QRコード決済はなぜ注目されるのか。セキュリティから考えるQRコード決済

QRコード決済が注目されています。大規模なプロモーションや海外での普及に隠れて見落とされがちですが、QRコード決済の特徴はセキュリティ特性と、そこから来るコスト構造の違いにあります。

(この記事は、2018年3月にFacebookに投稿した内容に加筆・修正したものです。)

多くの人にとって意外だと思いますが、QRコード決済の最大の特徴はセキュリティの高さにあります。QRコード決済は非接触IC決済より高いセキュリティを実現でき、このため運用コストを大きく削減して、ビジネス上の自由度を高められるのです。これが、中国で成功した技術的理由です。どういうことでしょうか。

非接触IC決済の弱点は「セキュリティ」

交通系ICカードのような非接触IC決済では、ICカードリーダーを細工することで、店舗が金額をごまかすことができます。そして、利用者はその場でそのことに気づくことができません。店舗側は、100円を決済する振りをして、10000円を決済することができるのです。非接触IC決済は、こうした不正を原理的になくすことができないのです。

では、日本の決済業者は、こうした技術的限界をどのように解決しているのでしょうか。その一つは、「店舗への信頼」です。決済事業者が店舗を審査し、店舗で問題が起きたときに決済事業者が保証することで、セキュリティ上弱点を抱える「非接触IC決済」を成り立たせているのです。このことはこの仕組みが個人間決済では使えないこと、店舗網を拡げるのが難しいということを意味しています。

また、非接触IC決済では、決済金額を少額に抑えることで、リスクを抑えている面もあります。決済金額が少ないほど、攻撃者が攻撃するハードルが上がるからです。しかしこのことは、非接触IC決済が、高額の決済に利用できないという問題にもつながっています。

QRコードのセキュリティ上のアドバンテージ

これに対して、QRコード決済では「店舗側や店舗側で使っている機器が信頼できなかったとしても、決済が安全に保たれる」という特徴があります。

このため、加盟店の審査が不要で与信コストが要らず、運用コストを大きく下げることができます。また、特殊なハードウェアが不要なので、システム全体の価格を抑えることができます。こうしたコスト構造の結果、今起きているのは、国内でも個人商店を中心にQRコード決済のみに対応する店舗が増えつつある状況です。

また、QRコード決済は、個人間や企業間の決済に応用可能だし、技術的には高額の決済に安全に利用することができます。これは非接触IC決済の技術的特性上実現できることではありません。

QRコード決済のこれから

非接触方式には、利用者の操作が少ない、決済が非常に速いという特徴があり、すでに普及した非接触IC決済が縮小していくとは思えません。ただ、非接触方式の超絶速い決済速度が活かされるのは、鉄道の改札とコンビニ、スーパー、ファーストフードといったものがメインで、これについてはすでに100%近く導入されています。一方、お店で服を買うとき、飲食店で食事をする時、非接触方式ほどの決済速度が求められているわけではなく、むしろ、セキュリティ面でのアドバンテージが、手数料の安さや決済金額の自由度などで活かされる場面が大きいのではないかと思います。

もちろん、日本での「現金」に対する信頼の高さ、個人商店で買い物をしなくてもフランチャイズチェーンや大規模なショッピングモールだけで買い物が済んでしまう環境といった懸念事項はあります。また、クレジットカードが普及している国では、クレジットカード(非接触IC決済と同じように店舗への与信が前提)との比較も問題になるでしょう。端的に言うと、「店舗」への信頼や「現金」への信頼が、QRコード決済の競争相手になるということです。

しかし、技術的特性を考えると、戦略的な手数料設定や企業間取引への応用等、盛り返しのチャンスはまだあるのではないかと個人的には思います(もちろん、QRコード決済事業者がこういうグランドデザインを描いていればの話ですが)。

セキュリティがビジネスの主役になる時代

さて、QRコード決済の話を書いていて思うのが、ビジネス設計とセキュリティが密接に関係しているということです。私たちが当たり前のように使ったり、作っているサービスでも、気づかないうちにセキュリティの限界に縛られていて、それが理由で利用者が不便を強いられたり、コスト構造にビジネスが縛られているケースがあります。こうした限界を乗り越えてイノベーションを起こしていくためには、セキュリティの知識が不可欠になってきています。QRコードやブロックチェーン、OAuth、分散認証技術は、そうした事例の一つに過ぎません。

情報セキュリティというと、さまざまな脅威から情報を守る「守り」のイメージがあると思いますが、これからはビジネスの設計そのものにセキュリティを組み込んだ「攻めのセキュリティ」が求められているのです。企業としてはそれに対応できる体制を構築していくことが急務ではないかと思います。