指紋認証のクレジットカード!セキュリティは高いがコストが問題

クレジットカードのセキュリティについては、なんと言っても偽造カード対策の歴史だと言っても過言ではないでしょう。一方、銀行ATMでは指紋認証を含む生体認証が一般的になってきたわけですが、なぜクレジットカードには生体認証がないのでしょうか。

実はないわけではないのですが、技術的に難しい部分や、生体認証データの扱い方自体がセキュリティホールになりかねないという懸念など、難しい部分が結構あったんです。

2018年~2019年は指紋認証クレジットカード元年になるかも

指紋認証を搭載したクレジットカードは決して新しい物ではなく、2010年頃にはノルウェーのズワイプ社で開発されていて2014年にはマスターカードとの提携が発表されました。

その時には2015年にはリリースされるだろうと噂されていたのですが、残念ながら2018年10月現在まだ日本ではリリースされていません。

JCBはすでに実証実験を開始している

2018年4月18日のニュースリリースによると、JCBは指紋認証機能がついた”JCB Biometrics Card”(JCB バイオメトリクス カード)(※)を、JCBの社員を中心にした特定の人に発行し実証実験を開始したと言うことです。

(※ バイオメトリクス:生物の様々な特徴を統計学的に処理して個体を特定する技術。指紋認証もこの一つ。一般的には静脈や網膜、虹彩パターンなどのほか、筆跡やまばたきを特定に使うのもバイオメトリクスに分類される。)

このカードはJCBコンタクトレスを使った、非接触式決済の際のセキュリティを意識しているようです。

つまり、磁気ストライプ時代のサインレス取引(一定金額までサイン無しで利用できる制度)を引き継いだ、ICカードでの暗証番号省略、さらにはコンタクトレスカードでの暗証番号省略に対応しようというもののようです。

サインレス取引は数千円から1万円程度以下の少額取引で行われますが、それを超えた場合次のような手順を踏みます。

  • 磁気ストライプ取引:POSレジからサイン用伝票が発行されるので、そこにサインを行う
  • 接触式ICカード取引:読取機から暗証番号の入力を促されるので、テンキーからの暗証番号を入力する
  • コンタクトレスカード取引:エラーが出るので接触式ICカード取引に切り替えて暗証番号を入力する

つまり、サインレス取引の枠を超えてしまうと、コンタクトレスカードはかえって手間がかかってしまうという難点がありました。

コンビニでは早い段階から機械は対応していたがソフトが未導入

そうした理由もあってか、実際のカード発行ではコンタクトレスカードが発行され始めているにもかかわらず、一番利用頻度が高いであろうと考えられていたコンビニでは導入が遅れていました。

2018年6月の改正割賦販売法に対応すべく、前倒しで各コンビニのレジが入れ替えられていた時期には、すでに読み取り部分に電子マネーのFelicaと並んで、コンタクトレスカードのマークも表示されていました。
しかし、一向にコンタクトレスカードが使えるようになったというアナウンスがないので疑問に思っていたのです。

2018年9月上旬には、大手コンビニのローソンでコンタクトレスカードへの対応が発表されました。実際の店頭でのアナウンスは10月になってからだったかも知れません。

これはJCBの実証実験開始が契機になった可能性もありますね。また、VISAも中東でパイロット版のサービスを開始しています。さらに、マスターカードは先に紹介した通り最も早く2014年~2015年ごろにはカードを完成させています。

アメックスについても、おそらくは開発を進めているのでしょうが、残念ながら情報が見当たりませんでした。

ネットではこうした情報は玉石混淆で流れているので、本当の情報をつかむのが難しいです。

例えば、2018年1月には東芝が開発した指紋認証センサーを、アメリカのカード大手が採用したという情報が全国紙の紙面に掲載されました。通常であれば、かなり信憑性の高いニュースソースなのですが、東芝自体は同日その記事の内容を否定しました。

開発は行っているが、採用や販売について決定した事実はないときっぱり否定しています。

それでもコンビニレベルで対応を開始したということは、普及する目処が立ったのではないかと思います。今後に注目しましょう。

指紋認証が搭載されるとカード発行手数料が高くなる可能性

指紋センサーがどの程度のコストアップになるかは難しい問題ですが、2017年初頭、センサーメーカーのズワイプは2019年頃には1台10ドル以下にしたいと語っていました。

仮に他のセンサーメーカーでも同様のレベルだとすると、カード会社にとってはかなり大きな費用負担を強いられることになってしまいますね。

指紋認証クレジットカードは加盟店に負担がかからない仕組み

現在普及が進められている指紋認証クレジットカードは、加盟店にとって大きな費用負担になる読取機の入れ替えが必要ありません。

現在、ICカードに対応している指紋読み取りセンサーはどれも同レベルだと思われますので、仮に1,000台ロットで1台10ドル以下、日本円で1,000円だったとした場合、カード会社は1枚発行するごとに1,000円の出費を強いられます。
一方、指紋認証クレジットカードは次のように利用します。概略ですので、細かいところで各メーカーごとの差があるとは思います。

  • 事前にスマホアプリなどを使って自分の指紋をカードに登録して置く
  • 指紋センサーに指を置いてカードを読取機に近づける
  • 読取機からの電波による給電で指紋センサーが動作し、カード内部の指紋データと比較する
  • データが一致すれば通常のICカードとして読取機に情報を送信する
  • データが一致しなければ読取機にエラーを送信する
  • エラーが出たら指を変えて再チャレンジするか取引をあきらめる
  • 取引が終わったら決済音などでユーザーに知らせる
  • ユーザーはカードを回収する

このような流れになっています。おそらく接触式ICカードとしても同じように利用できるでしょう。

ここで重要なのは、ICカードあるいは非接触式カードに対応している読取機であれば、そのまま電源供給ができるので新たな読取機を導入する必要がないということです。

指紋認証の処理はカードの中でだけ行われますので、読取機には給電機能があれば間に合います。

そしてICチップや非接触式の取引をするためには給電機能は必ずついています。

接触式の読取機の場合は対応が分かれる可能性は否定できませんが、非接触式であれば完全にそのまま使えます。

年会費無料のカードがどうなるかが注目される

年会費無料のクレジットカードはたくさんあります。もちろん、そのカードが利用されているのであればカード発行にかかる経費は回収可能なケースが多いでしょう。

しかし、ここに来てカード1枚あたりのコストが1,000円もアップする可能性が示唆されているわけです。

これが年会費10,000円のゴールドカードであれば、5年の有効期限として1年あたり200円ですから、ゴールドカード会員のサービスを調整するなどして簡単に回収できるとは思います。

しかし、もともと年会費無料であれば回収のしようがありませんね。カード会社はどのように対応するでしょう。これは純粋に経営判断ですから、外部からうかがい知ることはできません。

  • 指紋認証付きカードの経費をカード会社が負担する
  • 年会費無料のカードをすべて有料化する
  • 年会費無料に利用条件などをつける
     ・年間一定金額以上利用すると翌年無料
     ・リボルビング残高が一定以上で翌年無料
     ・提携先での有料サービス利用で翌年無料など
  • 年会費無料の場合、発行手数料を請求する
  • 年会費無料のカードではコンタクトレスカードを発行しない

想像できるのはこうしたものですが、おそらく死蔵されるカードを減らす方向で何らかの対策を打ってくると思われます。

また、カードの再発行手数料も大きく値上げされるでしょう。

クレジットカードのIC化の際には、カード会社が全て費用を負担したわけですが、指紋認証を搭載するにあたっては、さすがにそれは厳しいと思います。

指紋認証クレジットカードはセキュリティがかなり高い

クレジットカード自体に指紋認証機能をもたせているわけですから、紛失・盗難などの際に悪用される可能性はかなり低くなると思います。もちろん、実店舗での利用という条件が付きますが。

一方、盗難クレジットカードによるネットなどでの悪用は、3Dセキュアを利用して守るしか現段階では方法がありません。

クレジットカードが持ち主を判別するセキュリティ

指紋認証付きクレジットカードの特徴は次のようなものです。

  • 指紋の登録はスマホアプリなどを利用して自分で行う
  • 指紋のデータはカード内にしか保存されない
  • 指紋が一致しないとカード利用時にカード自体が利用を拒否する
指紋データがサーバーなどに保存されないのは安心ですね。カード内部には保存されていますが、指紋情報も暗号化されて保存されるでしょうから、他人の指紋情報と差し替えるのは大変だと思います。
そんな手間をかけていたら、その間に紛失届が出されてしまいますよね。

また、このカードの良いところは家族が勝手に使うことができないところです。もちろんネットでの無断拝借は可能ですが、しっかりしたパスワードで3DセキュアをセットしておけばOKです。

原則として2指を登録するのでトラブルも少ない

こうした指紋認証で気になるのは、指をけがしたり手荒れで指紋がぼろぼろになったりしたらどうなるのかということですね。もちろんそうしたトラブルにも備えられています。

例えば通常は右手親指で登録することが多いと思いますが、その指をけがしたとしましょう。

  • 事前に登録してあったもう一本の指で認証する
  • その指もダメだったら、接触式ICカードとして機械に挿入し暗証番号を入れる

これで対応可能ですので、全く使えなくなるという心配はありません。ただし、暗証番号はしっかり管理しておいてくださいね。

忘れてはいけないカードユーザーとしてのセキュリティ意識

このように、指紋認証クレジットカードは極めてセキュリティ強度の高いものです。

しかし、どんなセキュリティであっても100%突破不可能というものはありません。

これまでのものに比べるとそのセキュリティを突破するためにかかる時間と手間が大きすぎて、犯罪者が手を出さなくなるということを期待しているわけです。

しかし、中には純粋に技術的なチャレンジとしてセキュリティ突破を行う犯罪者もいます。ですから、これまで通りクレジットカードを利用する人は自分の利用履歴をチェックするなど、しっかりした管理意識を持っておいてください。

この記事をシェア

合わせて読みたい

ページ先頭に戻る