W3C、決済認証の効率化技術を進化させる
Secure Payment Confirmation(SPC)が勧告候補として公開されました
Read testimonials from W3C Members
https://www.w3.org/ 2023年6月15日 – World Wide Web Consortiumは本日、ウェブチェックアウト時のユーザー認証の合理化と決済セキュリティの強化を支援する新しいブラウザ機能のマイルストーンとなる標準技術を発表しました。Secure Payment Confirmation(SPC)により、加盟店、銀行、決済サービスプロバイダー、カードネットワークなどは、強固な顧客認証(SCA)の摩擦を軽減し、欧州の決済サービス指令(PSD2)などの規制要件で重要な、ユーザーの同意を証明する暗号化された証拠を作成できるようになります。これはヨーロッパにおけるPayment Services Directive (PSD2)などの支払い等の規制要件を満たす重要な側面も持ちます。
SPCが勧告候補として公開されたということは、その機能セットが安定し、幅広いレビューを受けているということを示します。W3Cは本バージョンのSPCを勧告に進める前に、さらなる実装経験を求めてゆきます。
強力な顧客認証に対する需要の高まりに応える設計
過去15年間、小売業全体の売上高に占める電子商取引の割合は増加してきました。新型コロナウィルスのパンデミックはこの傾向を若干加速させたと言われています。そして対面での決済セキュリティやその他構造の改善により、オンライン決済の不正行為は増加の一途をたどっています。
オンライン決済の不正行為の増加に対抗するため、ヨーロッパやその他の地域では、一部の種類の決済に多要素認証を義務付けるようになりました。その多要素認証は不正行為を減少させますが、チェックアウトの摩擦が増加する傾向もあり、カートの放棄につながる可能性があります(例:PSD2におけるSCAに関するマイクロソフト加盟店の経験)
2019年、Web Payments Working Groupは、チェックアウトの摩擦を抑えながらStrong Customer Authentication (強力な顧客認証要件)の要件を満たすためにSPCの取り組みを開始しました。StripeはSPCの初期実装のパイロットプログラムで実験を実施し、2020年3月にワンタイムパスコード(OTP)と比較してSPC認証によりコンバージョンが8%増加し、同時にチェックアウトが3倍速くなったことを報告しました。
W3Cは、そのパイロットプログラムを通じてSPCに関するフィードバックを受け続けています。Web Payments Working Groupは、2023年9月までに、より多くの実験データが利用可能になると予想しています。
業界連携によるSPCのメリット
Web Payment Security Interest Group では、W3C、FIDO Alliance、EMVCo が相互運用可能な技術仕様の開発を通じて、オンライン決済のセキュリティ向上を追求しています。SPCはWeb Authenticationの上に構築され、EMV® 3-D Secure(バージョン2.3)とEMV® Secure Remote Commerce(バージョン1.3)の両方でサポートされています。詳細は、Web Payment Security Interest Groupの発行するHow EMVCo, FIDO, and W3C Technologies Relateをご覧ください。
SPCはカード決済のためだけのものではありません。Web Payments Working Groupでは、オープンバンキングやPIX(ブラジル)など、他の決済エコシステムや独自の決済フローにSPCをどのように組み込むかについて定期的に議論しています。
Web Payments Working Groupの共同議長であるNick Telford-Reed氏は、本勧告に際して下記の通り述べています。「セキュリティを向上させながら人々がオンラインで簡単に支払いができるようにすることが、2015年にWeb Payment Working Groupを発足して以来の私たちのビジョンでした。安全な支払い確認とは支払い方法、プラットフォーム、デバイス、ブラウザ等を網羅して買い物客を認証する共通の方法がを初めて存在することを意味します。これはW3C Payment RequestとFIDOアライアンス、そしてEMVCoの取り組みの成功の上に成り立っているのです。」
SPCで当日に出荷を
SPCではWeb認証の上に「ユーザー同意レイヤー」が追加されます。取引時にSPCはブラウザによって管理される「取引ダイアログ」を通じてユーザーに支払条件への同意を促します。本報道発表冒頭の図は、その取引ダイアログがChrome上で実装されているものを示しています。取引内容はユーザーのFIDO認証機能によって署名され、銀行やその他の当事者は認証結果を暗号的に検証できるため、ユーザーは支払い条件 (PSD2で「ダイナミックリンク」と呼ばれる要件)に同意したことを確認できます。EMV® 3-D Secureやその他のプロトコルを使用して、この検証のために認証結果を銀行やその他関係者に送信できます。
SPCは現在、MacOS、Windows、AndroidのChromeとEdgeで利用可能です。Web Payments Working Groupは勧告候補期間中に、他のブラウザや環境での実装を模索します。
World Wide Web Consortiumについて
W3Cの使命は、世界中全ての人がウェブをオープンな環境でアクセシブルに利用し、相互運用するための標準技術とガイドラインを策定してウェブを最大限に活用することです。今や多くの人が知るHTMLとCSSはウェブサイトが構築される基盤技術として広く認識されています。私たちはウェブアクセシビリティや国際化、セキュリティ、またプライバシーの領域で社会のニーズを満たすべく、W3Cが策定する全てののウェブテクノロジーの議論と開発を日々行なっています。またW3Cは、ウェブが使用されているエンターテインメント、通信、デジタル出版、金融サービスなどの分野でも、ビジネスのためのインフラとして世界標準の技術を提供しています。それらの技術はオープンに製作され、無償で提供され、W3C独自の特許方針の下で全ての人に公開されています。
400を超える会員と各産業の数千もの技術者が、W3Cのビジョンである「One Web」を創り上げています。W3Cはアメリカ合衆国に設立された公益法人であり、理事会が主導し、全世界にスタッフを要する非営利組織です。詳細はこちらをご覧ください。https://www.w3.org/
End Press Release
Media Contact
Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.453.8943 (US, Eastern Time)
EMV® is a registered trademark in the U.S. and other countries and an unregistered trademark elsewhere. The EMV trademark is owned by EMVCo, LLC.
