Apple Payの仕組みに関する誤解

 (birchtree.me)
1 ポイント 投稿者 GN⁺ 2024-03-29 | 1件のコメント | WhatsAppで共有

デジタルウォレットと「これができるのはApple Payだけ」という神話

  • Apple Payは優れているが、その仕組みについては誤解があるようだ。
  • Apple Payによる支払いでは実際のクレジットカード番号が隠されるため、小売業者が顧客を追跡することを防げるとされる。
  • DPANとFPANの違いを説明している。FPANは実際のカードに印字された番号で、DPANは端末に割り当てられた固有の番号である。
  • DPANはDNSレコードに似ており、Apple Payを使うたびに異なるDPANが生成される。
  • DPANはApple Pay固有の機能ではなく、すべてのデジタルウォレットにおける標準機能である。Google PayやSamsung Payも同じ機能を提供している。
  • Amazon PayやShop Payのボタンも、実際のFPANを小売業者から隠す。
  • 銀行も独自のデジタルウォレットを通じてDPANを使用し、実際の口座番号を保護している。

顧客追跡の問題

  • DPANが取引ごとに変わるという主張は事実ではない。同じ小売業者での連続した取引については、DPANは同一である。
  • DPANは複数の小売業者にまたがる取引データを結び付けて購買傾向を把握することを難しくするが、単一の小売業者が顧客の取引履歴を追跡することまでは防げない。
  • データ漏えい時にはDPANのほうが顧客にとって安全である。DPANは各取引ごとに固有の暗号化バンドルの一部として送信されたときにしか機能しないため、ハッカーは利用できない。

Apple Payの個人情報

  • Apple Payが個人情報を隠すという考えは事実ではない。
  • 実際のApple Pay取引をテストして加盟店レベルのレポートを確認したところ、取引時に請求先住所、自宅住所、氏名、メールアドレスが加盟店に渡される。
  • Apple Pay SDKでは、加盟店が顧客から取得したい個人情報を選択できる。
  • Apple Payの支払いカードが表示されると、そのカードに含まれるすべての情報が加盟店に送信される。

結論

  • Apple Payは優れた支払い手段であり、デジタルウォレットの普及に大きな役割を果たしている。
  • Apple Payが提供する機能は業界内で特別に独自なものではない。DPANは複数の小売業者にまたがる購買追跡を難しくし、データ漏えい時に顧客を保護する。
  • すべての人があらゆるデジタルウォレットの仕組みを知っていると期待するのは非現実的である。このような情報を共有することには価値がある。

GN⁺の見解

  • この記事は、デジタルウォレットに関する一般的な誤解を解消するのに役立つ。特に、Apple Payだけが業界で唯一提供している機能を持つという誤った認識を正している。
  • この記事は、DPANのような技術が顧客のプライバシー保護にどう寄与するかを説明することで、ユーザーがデジタルウォレットをより安全に使えるよう学ぶ助けになっている。
  • 批判的な視点から見ると、この記事はデジタルウォレットが完全なプライバシー保護ソリューションではないことを強調している。たとえば、単一の小売業者による顧客の取引履歴の追跡は防げないと指摘している。
  • 業界にはApple Payと似た機能を提供するさまざまなデジタルウォレットが存在する。たとえば、Google PayやSamsung Payは、ユーザーのクレジットカード情報を保護する類似機能を提供している。
  • 技術を導入する際の考慮点として、ユーザーのプライバシー保護の水準と、その技術が実際に提供するセキュリティ水準を理解することが重要である。DPANを使うことで得られる利点は、データ漏えい時に顧客のクレジットカード情報が直接さらされるのを防げる点にある。

関連記事

1件のコメント

 
GN⁺ 2024-03-29
Hacker Newsの意見
  • Apple PayとGoogle Payの動作原理について、ELI5(5歳の子どもに説明するように)で説明してほしいという依頼がある。ユーザーは、これらのサービスが加盟店や決済ゲートウェイにクレジットカード情報を渡していると考えていたが、Apple/Googleが決済ゲートウェイや決済方式そのものの役割を果たしているような印象も受けている。これらがすべての取引データを収集しており、Apple/Google Payをサポートするために決済端末に特別な対応が必要なようにも見える。しかし別のコメントでは、Apple Payは標準に深く根差していると主張されている。AppleとGoogleの独自要素は何で、なぜこれらのアプリをオープンソースの代替に置き換えるのが難しいのか、NFCチップへのApple/Googleの専用アクセスのためなのか、と疑問を呈している。
    • Apple Payが一般化し始めたころ、あるユーザーは自分の小売決済処理の経験を通じてApple Payを詳しく調べた。当時、Apple Payが業界標準にどれほど深く根差しているかに感銘を受けた。無線通信技術の面でもApple独自のものはまったくなく、これは現在まで変わっていない。一部の加盟店では、Apple Payを意図的に受け付けないようにするため、システムを変更しなければならなかった事例がある(特にCVSが印象に残っている)。これは加盟店が競合する決済システムを差別化しようとした意図によるものだ。投稿者が最近の状況を再確認したことを前向きに評価している。*
    • Apple Payのようなデジタルウォレット取引が、既存のカード番号を使う取引と同じくらい追跡可能である点が議論から抜け落ちている。デジタルウォレット決済が、従来のカードやカード番号を使う決済よりもプライバシー保護に優れていると期待しないほうがよいと助言している。*
    • マット・バーチラーの投稿は、DPAN(デバイスごとの支払い口座番号)が加盟店ごとに異なるという誤情報を訂正している。Appleの公式文書によれば、DPANはデバイスごとにのみ固有であり、カードを削除して再追加しない限り変更されない。したがって、2つの異なるデバイス(例: iPhoneとApple Watch)で同じカードを使う場合は追跡できないが、同じデバイスで異なる加盟店と取引する場合はデータブローカーによって追跡され得ると指摘している。*
    • SSO(シングルサインオン)とモバイル決済は標準インターフェースではなく、なぜ「Googleでログイン」や「Appleでログイン」ではあっても「自分が設定した既定のSSOプロバイダでログイン」ではないのか、という疑問を呈している。また、多くのベンダーやサイトがそれらのうち一部しかサポートしておらず、その結果SSOが実際にはSSOになっていないとも述べている。共通仕様にすべてのベンダーが従うべきであり、そうでなければ将来的には法律でそのような標準が定められるだろうと予想している。*
    • Apple Payが決済時にどの程度個人情報を収集するかは加盟店が決めるものであり、Apple Payはチェックアウト時の情報要求を妨げない。実店舗で買い物をするときにもこうしたことが起きるのか、Apple/Googleが明らかに不要な情報の共有に同意を求めているのか、という疑問を投げかけている。*
    • Apple Payがオーストラリアで開始されたとき、現地の大手銀行はすでに数年にわたり非接触決済の利用拡大に取り組んでいた。Appleが参入して米国式の手数料を要求した時点で、インフラはすでに銀行側によって構築されていた。現地の大手銀行は、顧客からの圧力があまりに強かったため、最終的にApple Payをサポートすることにした。銀行はいまもこれに不満を持っており、規制当局がNFCチップの開放を強制すれば、Apple Payをただちに打ち切るだろうとしている。*
    • Apple Payが取引承認前に支払金額を画面に表示しない理由に疑問を呈している。これはUXの問題ではなく、Appleデバイスが支払い金額を知らないからではないかと推測している。*
    • グルーバーが「これをやっているのはApple Payだけだ」と述べた箇所がどこなのか、という質問がある。投稿者は、グルーバーがいくつか誤っているか、細部を正確に把握していなかったのではないかと指摘している。*
    • Appleはこのようなデジタルウォレットの普及に大きく貢献しており、Apple Payが最初に登場した当時はかなり独特だったが、今では業界内で特別な存在ではないと述べている。初期の他の携帯電話決済システムは、カード番号を直接端末に送信していたことを思い出している.*