Appleがゴールドマンサックスと組んでオリジナルのクレジットカードを発行するようです。
目次
はじめに
昨日の、Appleの新製品発表会において、ニュースの定期購読や動画配信サービスのほかに、Appleがゴールドマンサックスと提携して、Apple Cardなるクレジットカードを出すことを発表しました。
さっそく一部のメディアや有識者などの高いキャッシュレス・リテラシーをお持ちの方々が、Appleによる画期的な発明などといっていて、私はずっと前から言っていたなどと悔しい思いをしていたのですが、せっかくなので解説します。
なお、本質的な問題点であるセキュリティについては、GoogleのTitan Mの方が上だと思う。
Google Pixel3の目玉はカメラでもAIでもFelicaでもなくTitan Mなのか
クレジットカードの問題点
さて、Apple Cardの中身というのは、クレジットカードの問題点を解決することにあるわけですが、そこが分かっていないと、このサービスの本質がなんのこっちゃわからないと思うので、まずはそこから。
クレジットカードの最大の問題点というのは、名義や有効期限やカード番号やセキュリティーコードなどの「情報」が流出したら不正利用されるという点です。
年末のPaypay祭りの時の不正利用騒動の顛末から明らかなように、実際に不正利用されているかどうかは別として、多くのカード情報が不正に流出しています。
店頭で悪い店員に盗み見られたり、通販サイトがハッキングされて流出したり、おそらく何十万件というカード情報が流出していて、不正利用されるタイミングを待っています。
オフラインでもオンラインでも、クレジットカードの利用は、常にカード情報流出のリスクに直面しています。
Apple Payという仕組み
その点、Apple PayやGoogle Payのような、クレジットカードを登録してピッとやるだけで済むようなスマホ決済というのはカード情報がスマホに格納され、決済ネットワークには暗号化された状態で流れるので本来的に安全なものです。
もちろん、ワンタイムパスワードのように有効期限付きの暗号化ですから、その暗号情報が流出してもその数字で不正利用するのは不可能となります。
したがって、Apple Payでクレジットカードを利用する限りにおいて、カード情報の流出は起こりません。
とは言え、それだとスマホを拾われたときにどうするのか。
これは、最近ピッとやるだけのクレジットカードやデビットカードが登場していますが、その場合のも起こり得るリスクです。
そこで登場するのが指紋認証や顔認証と言った生体認証と呼ばれる技術で、Apple Payの利用と生体認証を紐づけることで、生体認証をクリアした本人以外はApple Pay(登録したカードカード)を利用できないようにしたわけです。
もっとも、それだと店頭での決済には便利ですが、オンライン上での決済はどうするのでしょうか。
Apple Payのオンライン利用というのは全然普及していませんが、本当はAppleはそこも普及させようとしていて、つまり、Amazonなどで買い物するときも、Apple IDを入力するだけでカード情報を通販サイトに入力しないでも決済できるような仕組みを作っています。
これも、生体認証がパスワード替わりで、通販サイトにApple IDを入力し、手元のiPhoneの生体認証をクリアすることで、決済が完了します。
これだと、カード情報の入力自体がありませんから、流出の危険性がありませんし、Apple IDが流出しても、手許に紐づけられたiPhoneを持ち、生体認証をクリアしないと決済できないので、安全性が確立されています。
つまり、オンラインでもオフラインでも、クレジットカードの最大の弱点は「情報」というソフト部分の流出であるのに対し、iPhoneという現物を利用したハードウェア認証を紐づけることで、物理的なハードウェア現物を手許に持ちかつ生体認証をクリアしない限り、カード情報を持っていても使えない仕組みを作ろうとしています。
では、スマホやアカウントが乗っ取られた場合はどうするのか。
これも技術的に深入りはしませんが、iPhoneの生体認証を制御する部分は他の部分から隔離されているので、遠隔でiPhoneをハッカーに乗っ取られても、生体認証部分には乗っ取った人が手を付けられない仕組みになっています。
ハッカーが他人のApple IDで買い物をしようと企み、最後の認証のところで、その人のiPhoneをハッキングしても、生体認証を乗っ取り遠隔でクリアすることはできないのです。
つまり、Apple Payの場合、原理的にカード番号が流出しない仕組みなっているのに加え、iPhone現物の所持及びその端末上での生体認証クリアというハードルを突破しないと決済できないようになっています。
Apple Payでも防げないこと
そうはいってもApple Payですべてが解決するわけではありませんでした。
なぜかというと、Apple Payは、カード会社から発行されたクレジットカードを登録して使用するからです。
この点、Apple Payにカードを登録しても、Appleサイドではカード情報を保持しません。
それどころか裏側で、登録したカード番号はAppleがカード会社を知るためだけに利用され(そこで破棄される)、Appleから連絡を受けたカード会社が、登録iPhone経由でしか使用できない鍵付きの新規のカード番号を付与し、Appleを通さずにiPhoneのセキュア領域に暗号化した状態で格納するというすさまじい処理をしていて、カード番号の流出を防いでいます。
その意味では、Apple Payによるカード情報の流出はありえません。
しかし、ユーザーの手元にはプラスチックのクレジットカードがあるわけで、そのカード情報は常に不正流出のリスクにさらされています。
では、Apple Payに登録したら、そのクレジットカードはシュレッダーで破棄してしまうのがセキュリティ上は好ましいことになるわけですが、それなら、最初からプラスチックの板なんて要りません。
また、裏側で処理してくれるのならカード番号自体を私たちが知る必要もありません。
ここまで来ると事実上説明不要かと思いますが、それをApple Cardでやると言っているわけです。
Apple Cardのポイント
Appleカードのメインはバーチャルカードです。
つまり、Apple Payのアプリ上からクレジットカードの発行を請求でき、発行されるとそのiPhoneのApple Payで利用できるようになるわけですが、プラスチックカードが発行されることも無ければ、カード番号もユーザーには不明です。
裏側で全てセットされます。
Apple Payでそのカードを利用する場合、カード情報は流通しますが暗号化されていますし、暗号情報が盗まれてもワンタイムパスワードのような有効期限付きの暗号なので事実上利用できませんし、万が一iPhoneがハッキングされても、生体認証部分だけはハッキングされないようになっているので、不正利用しようがありません。
これで、不正利用対策という点は99%完ぺきなApple Payが完成します。
(なぜ99%したかと言うと、万が一ハッカーなどに遠隔からiPhoneを乗っ取られても、生体認証などのセキュアデータは、アカウント管理とは別のセキュリティの高いところに保管されているからハッキング出来ないということになっているのですが、実はそれは仮想領域として隔離された場所であり、iPhoneの場合、物理的にはデータ自体は同じメモリーチップ上にあるからです。その点、GoogleはPixel3で、Titan Mという物理的に完全に隔離した専用のセキュリティチップを作って搭載してきており、生体認証情報はそのチップに格納されることで、原理的に遠隔で操作できないようになっていて、そっちの方が一歩進んでいると思います。技術的な細かいところは分かりませんけど。)
物理カードの発行
とはいえ、Apple Cardは原理上、Apple Payでしか使えませんから、つまり、Apple Pay加盟店でしか使えないことになります。
そこで、Apple Pay加盟店以外でも使えるように、希望者にはチタン製の物理カードも発行することになっています。
しかし、そのカード、カード番号の表示はないし、裏側のサインをする場所はありません。
ICチップはあるので、暗証番号を使った決済に使えるみたいですが、磁気コードは簡単にスキミングされるので、さすがにサインが必要な店舗などでは利用できないということでしょう。
とは言え、4桁の暗証番号だけで使えるのでしょうかね、これ。
だとしたら、Appleはカード発行主体のゴールドマンサックスに押されてかなり妥協したかもしれませんね。
どうなんだろう。
Apple Pay加盟店以外でのICチップを使った決済でも、決済しようとすると、iPhoneに通知が来て、生体認証をクリアする必要があるという仕組みにすべきだと思いますけどね。
詳細が分からないので何とも言えませんが、少なくとも将来的にはいずれそうなるでしょう。
Appleの信念
さて、このApple Card、セキュリティだけではなく、全ての買い物で2%還元という特典だけでなく、Apple Walletアプリと連動して、使用状況などが詳しくわかるようになっているそうです。
そして、カードの使用状況はApple Walletに分かりやすく表示されますが、Appleはそのデータは保持せず、カード発行会社のゴールドマンサックスはさすがに持っていますが、他の第三者に利用させないという決まりになったそうです。
ここは、Appleとゴールマンサックスでやり合ったようですね。
ゴールドマンサックス的には、銀行口座状況などを登録させたり、Apple Walletにユーザーの買い物状況だけでなく資産状況まで反映させ、最近流行りの家計簿アプリなどといって、クレジットカードと合わせてユーザーの行動データや資産データを入手したかったみたいです(推測)。
しかし、Appleの幹部たちが強硬に反対したそうです。
クレジットカードを発行する以上、カードの使用データを保持・利用することは仕方がないとしても、それを第三者に売ることは許さないし、Apple Walletにユーザーの資産状況まで集めたり、それを利用したりするのは言語道断と。
Appleというのは昔からGoogleやFacebookを批判しています。
ユーザーのプライバシー性の高いデータを集めてそれを外部に売るとは何事かと。
以前からAppleという会社は、データ社会には一線を引いていて、様々な場面で個人情報の保護を訴え、プライバシー性の高いデータの収集・保持はしないと強調してきました。
Appleは、Apple Watchに心電図測定機能をつけてきたように、ヘルスケア事業にものすごい投資をしています。
ウェアラブルデバイスで個人の健康状況を24時間モニタリングし、それを医療機関などと連携することで、ヘルスケアに革命を起こそうとしていますが、そういったセンシティブな情報をApple自身は集めないと明言しています。
むしろ、そういったプライバシー性の高い機密情報を、Apple IDなどを経由して様々な機関やデータをシームレスに繋げつつも、機密性をいかに守るかというセキュリティ技術に注力しています。
つまり、Appleという会社が目指しているデータ社会では、様々なデータが連携して社会生活の利便性は向上するものの、個人のプライバシーは強固に守られた社会です。
医療データを集めて、個人個人に最適な保険や医療サービスを提供するなんて、アリババみたいな野望はありません。
データを記録し連携させる基礎技術は開発するが、高度なセキュリティを維持し、どの情報を誰に開示するかは個人が選ぶという社会を目指しています。
アリババのように、ユーザーの様々なデータを集めて、その個人に点数を着けたりするのも、すごいと言えばすごいですが、抵抗がある人も多いと思います。
今日本でも、LINE PayやPaypayなどの多くの企業が、アリババを見習って、やれAIだビッグデータだと大騒ぎして個人情報の収集合戦を繰り広げていますが、個人情報が一か所に集約され、その結果社会が便利になった、めでたいめでたいと、なるのでしょうか。
データ社会における利便性を追求しながらも個人情報の徹底した保護を訴えるApple。
もう一方には、20%還元などを片手に個人情報を徹底的に集めてそれを個人の信用情報にまで高めて、下手すりゃ究極の監視社会を構築しようとするライバルたち。
共産主義国家で、もともと個人情報の保護などなかったような中国はさておき、日本をはじめ先進諸国で、天下を獲るのはどっちでしょうかね。
終わりに
AppleがApple Cardなる新サービスを発表したので解説してみました。
さすがAppleという所でしょうか。
日本でのサービス提供はまだでしょうが、クレジットカード業界にどこまで影響を及ぼすのか楽しみです。
ITを駆使して、ハードドウェアと一体の完璧なまでに安全な決済プラットフォームを作られたら、カード系の金融各社はきついでしょうね。
あと、Apple Cardが発行する物理カードがチタン製のカードということで一部で盛り上がっています。
ただ、一言。
確かに、アメックスのブラックカードのような年会費数十万のプレミアムカードと呼ばれるいくつかの富裕層向けのクレジットカードは、チタン製のカードです。
しかし、カードがチタン製だからと言って、Appleが年会費無料でプレミアムカードを発行するらしい、というのは間違っていると思います。