鈴木淳也のPay Attention
第59回
生体認証+決済の可能性を考える。IDEMIAの最新ソリューション
2020年8月25日 08:30
今回はIDEMIAというフランスの会社の概要を紹介しつつ、同社が最近注力している「生体認証」「決済」「デジタルアイデンティティ」の最新事情を追いかけてみたい。IDEMIAは2017年にセキュリティ製品を手がけるMorphoとOberthur Technologiesの2社が合併して誕生した企業だが、もともと航空防衛産業を手がけるSafranグループの一部として製品を提供してきた経緯もあり、政府や大手企業など高いレベルでのセキュリティを求められるニーズをカバーしてきた。
日本法人のアイデミアジャパン代表取締役の根津伸欣氏によれば、現在同社には「金融」「通信キャリア」「BDA(Biometric Devices & Automotive)」「デジタル」「パブリックセクター(PSI:Public Security & Identity)」の5つの事業部が存在しているという。
金融はいわゆるクレジットカードやスマートカードの製造販売にあたる。
通信キャリアはいわゆるSIMだが、近年ではeSIMの比率が増えており、昨年2019年11月にはKDDI向けにeSIMソリューションを提供開始したことを発表している。
BDAは従来まで「Connected Objects」と呼ばれていた部署で、今回のメインテーマであるアカウント認証や生体認証デバイスなどを取り扱っている。このほか、「Automotive」というキーワードからも分かるように、車のキーをデジタル対応し、例えばスマートフォンなどでアクセス可能にする。昨今、カーシェアやレンタカーなどシェアリングエコノミーに注目が集まっているが、そうした世界では物理キーを複数人で共有するよりも、時間や人物を特定してアクセス権限を設け、デジタルキーとして管理した方が効率的だ。デバイスとしては生体認証だが、このように根本にあるのはアカウント認証や管理にポイントがあることが分かる。
4つめの「デジタル」というのは分かりにくいが、「デジタルコネクティビティ」「デジタルペイメント」「デジタル認証」の3つの要素が組み合わさった事業で、2020年に新設されたばかりの部署だと根津氏は説明する。
コネクティビティはウェアラブルから車まで、eSIMを搭載するデバイスのサブスクリプションやプラットフォーム管理を担う。M2M(機器間の通信)の世界ではデバイスの稼働期間が10年以上の単位に及ぶことも珍しくないが、そうした場合に「特定のキャリアの消滅」「圏外のエリアが後に出てきて以後の使用に不都合がある」といったケースで特定のキャリアにロックされているよりも、途中で契約変更が可能になる。
ペイメントは「トークン(トークナイゼーション)」で、物理的なPAN(カード番号)のやり取りの代わりに、トークンと呼ばれる一時的な決済情報を提供する。これはApple Payなどでの採用でも話題になった技術だ。
「認証」については、最近日本でも増えつつある「eKYC」のようなオンラインでのデジタルによる本人認証のサービスが該当する。
5つめのPSIについてはIDEMIAの成り立ちからも分かるように、もともと政府系の案件に強いことから現在でも市場シェアの多くを握っている。例えば米国における運転免許証の80%はIDEMIA製だという(米国の運転免許証は州単位で発行されている)。
生体認証においても公共分野に属するものは同事業部での扱いとなり、例えばシンガポールのチャンギ空港では顔認証でのスルーチェックインが可能だが、これにはIDEMIAの技術が用いられている。一方で、この分野はレギュレーションによる影響を強く受ける分野でもあり、欧州であればGDPR対応など、個別の案件に応じた対応が求められる。生体認証におけるデータベースの管理や、監視カメラでの動画解析の仕組みなども同事業部の役割で、ある意味でIDEMIAの成り立ちに近い事業といえる。
生体認証デバイスと決済
ここから先は移転したばかりのアイデミアジャパンのオフィスに設置されたエクスペリエンスセンターから、根津氏の説明を通じて「生体認証デバイス」と「決済」についてみていきたい。同社では入退館の認証デバイスとして「MorphoWave Compact」を設置しており、これを実際に体験してみた。
Morpho時代に提供されていた非接触型の指紋認証装置をコンパクトで導入しやすい形にしたもので、米国標準技術研究所(NIST)が市販の指紋認証デバイスとしては判定精度や速度面で他を凌駕したという話の一方で、「同クラスの製品としては驚くほど安価で導入しやすくなっている」(根津氏)ということで、非常に引き合いがあるという。
日本国内においては日本エアロスペース(JAC)が渋谷パルコにあるデジタルガレージのオフィスに導入したほか、アビスパ福岡がチケットレス入場や商品のリモート注文に同デバイスを活用した実証実験を行なっている。
昨今、新型コロナウイルスの影響により接触型指紋認証デバイスを忌諱する傾向があるほか、マスク装着時には顔認証デバイスが利用できないといった問題もあり、工場を中心とした引き合いがあると根津氏は説明する。また、すでに指紋認証デバイスを導入していた組織であっても、MorphoWave Compactに置換するケースがあるという。
デバイスの使い方はシンプルで、手の指を伸ばした状態でデバイスの隙間を左右いずれかに通過させるだけだ。4本指を登録するのは判定精度と速度を向上させるためで、ほぼ一瞬で判定は完了する。登録時も、指を3回程度通過させて本人登録を行なうだけなので、非常にシンプルだ。動画では指を通過させた瞬間に解錠される音が聞こえるので、ぜひ見てみてほしい。
この仕組みはアクセスコントロールだが、それを決済に応用することはできないのだろうか。日本でもLiquidのように生体認証決済アピールするベンダーがあるほか、富士通やイオンが実証実験の様子を見ている。
実際、筆者は2010年代前半にスペインのバルセロナで開催されていたMobile World CongressのVisaブースを訪問していたとき、MorphoWaveで商品決済を行なうデモを何度か見た。ただ根津氏によれば、それは正確には決済ではなく「認証が通れば接続されているコーヒーマシンからコーヒーが提供されるもの」ということで、いわゆるオープンループの決済とは異なるという。
「例えば顔認証ではパナソニックがファミリーマート佐江戸町店であったり、NECが三田のオフィスのセブンイレブン店舗で実証実験をやっていますが、割とハードルが高いです。1つは誤認識の問題で、データの母数が数十万とか数百万になったとき、どう個人を特定するのかということです。時間がかかっては意味がないですし、膨大なデータベースから特定の人物を抽出してオーソリをまわすと割と時間がかかります。実証実験で行なわれる数百や数千レベルでは問題なかったとしても、その後データが多くなったときにどうするかが問題になるでしょう。アイデアとしては、決済に至るまでにいかにデータを絞るかという点で、例えば店舗に入ってきた段階で監視カメラを使って本人をある程度絞り込んだり、Bluetoothのような仕組みを使う手もあるでしょう。データベースの管理の問題もあり、例えばインドのように国民全員の生体データベースを取得している国もあり、そうした場所では行政サービスや銀行サービスが生体認証を通じて利用可能です。1つ具体的なケースでいえば、昨年に米国の24 Hour FitnessにMorphoWaveが商用サービスとして何店舗かに入った事例があります。フィットネスクラブですから、来訪者は手ぶらでやってきて、あらかじめ作成しているアカウントで入館したり、登録済みの決済情報から買い物が可能になるわけです。米国ではほかにボストンにある大学のカフェテリアで指紋認証を採用している事例もあります。いずれにせよ、クローズドループにおける指紋認証決済は可能性がある一方で、すべての制限を取っ払ったオープンループの運用は商用ではまだまだ難しいのが現状です」(根津氏)
生体認証はデータ管理の難しさもある。先ほどチャンギ空港での顔認証採用事例を紹介したが、これはシンガポールのレギュレーション(規制当局)が許可させたからであって、GDPRのある欧州では非常に利用しにくい。そのシンガポールでさえ、空港が認証時に一時的にデータを保管するが、当該の飛行機が出発したら即データ削除を行なっているとのことで、誰しもがリスクと隣り合わせのデータを保持し続けたくないのが現状だ。
さまざまなスマートカード
エクスペリエンスセンターに設置されたデモ機はまだ設定中で稼働しているものが少なかったが(筆者がオフィス取材したときは在宅勤務が中心で根津氏と広報担当者がいただけで、顧客訪問も無かったと思われる)、IDEMIAの1つめの事業である「決済カード」の展示に面白いものがあったので、いくつか紹介しておきたい。
1つめは、最近Apple Cardなどでも採用されて話題になっているメタルカードだ。メタルカードではフレームの一部に金属素材が使われており、高級感や剛性が高い点に特徴がある。一方で、カードそのものをメタル素材で覆ってしまうとEMV Contactlessで必要となるアンテナを通じた誘導電流による非接触でのチップ起動が行なえなくなるため、片面または両面を従来のプラスチック素材で覆い、本当に“枠”の部分のみメタル加工を施すのが主流だ。
2つめは指紋認証つき非接触カードだ。日本ではNFC Payの決済で1万円まではPINレスで買い物が可能だが、欧州では4,000-5,000円程度の上限と低めの設定になっており、割とすぐにPINを要求されてしまう。
非接触決済のルールで「指紋認証など物理カードと何らかの別の手段で2要素認証が成立する場合にPINを要求しない」というものがあり、Apple Payなどの場合はTouch IDやFace IDを組み合わせていることを理由にPINレスでの決済上限が存在しない。
同様に、通常の物理カードにおいても指紋認証によるロック解除の機能があればPINレスでの買い物に加え、さらに安全性が向上するというメリットがある。問題は、NFCの誘導電力のみで指紋認証デバイスを動作させられるかという点だが、それを実現しているのがこのカードだ。
3つめは、オンラインでの買い物の安全性を高めるカードだ。カード番号や有効期限などは記載されておらず、時間で変化するセキュリティ番号(CVV)のみが画面で表示されるシンプルな作りで、オンライン決済での利用を想定している。一種のワンタイムパスワードにおけるトークンに近いが、そのまま通常のクレジットカードやデビットカードと同じ使い方で利用できる点に特徴があり、特に3Dセキュアなどの他の認証要素を必要とせずに安全性を高めることができる。