yota@決済業界の人

銀行系SIerで勘定系ホスト開発から始まり、流通系→銀行系のカード会社でカード発行〜決…

yota@決済業界の人

銀行系SIerで勘定系ホスト開発から始まり、流通系→銀行系のカード会社でカード発行〜決済端末、Web/App開発・EMV関連・モバイルペイを担当。直近はブロックチェーンベースのデジタル通貨発行を目指すスタートアップでディレクターしてみたりもしました。

最近の記事

  • 固定された記事

#20 国際ブランド付カード決済の仕組み〜まとめ〜

#1〜#19までとりとめもなく書いてきて情報がとっ散らかってる感があるので一旦まとめ記事です。インデックス的な記事になればと思ってます。 1.はじめに知っておくべきこと(1)イシュイングとアクワイアリング カード会社はカードを発行する(イシュイング:ISS)のと、加盟店に決済サービスを提供し管理する(アクワイアリング:ACQ)、2つの顔があります。まずは登場人物とその関係を理解することが大事です。 (2)ビジネスモデル(加盟店手数料とIRF) ISSとACQを理解して

    • #22 データセキュリティを向上させる技術〜暗号化/ハッシュ化/トークン化の違いの話〜

      はじめに書きたいことを一気に書いたらスッキリしてしまい放置気味で久しぶりの更新となりました。 データのセキュリティを向上させる技術といえば暗号化を思い浮かべる人が多いと思いますが、そのせいかシステム部門の人間でもハッシュやトークンと区別せずに何でも一括りに「暗号化」と言う人がいます。ところがこれらは全く異なるプロセスと目的を持っているため、ユーザーへこのような表現をすることは大きな誤解を招く可能性が高く私はNGだと思ってます。 カード業界においてはApple Payの登

      • #21 オートローディング式自動精算機のPIN入力〜PCI SSCとPCI PTSの話〜

        はじめに突然なんだよってテーマかと思いますが、一昨日花粉症の薬をもらいに病院行って自動精算機でカード決済したときにちょっと驚きがあったので記事にしておこうと思います。 オートローディング式自動精算機のPIN 入力さて、こちらが一昨日の自動精算機です。 オートローディングは自走式とも言うもので、要はカードを飲み込んでカード情報(=IC情報)を読み取りするタイプの端末です。暗証番号(PIN)を入力するPINパッドが右下にあります。 注意書きに「ICチップがない」「暗証番号

        • #19 カード番号のトークン化④〜加盟店トークンとトークンの世界観〜

          はじめにここまでは主にモバイル端末(iPhoneやAndroid端末)へのカード発行をカード番号ではなくトークン番号でしている話をしてきましたが、最近では加盟店(ECサイト)が扱うカード番号もトークン化する動きが広まってます。加盟店トークン(加盟店Token)と呼ばれたりしますが、今回はこの概要とトークンの世界観について説明します。 加盟店トークンとはカードのトークン化における概要とTSPについては以下でお話ししました。 これまで話してきた「カード番号のトークン化①〜③

        • 固定された記事

        #20 国際ブランド付カード決済の仕組み〜まとめ〜

          #18 カード番号のトークン化③〜トークンをカード番号に戻すデトークンの話〜

          はじめにApple PayやGoogle Payはカード番号をトークン化する技術が使われていることを説明しました。トークン番号で決済された場合、カード発行会社(ISS)のホストシステムではそのまま処理できないため、カード番号に戻す(=デトークン)必要があります。今回はデトークンについて触れていきます。 なぜデトークンが必要か「#15 カード番号のトークン化①」で説明しましたが、ISSはEMVCoに認定されたTSPを利用契約して使っています。つまりISSのホストシステムにT

          #18 カード番号のトークン化③〜トークンをカード番号に戻すデトークンの話〜

          #17 「Apple PayからFelica系決済サービスが消える日」をよんで

          話題になったこちらの記事について触れてみます。 すっごく簡単にいうと、現状Apple Payでカードを登録すると必ずiDかQUICPay(※カード会社による)が発行されるところ、これをAppleが任意化する方針だ、というものです。 Apple Payは始まったのは2016年で、一部の国際ブランドとiD/QUICPayから開始されたことやトークナイゼーションの技術が使われているのはこちらでも紹介しました。 日本のApple Payが始まる前から海外では国際ブランドの非接触

          #17 「Apple PayからFelica系決済サービスが消える日」をよんで

          #16 カード番号のトークン化②〜Apple Pay(SE)とGoogle Pay(HCE)の違いの話〜

          はじめに前回、カード決済におけるトークナイゼーションの技術についてと、これが採用されて話題になったApple Payについて触れました。今回は後発のGoogle Payとの違いについて書いてみます。 AppleとGoogleについてまず理解しておくべきことApple PayはApple社が提供する決済サービスです。 Google Pay(旧Android Pay)はGoogle社が提供する決済サービスです。 iPhoneはApple社がモバイル端末の製造およびOS(=i

          #16 カード番号のトークン化②〜Apple Pay(SE)とGoogle Pay(HCE)の違いの話〜

          #15 カード番号のトークン化①〜Apple Payで採用されたトークナイゼーションの技術の話〜

          はじめにカード業界で「トークナイゼーション(=トークン)」というワードが出たのは国内で2016年10月に始まったApple Payで採用された技術だったからでしょう今は2024年だからもう8年も経つんだなと。 リリース当初は一部の国際ブランドと国内のおサイフケータイ陣(iD、QUICPay)から始まり、その後他の国際ブランドが対応し、Google Payが始まって、最近では加盟店にもトークン化が広がっている、というのが概況です。 今回はカード決済におけるトークナイゼーシ

          #15 カード番号のトークン化①〜Apple Payで採用されたトークナイゼーションの技術の話〜

          #14 非対面カード決済のセキュリティ〜3Dセキュアの仕組みの話〜

          はじめに前回、カード決済は対面取引と非対面取引があり、非対面取引の不正利用対策として3Dセキュア(EMV 3DS認証)があることを説明しました。 今回は3Dセキュアにおけるプレイヤーと仕組みについて書いていきます。 3Dセキュアの概要非対面決済においては利用者がカード番号を加盟店サイトに入力することで決済されます(下図①)。 これだけではカード発行会社(ISS)は「その取引が本当に本人が実施しているもなのか?」がわからなかったので、これを解決したのが3Dセキュアです。3

          #14 非対面カード決済のセキュリティ〜3Dセキュアの仕組みの話〜

          #13 クレジットカード取引における対面・非対面〜店頭の利用とWebの利用の話〜

          はじめに今までカード業界の仕組みや決済の仕組みについて書いてきましたが、ご存知のようにクレジットカードの利用シーンは対面(店頭)と非対面(Web)があります。これまでの#6〜#10は主にICクレジットカードを使った取引(=対面)の話でしたが、非対面取引についても触れていきたいと思います。 対面の取引これはほぼおさらいですが、対面でのカード利用においてユーザーが意識するところとしては概ね以下です(オーソリはあんまり意識しないとは思いますが)。これまで書いてきたカードと決済端

          #13 クレジットカード取引における対面・非対面〜店頭の利用とWebの利用の話〜

          #12 クレジットカード番号の体系とBIN

          はじめにこれまでクレジットカードの仕様や仕組みについて説明してきましたが、今回はカード番号の体系について触れておこうと思います。カード業界に関わるのであれば最低限知っておきたい点と、知っていると語れる雑学になるかなと思います。 ちなみにカード(板)の仕様はこちら↓ 決済の仕組みはこちら↓ クレジットカード番号の体系クレジットカード番号というと「4桁-4桁-4桁-4桁」の16桁を思い浮かべる人が多いと思いますがこの体系は以下のイメージでISO(ISO/IEC 7812)

          #12 クレジットカード番号の体系とBIN

          #11 海外でクレジットカードを使った時の本人確認(韓国編)

          はじめにクレジットカード利用時の本人確認仕様については以下で説明しました。 この中で、以下説明しました。 本人確認の方法、主にPIN認証(暗証番号認証)の方式は国によって異なる 日本ではオフラインPIN(決済端末とICカード間で認証)が採用されている ではお隣の韓国はどうなんでしょうか。一昨年前に行ったときには磁気取引で署名が存在しているイメージがありましたが、今年の正月に行ったときにはほぼ決済端末のIC化が進んだ印象を受けました。 韓国は基本的に署名(サイン)韓

          #11 海外でクレジットカードを使った時の本人確認(韓国編)

          #10 クレジットカード決済のIC認証〜ARQCとARPCの話〜

          はじめに今回はEMVにおけるOnline Processing(オンライン処理)の話です。 前回までで決済端末とICカードの間で様々な会話をして、「その取引をどうするかの決定」までのプロセスを説明しましたが、結果ARQC(オンライン要求)が選択された際の処理となります。 「#5 クレジットカード決済の仕組み」の中で「オーソリ」は、 「この金額使えますか?」の承認をとるためのオンライン手続き であると説明しましたが、イシュアはそのカードが使えるかの確認と合わせて、EM

          #10 クレジットカード決済のIC認証〜ARQCとARPCの話〜

          #9 決済端末とICカード間のリスク管理〜EMVにおける端末リスク管理とアクション分析の話〜

          はじめに今回は#6のEMV仕様のフローの以下手続について順に説明していきます。 Terminal Risk Management(端末リスク管理) Terminal Action Analysis(端末アクション分析) Card Action Analysis(カードアクション分析) まさに「決済端末(ACQの想い)」と「ICカード(ISSの想い)」が会話して「その取引をどうするか」を決定するプロセスです。 端末リスク管理端末リスク管理では、これまでの処理結果と端

          #9 決済端末とICカード間のリスク管理〜EMVにおける端末リスク管理とアクション分析の話〜

          #8 クレジットカード決済の本人確認仕様〜サイン?暗証番号入力?の話〜

          はじめにクレジットカードで決済する際、加盟店によってサイン(署名)を求められたり暗証番号(PIN)を求められます。また最近ではタッチ決済が導入され、かざしておしまいだったりもします。 今回はクレジットカード決済(国際ブランド付きデビット、プリペイドも同様)の本人確認方法の種類と、どのように本人確認方法が決定されているのか、について説明していきます。#6のEMV仕様のフローの「7.Cardholder Verification(本人確認)」のお話です。 本人確認方法が決定さ

          #8 クレジットカード決済の本人確認仕様〜サイン?暗証番号入力?の話〜

          #7 ICカード決済のオフラインデータ認証〜SDA・DDA・CDAの話〜

          はじめに「#6 クレジットカード決済の国際標準仕様」でEMV仕様の全体像を説明しましたが、今回はその中の「Offline Data Authentication(オフラインデータ認証)」について書こうと思います。 オフラインデータ認証は決済時にICカードと決済端末の間で実施する認証で、IC取引の全体像を理解する上で理解しておくべき処理となります。 オフラインデータ認証(ODA)とはオフラインデータ認証(Offline Data Authentication)はカードと端

          #7 ICカード決済のオフラインデータ認証〜SDA・DDA・CDAの話〜