決済用コード統一規格「JPQR」の実証事業が8月1日からスタートします。乱立するバーコード決済『○○Pay』をひとつにすることで、キャッシュレス化は進むのでしょうか。また、消費者にとっても、店舗にとっても、より便利に、そして双方のセキュリティは担保されているのでしょうか。
SSLの目線で決済用コード統一規格「JPQR」を検証したいと思います。
統一QRは乱立する「〇〇ペイ」の救世主になるのか?
政府は決済用コードを統一することで、店側の負担を軽減し、QRコード決済の拡大につなげたい考えです。8月1日から2020年1月31日まで、岩手県、長野県、和歌山県、福岡県においてJPQRに準拠したコード決済を導入し、それを通したキャッシュレス化の進展を検証します。
この実証事業は、総務省所管の元に凸版印刷が主導し、コンサルティング事業者としてトーマツ、店舗売上一括管理画面提供事業者としてマネーフォワードが参加します。また、この事業に参加する決済事業者は以下の9社(かっこ内は提供している決済サービスの名称)です。
●NTTドコモ(d払い)
●Origami(Origami Pay)
●KDDI(au PAY)
●福岡銀行(YOKA!Pay)
●PayPay(PayPay)
●みずほ銀行(J-Coin Pay)
●メルペイ(メルペイ)
●ゆうちょ銀行(ゆうちょPay)
●LINE Pay(LINE Pay)
SSLが『スマホ決済サービスの利用状況についての調査』で、複数あるスマホ決済アプリ(サービス)をどのように使い分けているか調査した結果、一番多かった回答が「利用できる店舗が違うので、お店ごとに使い分けている」でした。
JP QRによって、店舗は大きな負担なく多様な決済事業者を導入しやすくなります。
決済事業者にとってはどうでしょうか。
例えば、まだまだ店舗未開拓でこれから導入店舗を増やしたいサービスや、スマホ決済市場に新たに参入したサービスにとっては、JPQRは店舗開拓の手間が省けるうえに、すでに開拓してくれているサービスに"タダ乗り"できるわけですから一石二鳥です。
しかし、JPQRがスタンダードになるにはいくつかの壁が立ちはだかっています。
例えば今回参加を表明しているPayPayですが、大規模なキャンペーンの甲斐もあって既に多くのユーザーと店舗を獲得しています。ですからPayPayでは、2つの方式のうち利用者提示型のみをJPQRに対応し、店舗提示型に関してはこれまで店舗に配布してあるQRコードスタンドを利用するとのこと。
また、楽天ペイ、Amazon Pay、Apple Payといった既に多くの加盟店やコアなファンを持つサービスは事業に参加していません。おそらく、すでに店舗開拓ができているのでJPQRに参加する必要がないということなのでしょう。
JPQRがスタンダードではなく、"数ある決済サービスの1つ"にならないための展開方法に、今後も注目したいと思います。
中国で詐欺が横行した偽造QRコード決済。日本もセキュリティは丸投げか?
もうひとつこの事業で気になるのが『セキュリティ』です。
ご存知の通り、QRコード決済は大きく分けてふたつの方法があります。
ひとつは、客側がスマホでアプリを起動し、自分のQRコードを表示して店側に提示し、店側がコードリーダーでスキャンして、金額を送金するタイプ。もうひとつが、店側が印刷されたQRコードを掲示して、客側がそれを自分のスマホでスキャンして金額を入力するタイプです。
今回、8月の決済用コード統一規格「JPQR」が実証事業として行うのは後者の「店舗提示型」のQR決済を順次JPQRに切り替えていくようです。
以前『モバイル決済大国中国・都市部の実態を上海・重慶で徹底調査 現地住人のモバイル決済生活から見えてきた中国の「今」』(https://smartsoundlab.com/2018/06/000024.html)でご紹介した通り、キャッシュレス大国の中国でもこの「店舗提示型」のQR決済が至る所で使われていました。コンビニや飲食店はもちろん、市場や露店、さらにはホームレスが募る寄付も「店舗提示型」のQR決済です。
しかしこの「店舗提示型」のQR決済には、セキュリティの脆弱性という弱点があります。偽のQRコードを印刷し、店舗が掲示しているQRコードの上に貼り付けるという手口で、中国の広東省だけで被害額55億円という試算が出て、中国では社会問題にもなりました。
それにもかかわらずなぜ日本は、この「店舗提示型」のQR決済を事業化したのでしょう。また、課題となるセキュリティについてはどのように対策しているのでしょか。
一般社団法人キャッシュレス推進協議会が発行している『コード決済に関する統一技術仕様ガイドライン 店舗提示型』によると、静的QRコードにおけるセキュリティに関して、以下のような記述があります。
「契約店における印刷済みの静的Q Rコードの適切な管理が不正利用防止のためには重要になってくる。コード決済事業者は、かかる静的QRコードの不正な貼り換え、偽造等に対する必要な対策を行わなければならない。 具体的には例えば、静的 QRコードを容易に複製することが難しいパネル・特殊な用紙等に印刷する、設置してある静的 QRコードの上に別の静的 QRコードが貼られていないか契約店に定期的に確認するよう指導する、定期的に契約店が自分で決済をしてみてその正当性を確認するよう指導する、といった手段が考えられる」
また冒頭で本事業の概要について触れた通り、今回の事業は凸版印刷が請け負っています。静的QRのセキュリティ対策について、同社の印刷技術の活用について広報に問い合わせてみましたが、本事業において、同社の役割はプロジェクトの全体統括(管理、発行、広報、事務局)で、印刷技術を活用する予定は今の所ないという回答でした。
つまり、静的QRコードの決済においては「各店舗で対策をとり、安全に運用する」というになります。
JPQRの仕様書で、【想定される静的QRコードの不正利用例】として、盗難や詐欺、ハッキングなどの事象が想定されると記載がありました。
その上で、この「店舗提示型」のQR決済を選んだ理由は、店舗側の負担が一番少なく、一番早く整備ができるからでしょう。
また「店舗提示型」のQR決済の最大のメリットは、店舗側の設備投資がいらないことです。店舗側にレジやスキャナーなどの設備投資がかかってしまっては、QRコード決済が使える店が限られてしまいます。個人商店などの普及は特に難しくなるでしょう。
中国でキャッシュレスが急速に浸透した理由の一つには、店舗がQRコードを貼るだけ、という最も手軽で安価な方式によって店舗側のインフラが最速で整ったことが挙げられます。
果たして、岩手県、長野県、和歌山県、福岡県でキャッシュレスが加速するのでしょうか。
SLLでは今後も実証実験を追跡調査し、レポートしていく予定です。
