モバイル決済の普及状況とセキュリティの課題

2013年12月4日

モバイル決済は現在、おかしな状況に置かれています。数年前の予測では、今頃は一部の地域でNFCによる決済がほぼ定着しているだろうと見られていました。人々が「近距離無線通信」(NFC)技術を使い、出先でコーヒーを買ったり、銀行口座からの直接引き落としをスマートフォンに内蔵の小さなチップに指示したりしていたはずでした。

モバイル決済

間もなく2014年が訪れようとしていますが、新型iPhoneにNFCが搭載されるという噂は一度たりとも的中することがなく、そのたびに批評家たちは悲報を報じてきました。

最近の連邦準備制度の調査では、スマートフォンユーザーの22%がスマートフォンをバンキングに使用した経験があるとされています。

しかし、PayPal、Square、LevelUpなどのモバイル決済アプリが広く使われるようになったにもかかわらず、スマートフォンで定期的に商品やサービスを購入するユーザーはわずか15%です。とてもモバイル決済が定着したとは言えません。

その理由を探るため、先日数社の最高経営責任者(CEO)やモバイルバンキング担当ディレクターが、ITの聖地サンフランシスコに集結し、モバイルをテーマにしたパネルディスカッションで討論しました。11月15日のMEF Global Forumのディスカッションでは、パネリストらは自分たちが直面している課題を説明し、電子マネーの安全性について議論し、今後の業界の方向性について質問を交わしました。

mef-g

Barclaysのモバイルバンキング担当ディレクターであるダレン・フォウルズ(Darren Foulds)氏は、パネルディスカッションの開始早々、テキストメッセージを例にとり、モバイル決済がどれだけ普及したかを指摘しました。

世界最大級の銀行Barclaysは昨年、Pingitというモバイルバンキングアプリを発表して大きな注目を集めました。Pingitには同様の目標があり、テキストメッセージを送受信するのと同じくらい簡単に、スマートフォン間で送金できるようにすることを目指しています。

しかし、技術の採用は順調に進む時期もあれば停滞する時期もあり、英国でも一進一退の状況が続いています。一方、米国では、スマートフォンを使った商品の購入や送金は英国ほど受け入れられていません。

意外なことではありませんが、セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています。

PCやラップトップと同様に、いまやモバイルデバイスもマルウェアやサイバー犯罪者の標的となりました。クレジットカード番号を狙う悪意あるアプリは、AppleのApp StoreやGoogleのGoogle Playの片隅に今でも潜んでいます。モバイルマルウェアはこの2年間で爆発的に増加しており、Kaspersky Labの研究者は今夏、極めて高度なAndroidマルウェアをいくつか発見しました。

セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています

スマートフォンを紛失したり置き忘れたりするとどうなるかは、言うまでもありません。スマートフォンには、友人のメールアドレス、会話、写真といった重要な情報が保存されています。銀行の情報まで保存したら、スマートフォンをなくすのは財布をなくすのと同じことになるのではないでしょうか?

最近PriceWaterhouseCoopersは、モバイル決済に対する抵抗について調査を行いました。これによると、回答者の85%がスマートフォンの盗難を心配しており、79%が支払い情報を無線接続で送信するときに情報を盗まれるのを恐れ、74%が一箇所に情報を集めすぎることに不安を感じていることがわかりました。

シリコンバレーで決済プラットフォームを手がけるBraintreeのモバイル担当ジェネラルマネージャー、アンクール・アーリア(Aunkur Arya)氏は、こうした懸念の大半は必要以上に深刻に捉えられていると考えています。

アーリア氏はパネルディスカッションで、「これは一般のメディアが考えているより、ずっとずっと小さな問題だと思う」と述べ、「磁気ストライプの付いたプラスチック製カードの方が、2段階認証を採用したデバイスより安全だという考え、…その考え自体が不合理なもの」だとしました。

2段階認証とは、Webサイトやメールへアクセスするときに、いつものパスワードだけでなくランダムな数字コードの入力を求める付加的なセキュリティ対策です。近年ではFacebook、Google、Twitterなどのサイトで導入されました。

アーリア氏は、電子マネーの普及に伴ってある程度の問題が発生するのは避けられないものの、現在進行中であるデジタル化への移行は「発想の転換」と捉えるべきだと指摘します。

VISA MobileのCEOを務めるハンネス・バン・レンズバーグ(Hannes Van Rensburg)氏は、モバイル決済の導入によるセキュリティの問題は、教育の問題ほど深刻ではないと主張します。

バン・レンズバーグ氏は、「消費者は自分が理解できないものに対して不安を抱くもの」と述べ、セキュリティ侵害など何か問題が起きたときにどうなるかを企業がもっとうまく説明できれば、状況は改善されると付け加えました。

安全な決済のために電話番号を使用する決済システムを擁するBoku。同社でモバイル決済部門を率いるケビン・グラント(Kevin Grant)氏も、このパネルディスカッションの参加者です。グラント氏は、モバイル決済において新たな流れが見られるようになったといいます。

「私たちは伝統的な役割を担いつつあります。今では新規のお客様を登録する際に、カード番号ではなく電話番号を保存しています。」(グラント氏)

バン・レンズバーグ氏やグラント氏たちが未来に目を向けて(そして予算を投じて)いることは間違いありません。モバイル決済と技術はすでに密接に結びついています。開発者と経営者たちは、そこから利益を得るための新たな方法を模索しているところです。

たとえばStarbucksは、絶え間なく変化するモバイル決済市場に参入するため、10月にTweet-a-Coffeeサービスを開始しました。これはTwitterから5ドルのギフトカードを顧客に送るというサービスです。この金額は銀行口座やクレジットカードに紐付いているのではなく、プリペイド式で、一部の店舗で商品やサービスを購入することができます。ユーザーはほとんど何の制約もなく、お金を受け取り、使うことができます。

今回のパネルディスカッションでは、Uberというサービスが多くの参加者から称賛を集めていました。Uberはスマートフォン上のボタンをクリックするだけで呼び出せる配車サービスで、モバイル決済の次なる潮流「Content Driven Commerce」(コンテンツ主導型取引)を実現しつつある点が評価されました。

UberはユーザーのGPS情報を利用して、ユーザーの依頼に応じて黒塗りの車を配車し、指定された場所に迎えに行きます。降車後、ユーザーの口座から、あらかじめ設定された金額が引き落とされます。安価なサービスではありませんし、近い将来にタクシーに取って代わることもないでしょうが、アプリは直観的で、最小限の操作で使用することができます。

Uberはモバイル決済からさまざまな面倒を取り払い、目立たないようにすることで、新境地を開拓しようとしています。Googleが1年ほど前に自社のAndroidスマートフォンシリーズに搭載したパーソナルアシスタントアプリ「Google Now」のように、ユーザーについて学習する、トレンドを知らせる、ユーザーが望むものを聞かれる前に予測するという点が非常に優れています。

アーリア氏は、ユーザーがデバイスに尋ねる可能性のある質問をいくつか挙げました。「私が利用している決済サービスはこのお店で使えるか?私の情報を再入力する必要はある?このアプリは使っても大丈夫だろうか?この店は配送してくれる?」

未来のアプリでは、そのような体験を調査することが重要になるとアーリア氏はいいます。

デバイスはいずれ、こうした質問のすべてに答えられるようになるでしょう。デバイスでの商品購入に関しては、たとえば週に7~8回モバイルデバイスで買い物をするなら、それらがすべてつなぎ合わされて、コンテキストに基づいたプロセスが形成されます。

「入金が見込まれることをサービス提供側が認識するのは、支払いのなされるときです。これまでは、VISAカードを手渡されることで入金見込みを確認できました。Uberの場合はスマートフォンによって本人確認を行い、車に乗り込もうとしているのが誰か別の人物でないことを判別します。」(アーリア氏)

スマートフォンは今後も、適切に保護すれば、極めて機密性の高い情報を届ける優れた手段であり続けるはずです。もちろん、そのためには技術の進歩も必要ですし、一般の人々の考え方が遅れずに付いていかなければなりません。

しかし、モバイルOS開発の2強AppleとGoogleは、モバイル決済の導入に関しては比較的初期の段階にあります。そのことが今後もモバイル決済技術の障害となり続ける可能性があります。

同様に、あまり開発が行われていないために、モバイル決済のセキュリティには制約があります。

人類は数百年にわたって現金を使ってきました。クレジットカードが使われ始めたのは数十年前のことです。それを考えると、デジタルへの移行に時間がかかるのも無理はありません。

現状では、クレジットカード情報が保存されたスマートフォンを盗まれた場合に備えて、強力なパスコードかスワイプパターンを設定しておくのが得策です。しかし、それさえも役に立たない場合もあります。Threatpostの読者の方はご存知でしょうが、この数年で多くのハッカーがスマートフォンのロックを突破できることを証明してきました。

スマートフォンを盗まれて、盗んだ人物が自由に触れるようになってしまうと、クレジットカード情報を扱うアプリにアクセスされるのを防ぐ手段は限られます。iPhoneでは、AppleのiCloudの機能によって、リモートからiPhone内の情報を削除することができます。Googleも、一部の携帯電話でリモート削除機能を提供しています。

セキュリティに関しては、モバイル決済の技術が成熟するまでは、メーカー側とユーザー側の両方の対応が必要になります。

ユーザーの懸念が払しょくされ、2段階認証の普及が拡大し、デバイスを財布として使うためのさらに優れた業界標準が策定されるまで、この技術は苦しい戦いが続くでしょう。