鈴木淳也のPay Attention

第133回

クレカのタッチ決済、上限金額の謎

スペインのバルセロナにあるボケリア市場の入り口

今回のテーマは「NFCのタッチ決済(Contactless)」だ。日本でもチェーン店を中心にクレジットカードやデビットカードの国際ブランドを使った非接触決済への対応が一般的になってきており、Airペイといった中小向けの決済ソリューションにおいても対応が進んでいる。筆者の持つ銀行ATMカードの1つも最近Visaのブランドデビットへと切り替わったが、このようにVisaカードを中心に発行済みカードの非接触対応が進み、より身近な決済手段となりつつある。

実際、世界中でこの傾向は強くなっている。現在、IngenicoやVerifoneといった大手決済端末メーカーの機器のすべては基本的にNFCに対応し、欧米豪などを中心に発行カードのほとんどはNFC対応をうたっている。これは2020年のコロナ禍突入以降さらに顕著となり、例えばVisaが昨年2021年に出したデータで非接触決済は米国において前年比30%増の成長カーブを見せているという。

このタイミングで非接触が伸びた理由の1つには、各国で同決済におけるルールが緩和されたことが挙げられる。

NFCの非接触決済では、カードを“タッチ”するだけで支払いが完了し、PIN入力を求めない。セキュリティ上の理由から、“タッチ”のみで支払える金額の上限が設定されており、“基本的に”国ごとにルールで定められている。接触機会を減らすという目論見もあり、この上限金額を「引き上げる」ことで使える場面を増やしたというわけだ。

結果、制限を大幅に緩和した欧州においてその伸びが顕著であり、Visaは昨年4月に同地域において年間10億トランザクションを非接触で処理したと発表しており、そのうち4億は最も緩和幅の大きかった英国において処理されたと述べている。

詳しくは後述するが、英国では昨年10月に従来の上限値である45ポンドから100ポンドへの引き上げを行なっており、引き上げ直前の9月と引き上げ後の10月で平均決済単価が11.86ポンドから15.30ポンドと3割ほど上昇したことが報告されている。利用機会を増やせば、それだけ利用する人も利用金額も増えるというごく自然な流れだ。

ボケリア市場内部の様子。これら店舗の多くが現在ではNFCの非接触決済対応となっている(写真は2019年撮影)

非接触決済の“リミット”

ケータイWatchに石野純也氏が投稿した「MWC取材のお供として大活躍したGoogle PayとApple Pay」では、同氏がバルセロナ滞在中にApple PayとGoogle Payを駆使して「物理カードなし」でも店頭の支払いが行なえて便利だったという最新の現地事情が紹介されている。

店頭では両モバイルウォレットサービスともに「非接触のタッチ決済」しか行なえないため、それだけ対応店舗が多かったことの証左でもある。一方で、タッチ決済を行おうとして「拒否」されるケースも少なからずあり、それが金額によって変化することから「40ユーロから60ユーロあたりに、OKとNGの閾値がありそうな気がする」と「閾値」の存在に言及している。

これが前述の「国ごとに異なる上限値のルール」というものだ。

各国の金額上限についてはApple PayGoogle Payにそれぞれ解説ページが用意されているが、一覧性が高いという点で今回はGoogle Payのデータを参考にする。なお、実際にページを見比べてみると分かるが、両者の数字が微妙に異なっており一致しない。これはコロナ禍を経てそれぞれの国で異なるタイミングで緩和が行なわれており、それが反映されているか否かが差になっているものと考えられる。

今回のケースでいえばApple Payの方が最新版で、Google Payは若干反映が遅れているとみられるが、本来であれば両者に違いがあるのはおかしいため、実際の利用にあたっては事前の現地情報のチェックをお勧めする。

世界各国における非接触決済(タッチ決済)の上限金額(出典:Google)

この非接触決済における上限値について、「“基本的には”国際ブランドの設定したルール」に基づいて決定されている。ただし国ごとに政府やカード発行会社(イシュア)の意向が反映されるため、例えば共通通貨を導入する欧州おいても一様ではない。基本的には国ごとに上限金額は統一されているが、ウクライナの例を見れば分かるように、MastercardとVisaのブランドで上限金額が異なっており(さらにいうと、この金額は最新の情報を反映していない可能性が高い)、この点で基本はブランドルールということが認識できる。

上限値の見方だが、「“タッチ”動作のみ」で支払える上限金額が表内の数字ということになる。例えば日本円の場合、1万円の決済まではタッチ動作だけで支払いが完了するが、「1万1円以上」になると取り扱いを拒否されたり、あるいはPIN入力や「サイン」を求められたりする。

Airペイなどアクワイアラによっては非接触の上限を超える決済については「サインを求める」よう指導が行なわれているが、今日ではサイン欄の存在しないクレジットカードも普通に流通し始めているため、「照合」という面では本来の役割を果たさない。そのため、そう遠くないタイミングで「別の決済手段(IC)に誘導」または「PIN入力を求める」の2択へと切り替わっていくと思われる。

各国の上限金額を見比べて、一番ルールが“緩め”に設定されているのは英国だといえる。前述のようにGoogle Payのデータは若干古いため、現在の英国の上限は先ほども触れたように2021年10月以降は100ポンドへと引き上げられているが、日本円にして約16,100円。このほか高めの設定になっているのは「100米ドル」が上限といわれる米国だが、データによって「50米ドル」が上限という話もあり一定しない。おそらく、イシュアやアクワイアラの組み合わせによって上限が変化するタイプの可能性がある。

いずれにせよ、日常使いで1万円程度の上限があれば買い物で困るケースはあまりないため、25ユーロとかなり低めの設定が行なわれているイタリアなどでもない限り、この上限で引っかかることは“まれ”だろう

イタリアのミラノ中心部にあるドゥオーモ広場
イタリアの非接触決済金額上限は25ユーロとかなり低い

デバイスによる限界突破と「CDCVM」。1万円以上もOK

物理カードであれば、このような非接触決済の上限に“かかる”支払いであってもICチップでの支払いに切り替えれば対応できるが、スマートフォンやスマートウォッチなどデバイスに登録されたバーチャルカードでは店頭での支払い手段がNFCしか存在しないため、別途物理カードを出さざるを得なくなってしまう。

これを回避する手段として使えるのが「CDCVM(Consumer Device Cardholder Verification Methods)」で、モバイルウォレット経由での支払いにおけるセキュリティを高めるのみならず、前述のような上限を「限界突破」できる手段を利用者に提供する。

具体的には、PIN入力や指紋・顔認証のような本人確認手段を突破した状態でデバイスを非接触読み取り装置に近付ければ、設定された上限金額を無視してICチップを利用した場合と同等の扱いで決済が行なわれるというものだ(もちろん、突然何十万などの金額の決済を行なったりするとカードが止められたりするケースは考えられる)。

Apple Payの場合は標準でこの仕組みに対応しており、Google Payの場合は「画面ロックを解除した状態」にすることでCDCVMが適用される。さらにGoogle Payの場合、上限金額以内の決済であれば画面ロックを解除せずとも「画面がオンの状態」にするだけで支払いが完了する。

また(エクスプレスモード状態の)Apple Payと(画面をオンにした状態の)Google Payともに、交通系サービスについてはCDCVM関係なくバーチャルカードの利用が可能だ。ただGoogle Payではケースごとに操作が変わるのは煩雑という理由もあるのか、イシュアによっては「常に画面ロックを解除して“タッチ”するように」とアドバイスしているケースもある。

Apple Payによる“タッチ”決済
三井住友カードではGoogle Payユーザーに対して「つねに画面ロックを解除して“タッチ”するように」と指導

さて実際にCDCVMを使って上限突破が可能かという点だが、筆者がRevolutのカードをGoogle Payに登録してテストしたケースを別記事で紹介しているので参照してほしい。金額が金額なのでそう毎回試せないのだが、CDCVMの成功例がある一方で、「どうやっても通らない」ケースというのも存在する。そのからくりについて次の項で一例を紹介したい。

RevolutのカードをGoogle Payに登録して支払っている様子
1万円を超える金額をGoogle Payで支払ったケース。CDCVMが成功している

CDCVMが無視されるケース。物理カードはまだ必要

これはファミリーマートのケースだが、このコンビニチェーンでは有人レジとセルフレジの両方が配置されていることが多い。興味深いのは同店におけるNFCによるタッチ決済の挙動で、セルフレジではそもそも決済金額の上限が1万円までとなっており、これを超える金額の支払いはできない。

つまり、物理カードだろうがモバイル端末だろうが、タッチ決済である限りはPIN入力が求められる場面はない。

問題は有人レジの方で、クレジットカード(デビットカード)については物理カードだろうがモバイル端末だろうが、POSレジ側の操作ですべて「クレジットカード」として一様に扱われ、機械的にそもそも両者を判別できていない。この場合、1万円を超える決済についてはPINまたはサインを強制という流れになるため、モバイル端末ではCDCVMを突破していようがいまいが1万円を超える決済で利用できないということになるようだ。

ファミリーマートのセルフレジ

実装によっては、特定のイシュアのカードがオンラインでのPIN入力に対応している場合に(ICチップ上ではなくオンライン側でPINの判定を行なう)、CDCVMを突破したとして上限解除を行なうケースも考えられるが、内部処理が複雑になるため、ファミリーマートのケースのように一律で金額による処理の区分けしてしまうケースが多いのではないかと考える。そのため、前述石野氏の記事にあるようにCDCVMに関係なく「金額で一律に決済が弾かれる」場面に多く遭遇するのではないだろうか。

結論として、いくら他所で問題なく上限を突破できたカードであっても、加盟店やアクワイアラの組み合わせによってはCDCVMを無視した実装が行なわれているケースがあり、ユーザー側から判別するのは難しい。そのため、物理カードを持ち歩くのは現時点において必須であり、「財布を家に忘れてきても大丈夫」ということにはならないと考えておいた方がいい。特に遠出をする際には……。

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)