はじめに

クレジットカードで決済する際、加盟店によってサイン（署名）を求められたり暗証番号（PIN）を求められます。また最近ではタッチ決済が導入され、かざしておしまいだったりもします。
今回はクレジットカード決済（国際ブランド付きデビット、プリペイドも同様）の本人確認方法の種類と、どのように本人確認方法が決定されているのか、について説明していきます。#6のEMV仕様のフローの「7.Cardholder Verification（本人確認）」のお話です。

本人確認方法が決定される仕組み

取引毎にどの本人確認方法で本人確認するかは#6のEMV仕様の処理イメージで示したとおり、端末とICカードの会話により決定します。

以下の通りでしたが、

・決済端末＝アクワイアラ（ACQ）の想いを設定
・ICカード＝イシュア（ISS）の想いを設定
　
それぞれに対応している本人確認方法をリストアップ（CVM List）して優先順位をつけてあらかじめ設定しておき、取引時Cardholder Verificationメソッドの開始時にリストを付け合わせして決定しています。

本人確認の種類

カードを使っていて経験するのは以下の3択だと思います。

• 暗証番号入力（PIN認証）

• サイン（署名）

• 何も求めれらない

実はPIN認証の種類は大きく分けると「オフラインPIN」と「オンラインPIN」があります（後述）。違いはPINをどこで認証しているかの違いです。国によって推奨される方式が異なるのですが、日本では「オフラインPIN」が採用されています。

最近ではスマホのタッチ決済（代表的なのはApple PayやGoogle Pay）時の本人確認方法としてCDCVM（Consumer Device Cardholder Verification Methodの略）も本人確認方法の一つとなってますが、これはスマホ側で「モバイルPIN」や「指紋（Touch ID）」や「顔認証（Face ID）」で本人確認を済ませているものになります。

オフラインPIN認証

暗証番号を打って誰がどう認証しているかなんて気にする人はほぼいないと思いますが、日本で採用されているオフラインPIN認証方式は、端末（PINパッド）に入力されたPINをICカードに送って、ICカードに設定されているPINと認証する方式となります。

さらにオフラインPIN認証には「オフライン暗号PIN」と「オフライン平文PIN」と種類がありますが、ICカードの公開鍵でPINを暗号化しているかどうかの違いです。現在ではオフライン暗号PINを採用することが求められています。

また、暗証番号を一定回数連続で間違えると、カードが使えなくなります。

「暗証番号3回ミスるとカード使えなくなるよ」

とよく言われるヤツです。確かに連続ミスした際にカードが使えなくなる回数はPIN Try LimitとしてICチップに登録されています。回数はイシュアのポリシー次第なので必ず3回と言うことはありません。

PINはICチップの中に設定されているためカードが使えなくなった場合や、暗証番号を変更したい場合にカードの再発行が必要となるのもこのためです。

オンラインPIN認証

端末（PINパッド）に入力されたPINをオンラインオーソリにのせて、イシュアホストでPIN認証をする方式です。

サイン（署名）について

本人確認方法で署名が選択された場合に、サインを求められることになります。最近では電子パッドに署名するパターンや、多いのは飲食店ですね。ただ、この署名ですが国際ブランドの多くがルール上は任意としていて加盟店の裁量に委ねています。2025年3月以降は国内においても任意とし、署名は取得しないことを推奨しています。

また先述した飲食店で多くある署名ですが、これはEMV仕様上の「PINバイパス」という機能で実現しています。これは端末とICカードでオフラインPINと決定した本人確認方法を強制的に署名に倒す機能です。PINバイパスは署名の任意化に伴い2025年3月までに廃止する方針で、飲食店はモバイル型の決済端末を導入するなどして対応が求められています。

実はこれらはクレジットカード協会（JCA）のセキュリティ対策協議会で議論され、経産省が公表してたりします。

https://www.meti.go.jp/press/2022/03/20230315001/20230315001.html

何も求められないパターン

署名も暗証番号を求められないパターンはどうなってるんでしょう。
一応ルール上は本人確認を取らなくてもいいよと言うリミットが定められていてこのリミットをCVMリミットと言います。

• 非接触EMV（タッチ決済）におけるCVMリミット

接触EMVと非接触EMVで仕様が異なることは#6のEMV仕様の全体像で説明しましたが、非接触EMV（タッチ決済）の場合は端末にCVMリミットが設定できるのでCVMリミット以下の場合は本人確認を取らないということが実現できます（そもそもCardholder Verificationの処理に入らない）。

しかしCVMリミット超の場合、タッチ決済では日本で採用されているオフラインPIN認証ができないため（PIN入力する時にはすでにカードが離れているため）、オフラインPIN認証可能な接触EMV取引へ誘導（接触移行）することが求められます。これはSwitch Interfaceという機能を採用して実現するか、取引を中断して「接触で取引してください」と案内することで実現することになりますが、困難な場合は署名もやむなしとされています（非接触EMVは国際ブランドにより仕様が異なるのでルールを統一するのも難しいのですよね）。

• 接触EMVにおけるCVMリミット

上の"本人確認方法が決定される仕組み"の図中のCVM Listに「NoCVM」という本人確認方法がありますが、これはどれにも当たらなかった場合に何もせず本人確認の手続きを終了すると言う意味合いになります。

非接触EMVと違って、CVMリミット以下だった場合に「本人確認の処理に入らない」ということができないのが接触EMV仕様です（=必ずCardholder Verificationの処理を通る）。

基本的に有人の決済端末であれば署名に対応している中、端末とカードでCVM ListをぶつけてどうやってNoCVMにしてるの？という話になりますが、これは以下で実現することができます。

　・カーネル（決済するためのソフトウェア）を2つ組み込む（Kernel1と2）
　・内1つのカーネルはNoCVMにしか対応させない（Kernel 2）
　・CVMリミット以下の場合はNoCVMカーネルを動かすことでNoCVMに倒す

このような端末をSKC端末（セレクタブルカーネル）と言います。これに対応できない端末では基本的に全件何かしらの本人確認が取られるのが実情です。

補足ですが、NoCVMにしか対応していない端末（上図のKernel 2しかないような端末）というと例えば最近自販機についている決済端末があったりします。

まとめ

クレジットカードの本人確認はEMV仕様のCardhokder Verificationの処理で規定されていて、本人確認方法は端末とICカードの会話（CVM Listをぶつける）で決定します。

日本ではPIN認証の方法としてICカードと端末間で完結するオフラインPIN認証が採用されていて、これはPINバイパスという機能を使えばPIN認証をスキップして署名に倒すことができるものの、これも2025年3月以降の署名の任意化とともに廃止されるため飲食店含め対応が求められています。

最後の本人確認をしない場合の話はちょっとわかりにくかったかもしれませんが、CVMリミットというのが定められていてリミット以下であれば、本人確認をとらなくてもいいよというルールがあって、それを実現する方法も接触EMVと非接触EMVで違うんだなということをまずは知っておけば良いかと思います。