クレジットカード番号の安全な送信
クレジットカード番号の安全な送信
(3)クレジットカード番号の安全な送信
現在最も普及している電子決済方法である。クレジットカード番号等の決済に必要な情報を暗号化技術を用いて送信しようとするもので、その暗号化の方法によりいくつかの種類に分けることができる。
1.SSL等の汎用的暗号化技術を用いる。
2.独自開発したカード用暗号化プロトコルを用いる。
3.世界的カードブランドが開発したカード専用暗号化プロトコルを用いる。
1.SSL等の汎用的暗号化技術を用いる。
SSLというのは「secure socket layer」の略であり、ネットスケープ社が開発した暗号化技術の名称である。この暗号化技術を用いるには、情報発信者側はいわゆるネットスケープコマースサーバにホームページを開設し、ネットスケープ社の認証を受けなければならない。対して情報受信社側はそのブラウザがネットスケープナビゲーターであるか、インターネットエクスプローラー3.0以上でありさえすればよい。情報を送信するにあたって暗号化を施すのはもちろんそれらブラウザであるわけで、暗号化を施すソフトはすでにそのブラウザに内包されているということになる。
この暗号化技術は、電子決済の分野に特定して考えるならば、購買する側にはネットスケープ社の認証を受けている以上、そのお店が確かに存在することがわかり、ある程度の信用を置くことができる。また販売をする側にとって見ても上記2ブラウザはインターネットでは100%に近い利用率を誇るため、多くの顧客に簡単に暗号化技術を提供することができることとなり、対象間口が広がる。
だがデメリットもある。購買する側には暗号化が施されるとはいえその強度が十分なものであるかどうかわからない。またどこで復号化がなされるかわからず、ファイアーウォールの中で複合化されなければ、そこで情報漏洩の可能性も完全否定はできない。販売する側にとっても顧客は認証されていないため、本当に購買意思のある客であるかどうかわからない。さらにカード会社にとって見れば、カード番号等の情報が加盟店に伝わるため、加盟店がその情報を不正使用するのを防止できない。
2.独自開発したカード用暗号化プロトコルを用いる。
初期においてはファーストバーチャル、サイバーキャッシュといった会社が独自に開発した方法でカード決済を実現するものである。日本でもアコシスなどが実用化されている。
まずファーストバーチャルは現実には暗号化は行わない。カード番号は事前にファックス等で知らせておき、それに対応するID番号を発行する。そして購買する際にはID番号のやり取りのみを行い、ファーストバーチャル社からの購買確認メールに返信をすることで決済が成り立つ。サイバーキャッシュは完全に暗号化を施し、注文情報を店舗に、決済情報はカード会社に送り、加盟店の不正利用も防止する仕組みを作っている。(卒論第3章第2節参照)
3.世界的カードブランドが開発したカード専用暗号化プロトコルを用いる。
SETとは、「Secure Electronic Transaction」の略であり、クレジットカード会社の二大大手VISA・インターナショナルとマスターカード・インターナショナルが1996年に合意したインターネットにおけるセキュリティ技術規格である。これはRSAの公開鍵暗号やその他の秘密鍵暗号などを駆使し、カードホルダーの事前登録、店舗の事前登録、カードホルダーによる買い物の要求、店舗による認証、店舗による支払実行の要求等、それぞれの段階における必要な情報の送受信の方法について詳細に定めている。サイバーキャッシュで実現していた決済情報のカード会社への直接送信に加え、SSLではなし得なかった購買者側の認証を行い、本人確認まで行っている。
日本でこの規格に沿ったかたちで決済を行っているのはUCカード、住友クレジットサービス、JCBなどのカード会社運営のモールをはじめ、大手出版局が運営するモール等に拡大しつつある。現在バージョン2.0が策定中であるが、実用段階にあるのはバージョン0.0と1.0で、1.0では規格上はどこが発行した認証書でもすべてのモールで使用できるようになる。(現状ではJCBのモールで買い物をするにはJCB用の認証書をそれぞれ取得しなければならない)
このまま行くと、全世界で6億人以上いると言われるVISA・マスター両社の会員を一気にユーザーにすることが出来、一躍世界標準になる。顧客側はインターネット上で買い物をする範囲が広がることになるし、店舗側は支払いを受けつけるために多くの規格に対応する必要がなくなるし、クレジットカード会社は利用が増えることにより手数料収入の増加が見込める。先ほどのサイバーキャッシュもSETに対応することを表明しており、カード決済の部分では行くところ敵なしに見える。ところが問題点はある。専用の暗号化ソフトをインストールしないと使えないことから、気軽に使えるSSLに現状押されつつあるのだ。セキュリティーを気にする人はSETでも使わない、気にしない人はSSLでも使うというのが現実であるのかもしれない。重要なのは購買者側の意識なのか。
戻る
卒業論文のページへ