見出し画像

#4 クレジットカード(板)の仕様〜ICチップや磁気ストライプ(JIS1/JIS2)の話〜

yota@決済業界の人

はじめに

これまでカード会社の2つの顔(イシュイング/アクワイアリング)ビジネスモデル関係法令まで簡単に書いてみましたが今回はカードの板自体の仕様の話です。セキュリティコードや磁気ストライプのエンコード情報についても触れていこうと思います。なお、デビットカード、プリペイドカードでも仕組みは同様です

これらはクレジットカードの仕組みを理解する上で非常に重要な前提知識となります。この辺りから少々マニアックな話になってきますが、わかりやすく簡単に解説していこうと思います。

カードの表面

まずはカードの表面の仕様を説明します。表面は主に下図のような機能が詰まってます。現在では偽造被害を防止するため、ICチップの搭載が割賦販売法でも義務化されています

カードの表面

ICチップ:国際規格「ISO/IEC 7816」で位置も定められてます。磁気ストライプ情報や、セキュアな取引を実現するための証明書や暗号鍵も格納されています。現在はIC取引がメインで重要な仕様(EMV仕様と言います)になりますので今後解説していきます。
(「#6 クレジットカード決済の国際標準仕様」で書きました)

カード番号/有効期限:最近では覗き見防止のためカード裏面に印字する場合や、そもそもナンバーレス(カード券面にカード番号を印字しない)にしてカード発行会社が提供するスマホアプリでカード番号や有効期限など表示させる場合もあります。
昔はインプリンタ取引(オンラインの決済端末がないような加盟店での取引)があったのでカード番号はエンボス加工(凸凹な加工)されていましたが今は平らな印字となってます。

磁気ストライプ(JIS2):大抵のカード表面には国内規格であるJIS2(JISⅡ)の磁気ストライプが搭載されてます。JIS2には「企業コード(会社コードともいう)」がエンコードされていて以前は国内の磁気取引を支えてました。今でも国内においては各センタごとに企業コードが割り振られており、国内ネットワーク(CAFIS)においては企業コードで電文の宛先を指定してたりします。

※企業コードって以前はどこにも公開されてないなと思ってましたが、最近GMOペイメントゲートウェイさんが公開してたので参考で貼っときます。

リップルマーク(タッチ決済対応マーク):各国際ブランド(Visa/mastercard等)は基本的にタッチ決済の搭載をルール化しているので最近新たなに発行されるカードはタッチ決済ができるようになってます。

カードの裏面

続いてカード裏面です。裏面で目を引くのは磁気ストライプ(JIS1)とサインパネルですね。表面でも説明しましたが最近発行のカードではカード番号や有効期限が裏面に印字される場合もあります。また、国際ブランドのルールも変わってサインパネルのないカードも発行されています。

カードの裏面

サインパネル(署名欄):今でも飲食店などではありますが、昔はサインが本人確認の主流でした。昨今の飲食店で署名となるのは「PINバイパス」がキーワードですが、そのあたりの仕様はそのうちIC(EMV)取引についても書こうと思うのでその中で触れようと思います。

磁気ストライプ(JIS1):国際規格「ISO/ISE 7810/7811/7813」で定められています。表面にあるJIS2は日本国内規格でしたが、こちらが国際標準規格となります。Track1、Track2、Track3からなりますが、Track3は未使用、現在のカード取引ではTrack2が主に利用されていると理解しておけばOKです。

セキュリティコード(CVV2/CVC2):ネット決済する際に入力を求められる3桁の数字です(国際ブランドによっては4桁)。国際ブランドによって呼び名が若干異なっていてVisaではCVV、MastercardではCVCと呼びますが、ここでは主にVisaのCVVと呼んでいきます。実はユーザーが目にするサインパネルに記載のCVVは「CVV2」と呼ばれます。実はCVVは磁気ストライプ(JIS1)やICチップにも書き込みがされていてそれぞれ異なる値となってます。それぞれ以下のような呼ばれ方をします。

 -CVV1/CVC1:磁気ストライプ(JIS1)にエンコードされている
 -CVV2/CVC2:サインパネルに記載されている(目にみえる)
 -iCVV/CVC3:ICチップ内の磁気ストライプ情報にエンコードされている

セキュリティコード算出のしくみ

セキュリティコードは「カード番号」、「有効期限」、「サービスコード」、「CVK(暗号鍵)」が要素となって算出されます。磁気ストライプ、サインパネル、ICチップでそれぞれ異なる値が書かれていると説明しましたが、4つの要素のうち3桁の数字である「サービスコード」をそれぞれ別の値とすることで異なる値が算出される仕組みです。

セキュリティコードの算出イメージ

磁気ストライプのエンコード仕様

前述の通り磁気ストライプのJIS1は国際規格、JIS2は国内仕様となってます。エンコード仕様は下図のようになっています(開始符号などは除いてます)。

磁気ストライプエンコード仕様

JIS1:Track1は現在のクレジットカード決済ではほとんど使用されていないので、Track2について見ていきます。

22バイト目からの任意領域には「サービスコード」と「暗証番号」がエンコードされます。暗証番号はそれを検証するホストシステムと意識を合わせて暗号化されています。

サービスコードはセキュリティコード算出の仕組みでも登場しましたが、商品性を表す3桁の数字となります。「ICチップを搭載しているか?」、「全件オンラインオーソリを取得するカードか?」などによって決まります。大抵ICチップを搭載したクレジットカードであれば「201」がエンコードされています。

JIS2:前述の通りカード表面に設置されている磁気ストライプです。企業コードもエンコードされています。また多くの予備領域があり、ここに各企業で発行するポイントカードの番号を設定するのによく使われます。

なお、磁気ストライプ情報(JIS1/JIS2)はICチップにも同様の情報が書き込まれています。JIS2は国内仕様なのでICチップに書き込むのは必須ではないので注意が必要です。書き込む場合はTag DF4Fというところに69バイト丸々書き込む仕様となってます。

まとめ

ちょっとマニアックな話になりましたが、カードに設定されたこれらの情報を決済端末で読み取ることにより決済がされるので非常に重要な前提知識となります。現在ではIC取引がメインですが磁気ストライプ情報はそのままICチップに格納されており、これをICチップから読み取ってオーソリに載せるわけです。オーソリ(=オーソリゼーション)は決済する際にカード発行会社にカードの利用承認してもらうためのオンライン電文です。次回はカード決済するための基本的な電文の仕組みについて触れていきたいと思います。

この記事が気に入ったらサポートをしてみませんか?