見出し画像

Google Virtual Cardsの考察

NozomuNakazawa(中澤望)

日本時間2022年5月12日未明(現地時間11日)に開催されたGoogle I/Oにおいて、バーチャルカード(=使い捨てカード)の発表がありました(※)。

※アメリカでは今夏リリース予定ですが、日本では未定です。

Fintech企業に勤め、且つ生粋のAndroidユーザーである僕にとっては大変興味深い機能なので、まだまだ情報が限られていますが考察を書いていきたいと思います。なお、考察するうえで壁打ちに付き合ってくれた@m_on_yuには大感謝です!

Google Virtual Cardsとは?

Google Payに関する講演は以下から確認できます。2:24あたりからVirtual Cardsの説明です。

Google ChromeやAndroidには、カード情報をあらかじめ登録しておき、ネットショッピング等でカード情報の入力が必要となった際には自動的にカード情報を入力できるオートフィル機能が現在でも存在します。今回のVirtual Cardsでは、このオートフィルの際に、登録済みのクレジットカードに紐づく、使い捨てのバーチャルカードを決済手段として選択可能になるようです。Googleがカード発行を始める、といった話ではありません。「使い捨て」の表現しているとおり、そのネットショッピング限定のカード番号となるため、仮にその情報が店舗から漏洩したとしても、他の店舗では利用できないので、セキュリティ面が極めて強固になる仕組みです。情報漏洩の心配がなくなることから、ネットショッピングでのカゴ落ちの改善にも繋がると考えられます。

仕組みを推測する

Googleからはパートナーとして、Visa、American Express、Mastercard、Capital Oneの名前が上がりました。Visa、American Express、Mastercardは国際ブランドであるのに対して、Capital Oneはイシュア(※)である点が特徴的です。

※イシュアとは?については、過去Kyash Product Blogに書いているので、ぜひご参照ください

上述の動画を視聴して推測できる仕組みは以下となります。イシュアがCapital Oneか、それ以外の銀行・カード会社かでおそらく挙動が変わるので、分けて紹介したいと思います。

1. イシュアがCapital Oneの場合

GoogleとCapital Oneが通信

カード発行会社が今回パートナーとして発表されたCapital Oneの場合は、おそらく使い捨てカードの生成時にGoogleとCapital Oneの間で通信をし、Googleに登録済みのクレジットカードに紐づく新たな使い捨てカード情報を、その場で生成する流れになると考えられます。実際のカードとは全く異なる番号やCVV (セキュリティコード)の使い捨てカードが発行されますが、Capital Oneはその使い捨てカードがどのクレジットカードに紐づいているか把握しているので、通常通り与信をすることが可能です。加盟店が知っているのは使い捨てカードの情報のみなので、仮に加盟店からこのカード情報が漏洩しても他で利用することはできず、元のクレジットカードは無傷です。

なお、有効期限は変更しないと予想するのは、「有効期限が近づいたらカード情報の更新を依頼する」といったオペレーションを実施している加盟店も存在し、混乱を招くリスクがあるためです。また、カード番号のうち上6桁は、発行会社を識別するためのBIN(Bank Indentification Number)と呼ばれる重要な情報なので、7桁目以降が置き換わると思われます。(※)

※世界的に発行されるカード枚数が増えてきたことで6桁では不足し、最近ではBINの8桁化の話もあるので、8桁目までが固定、9桁目以降がランダムになるかもしれません。

また、図中⑦で「認証」と書いたのですが、これは動画の中で「イシュアや国際ブランドは、リスクに応じてSMS送信などの追加認証を実施することが可能」との発言があったためです。ただ単にカード情報を置き換えるだけでなく、カード決済が完了する前にリスクに応じた認証を実施することもできると考えられ、もしそうであればセキュリティ面でも大変優れていると思います。なお全ての決済において認証が必要なのではなく、リスクが高いものだけに実施することができるとのことで、ユーザー体験が大きく損なわれることはないようでした。

ちなみにリリース時点でパートナーとなるイシュアはCapital Oneのみですが、動画内ではCitiやChaseとの将来的な提携にも言及がありました。

2. イシュアがCapital One以外の場合

Googleと国際ブランドが通信

日本でも三井住友カード、楽天カード、(手前味噌ながら)Kyashといった様々なカード発行会社が存在するように、アメリカでもCapital One以外に多くの発行会社が存在しますが、その場合の使い捨てカード情報の利用フローは図の通り推測しています。重要な点として、Capital One以外の発行会社とGoogleの間ではシステム連携ができていないため、代わりに国際ブランドと通信をし、カード番号と有効期限は元のカードのままで、CVV(セキュリティコード)のみランダムな3桁にGoogleが置き換えると予想します。

CVVのみ置き換えると予想する理由として、カード番号の生成は通常各イシュアが行なっており、且つどのカード番号が利用中/退会済みといった情報もイシュアのみが把握しているので、いくらGoogleとはいえ勝手に使い捨てカードとして新たな16桁を生成することは難しいと考えます。ただしCapital Oneが発行するカードの場合だけは、上述のとおりCapital Oneとシステム連携することでCVVだけでなくカード番号も置き換えができると推測します。

昔はカード番号と有効期限のみで決済できる店舗も少なくありませんでしが、適当な数字を入れて決済ができてしまうリスクを減らすために、今日ではCVVや3Dセキュアが導入されているオンラインショップがほとんどです。それを踏まえイシュアがCapital One以外の場合は、万一オンラインショップからカード情報が漏洩しても、CVVがダミーであるため他の店舗では利用できない、という状態を作るのではないかと考えます。CVVだけでなくカード番号も置き換えるよりはセキュア度が落ちるかもしれないですが、全米の各イシュアとそれぞれシステム連携をするのは時間と手間を要するため、初期フェーズで取りうる手段としてはこれ以上ないと感じます。

また、もし使い捨てカードが生成されその情報がそのままイシュアに渡った場合、CVVエラーとして決済が失敗することが考えられるので、おそらく国際ブランドに情報が渡った後に⑥として国際ブランドとGoogleが通信をしてCVVを正しいものに置き換える処理が入るのではないでしょうか。(※)

※このあたりは動画内でも言及がなかったので推測の域を出ないですが、今回Googleは国際ブランドとパートナーシップを締結しているので、何らか特別な挙動があるのだと思っています。

ちなみに、動画のなかでトークナイゼーションという言葉が何度か出てきます。現在のオートフィル機能でも同じだと思いますが、Google自身はカード情報を保有していません。Googleにカード情報を登録する際に登録可否をイシュアに照会し、OKの場合Googleはカード情報に紐づくトークンのみを保管して、カード情報が必要になった場合はトークンをイシュアに渡してカード情報に置き換えてもらう処理を行なっていると考えられます。

最後に

コロナ禍でネットショッピングが増える一方でカードの不正利用等の件数も増えてきている中、今回のGoogle Virtual Cardsは決済体験を損なわずに安心・安全な取り組みを提供する、大変素晴らしい仕組みだと思います。これまでも加盟店が決済手段としてGoogle Payを採用していた場合は、カード情報等に触れることなく安全な決済ができていましたが、今回のVirtual Cardsの場合加盟店はカード決済を導入していればどこでも対象となるので、カバー範囲が格段に広くなります。いち消費者としては、日本でも早く利用できるようになってほしいと願うばかりです。

とはいえ、Fintech企業に勤める身としては正直もどかしい気持ちもあります。Kyashもバーチャルカードを提供しており、Google ChromeやAndroidといったプラットフォームはないものの、似たような機能は先に提供できたかもしれません。(少しアピールも入りますが)Visaの仕組みを活用した国内初の3Dセキュアの提供など、KyashもUXとセキュリティの両立を目指しているので、引き続きよりよいサービスの提供に向けて邁進していきたいと思います。

最後の最後に、このnoteについてでも、その他どんな話題でも構いませんので、何らか興味を持っていただいた方はぜひTwitterからご連絡ください!「その推測はちょっと違うんじゃないか」といったご指摘等も大歓迎です!

https://meety.net/matches/CuSbAZyYyqQh

Kyash ID: nozomu1122


読んでいただきありがとうございます!ぜひシェアやフォローをお願いします!サポートも嬉しいです。