているらしい。物理仕様はISO/IEC7810に準拠している一方、磁気カードに書き込むデータ形式は国内独自仕様となっている。

欧米の金融機関は、ISO/IEC7812に準拠しそれに対応したATMによってイシュアーに情報連携・精算できる仕組みを整備している。欧米ではクレジットカードが国際ブランド決済カードであり、かつATMなどで銀行口座から現金を引き出すアクセスカードとしても使える。Visaであれば「PLUS」、Mastercardであれば「Cirrus」という国際ATMネットワークに接続していれば出金可能なようだ。

Plus (interbank network) - Wikipedia

Plus System, Inc. (also known as Visa Plus or simply Plus) is a Denver-based ATM network that provides cash to Visa cardholders.

Cirrus (interbank network) - Wikipedia

Cirrus (stylized as cirrus) is a worldwide ATM network. It is a subsidiary of Mastercard and based in Purchase, New York. Founded in 1982

一方で、日本は口座アクセスのための専用カードであり、全国銀行協会が整備した日本独自データ仕様として金融機関コード・店番・預金種別・講座名日などの情報が書き込まれている。

全銀協ＩＣキャッシュカード標準仕様 | 決済システム等の企画・運営 | 一般社団法人 全国銀行協会

J-Debitはそこまで取扱高が多くないが、そのネットワークを活用したスマホ決済サービスが「Bank Pay」である。

Bank Pay 店舗様向け - 銀行口座をお持ちの方が使える、安心・安全なスマートフォン決済サービス

一方で、国際ブランドデビットカードは、国際ブランド決済カードの仕組みで、買物代金をカード発行会社の金融機関のユーザーの口座から即時に口座振替する支払い方法である。

デビットカードの問題点

日本のクレジットカードは一括後払いが一般的でそれを前提にしたインフラとなっている。一方でリアルタイム自動振替であるブランドデビットの取引データを流す前提思想の違いにより課題が生じている。

１つ目が、「オーバードラフト」という概念。口座残高の範囲内で自動振替される想定のサービスだが、オーソリゼーションのタイミングでは口座残高があったが、その後の売上計上タイミングで口座残高が不足するケースがある。加盟店によって、オーソリデータ連携から売上データの連携までに2週間〜1ヶ月と言った期間を要する場合がある。当該期間のあいだにオーソリ時より口座残高が減ってしまった場合に売上データに対して口座残高が不足する。

イシュアー銀行によって、オーソリゼーションデータ受付時点で口座残高から留保すると言った対応を行い課題解決を図っていたりする。

２つ目が、オーソリデータと売上データの２つのデータが合致しないという課題。加盟店が一度オーソリで承認をとった売上に金額変更が発生するケースがある。基本的には再度承認を取り直すのが正常フローだが、商品変更前金額よりも安ければ再度オーソリを取得する必要はないという判断で、金額差異が発生するケース。

さらに、オーソリデータ送信時と売上データ送信時で加盟店のアクワイアラーが変わり、データ経路が変わってしまうというパターンも結構あるらしい。さらに、経由するアクワイアラーによってデータ仕様が異なり、加盟店がカタカナだったり漢字だったりで、データ経路の変更によって難しくなったマッチングがさらに難しくなる。これに対して、オーソリ・売上を1回の通信で送信する「シングルメッセージ化」をすすめることで事象の発生を防ぐよう進めているらしい。

Apple PayとFelica

自分のクレジットカードをApple Payに登録すると「QUICK PAY」か「iD」と出るのはなんでなんだろうと思っていた理由を完全に理解した。

Appleは、FeliCaが普及済の日本市場にあわせてFeliCaでApplePayが使えるようにしたのだ。超特別待遇である。
宮居 雅宣. 決済サービスとキャッシュレス社会の本質 (Japanese Edition) (Kindle Locations 2403-2404). Kindle Edition.

まず、米国では登録できるカードはAppleと提携しているカードのみとなる。カードを登録するとカードに1-1で「トークンID」が発行され、Apple Payで支払うと「トークンID」を加盟店端末の間で送受信する。この「トークンID」はISO/IEC7812のID番号体系に準拠しているため、通常のブランド決済と同じデータの流れで決済を完了することが出来る。さらに、非接触ICの準拠仕様もISO14443であるType-A/Bであるため国際ブランド加盟店のIC端末で使える。

一方で日本のApple Payは「Suica」を登録できる点で様相が異なる。ブランドカード決済はオンライン接続を前提とする一方、スピード重視のSuicaはオフライン利用のものだ。

さらに、日本の事情に合わせて普及しているFelicaをiPhoneに搭載した流れでFelicaベースの非接触IC決済に対応する判断をしている。

そのため、他の決済カードではカード登録時にトークンIDに加えて、日本独自の非接触IC決済であるiDかQUICPayどちらかのトークンIDを一緒に取得している。イシュアー各社がiD（NTTドコモ）かQUICPay（JCB）のどちらと提携するかを決めており、Appleはカード番号のIIN（カード会社を特定する頭6桁）によってそれを判別している。ゆえに、僕のエポスカードはJCBと提携しているのでQUICKPayになる。

バーチャルクレジットカード

オンラインショッピング専用のプリペイドカードを「バーチャルクレジットカード」という。サーバ型電子マネーのようなものだが、これはクレジットカードと同じ国際規格・ブランドレギュレーションに準拠した番号であり、世界中のオンラインショッピング加盟店で利用できる。

さらに、カード番号が流出してもプリペイド残高の範囲内でしか利用できないため不正利用を最小限に抑えることも出来る。

また、匿名性という特徴もある。それがゆえに不正利用されやすい性質ではある。しかし、資金決済法・犯罪収益移転防止法上、匿名性を持つこと自体は問題ないが、なるべく本人確認（KYC: Know Your Customer）をする協力要請があり、利便性に影響を及ぼす。このKYC対応が煩雑でコストがかかることから徐々にサービス終了する発行者が増えているのだそう。

ブランドプリペイド

国際ブランドのクレジットカードで決済できる。日本では資金決済法によりプリペイド残高の現金化はできないので使い切ることになる。

自社ポイントの移動・交換と資金決済法の資金移動業 | モノリス法律事務所モノリス法律事務所自社ポイントの移動・交換と資金決済法の資金移動業 | モノリス法律事務所

なお、プリペイド残高を残したまま放置した際の業務フローとしては、5年を目処に退蔵益として雑益処理、ユーザーの再利用申込みで雑損計上で再利用というケースが多いらしい。

LINE Payカードはそのひとつで、JCBブランドのプリペイドカードである。

LINE Pay

QRコード決済

QRコード決済では、CPM方式とMPM方式という２つの方式がある。サービス体験をしているとわかりやすくて、CPMはCustomer Presented Modeの略だが、QRコードをスマホ画面に表示して加盟店端末が読み取る方式。一方で、MPMはMerchant Presented Modeの略で、加盟店番号のQRコードを購入者が読み取ってユーザー自身がスマホアプリに購入金額を入力して支払う。たとえば、PAY IDというQRコード決済は加盟店のQRコードを読み取る方式なのでMPMなんだなと理解した。

Pay ID

ちなみに、QRコードというものは日本のデンソーウェーブが開発した2次元バーコードらしい。日本初とは知らなかった。

バーコード、QRコードやRFID、産業用ロボットのことならデンソーウェーブ

QRコードはQuick Response Codeの略で、ソフトウェアエンジニアにとってはXPを知ればおなじみ度が爆上がりするトヨタのかんばん方式の工程で一次元バーコードでの運用が難しくなり、その要望に答えて研究して作り出したものらしい。

なお、初めて知ったがAmazon Goにて、使用される二次元バーコード、あれはQRコードではないらしい。Aztecコードというアメリカの二次元バーコードらしい。

Amazon Go Store @ Amazon.com

Aztec Code - Wikipedia

こういう「テレビで専門家っぽい人」が話している内容に対して「お前らそれ間違ってるぞ気をつけろ」と教えてくれる本だったりするので、日常の間違った知識をUnlearnする機会としてもこの本はとてもおすすめ。

また、様々QRコード決済が乱立してきた今、識別番号を間違えて認識しないようにキャッシュレス推進協議会は統一QRコード「JPQR」を整備した。

2021年度 総務省 統一QR「JPQR」普及事業

後記

いろいろ書き記したがこの10倍くらいの内容が読みやすい語り口で展開されている。

中国銀聯のスキームなんかは中国の国としての本気が伝わって面白かった。その後に続くアリペイ・ウィチャットペイの加盟店手数料の安さは、国の銀聯カード整備時の法律により設定された加盟店の安さが原因となるものだと言った話など、表面的に見ているだけじゃわからない内容が歴史的経緯を持ってしっかり理解することが出来る。

また、エスクロー決済スキームのアリババがアリペイを展開する構図の解説なども、メルカリがメルペイを展開したのとリンクしサービス理解として点と点がつながるものがあった。

ちょっと気になった話だと文章の重複がちらほら見受けられるので「あれ？ここさっき読んだっけな？」となるのだが、まぁそれはそれで多少一瞬読み飛ばしてしまった気がしても話の前提は毎回の章で重複して説明してくれていると捉えると、それを前提とした読み方をするとすっと読み終われるかも（私はそうだった）。

最後のあとがきでは筆者がクレジットカード決済を推進してきた過去、現場で死にものぐるいでやってきた体験を臨場感持って語られている。そして、それを経て、今後の「価値ある」キャッシュレス実現に貢献したいという想いがひしひしと伝わってきて少し目頭が熱くなった。

なお、個人的な読み方のおすすめとしては先にこちらを読んでからこの本を手に取ると前提知識が入るので詰まらずに読めると思う。

カード決済完全に理解した（何もわからない）。