見出し画像

#6 クレジットカード決済の国際標準仕様〜EMVCoとEMV仕様の話〜

yota@決済業界の人

はじめに

前回クレジットカード決済の仕組みとしてオーソリ/クリアリングの概要を説明しました(#5)。今回はICカード取引の国際標準仕様の話です。

決済端末とICカードの間ではさまざまな処理が実行され、その結果と生成した暗号文をオーソリに載せ、カード発行会社が認証する、という流れになりますが、仕様は国際標準で定められています。

注)「#4 クレジットカード(板)の仕様」で触れた通り現在はカードへICチップの搭載が義務化されており、発行されているクレジットカードは全てICカードとなっている前提です。

EMVco、EMV仕様とは

ICカード取引の国際標準仕様はEMV(=EMV仕様)と言い、EMVCo(イーエムブイコ)という組織が維持管理しています。EMVCoはAmerican Express、Discover、JCB、Masercard、UnionPay、Visaで組成されています。

EMVCoについて

ちなみにEMVはEuropay、Mastercard、Visaの頭文字をとったものです。(Europayは以前ヨーロッパでMastercardのライセンサーだった会社ですが後にMastercardと合併しました)

EMV仕様の全体像

EMV仕様の全体像をざっくり絵にすると下の通りとなります。

EMV仕様の全体像

EMV仕様は大きく接触EMVと非接触EMV(=タッチ決済)で分かれてます。ポイントは以下の通りです。

・接触も非接触は大枠同様の処理をするが、非接触EMVは決済スピードが求められることから、接触EMVよりも良く言うとスマートな処理になっている(=悪く言うとライトなので一定の金額以上だと接触EMVへ誘導するなど取引制限が必要)

・接触EMV仕様は各社共通仕様だが、非接触EMV仕様は国際ブランドごと別々に仕様が存在している(C-2仕様からC-7仕様のように)。

EMV仕様の処理イメージ

すごくわかりやすくいうと、以下の通りです。

決済端末=アクワイアラ(ACQ)の想いを設定

ICカード=イシュア(ISS)の想いを設定

・利用時に決済端末(=ACQの想い)とICカード(=ISSの想い)でEMV仕様に沿って必要な認証をしたり、会話して取引をどうするか決定する

決済端末とICカードが会話するイメージは下の通りです。

決済端末とICカードの会話イメージ

EMV仕様のフロー

以下が決済端末とICカード間で行われるEMV仕様のフローとなります。端末にカードを差してから本人確認(基本的には暗証番号入力)してオーソリとって取引が完了するまでは数秒程度ですが、実はこれだけの処理が行われているんですね。
(※緑塗りは別記事でもう少し詳しく書いてます)

EMVのフロー

以下にそれぞれの処理の概要を簡単に説明します。カードを挿す、もしくはタッチして決済している間に実はいろんなことしてるんだな、ということがわかります。

なお、非接触EMV仕様は国際ブランドごとに異なりますが、現段階では先述の通り接触EMV仕様をライトにしたものと覚えておけば良いかと思います。

1.Reset & Answer to Reset(リセット&応答)

EMVのカードかをチェックし端末の前回の取引ログをクリアする

2.Application Selection(アプリケーション選択)

カード/端末間で共通にサポートしているアプリケーションを選択

3.Initiate Application Processing(アプリ起動)

選択されたアプリの起動

4.Read Application Data(アプリ読み出し)

端末がアプリ実行に必要なデータをカードから読み込む

5.Offline Data Authentication(オフラインデータ認証)

カード/端末間でカードが不正に変更されていないかを確認

6.Processing Restriction(処理制限)

取引対象制限(国内取引/国外取引)をチェックする

7.Cardholder Verification(本人確認)

カード/端末間で共通にサポートしている方法で本人確認する

8.Terminal Risk Management(端末リスク管理)

フロアリミットチェック/ランダムセレクション/ベロシティチェックを実施する

9.Terminal Action Analysis(端末アクション分析)

前段の処理結果を端末が分析しこの取引をどうするか決定
(TC:オフライン許可、ARQC:オンライン要求、AAC:オフライン拒否)

10.Card Action Analysis(カードアクション分析)

端末が判定した結果を受け、あらためてカードが取引を判定(端末の判定より厳しい判定に覆すことも可能)

※上記8〜10をまとめて書きました

11.Online Processing(オンライン処理)

カードがオンラインオーソリをするよう判定した場合のみ実施する

12.Completion(完了処理)

完了処理

13.Issuer Script(スクリプト処理)

オーソリ応答電文のコマンドでチップのデータを書き換えることが可能
(オプションの機能)

まとめ

国際ブランドがEMVCoを組成し、ICカード取引の国際標準仕様であるEMV仕様を維持管理しています。このEMV仕様は接触と非接触で大別され、非接触EMV仕様はさらに国際ブランドごとに存在します。

EMV仕様では決済端末(ACQの想い)とICカード(ISSの想い)が必要な認証を実施し、またそれぞれの想いをぶつけて会話し取引をどう扱うかを決定するようなイメージです。

次回以降はそれぞれの処理をもう少し詳しくみていきます。

この記事が気に入ったらサポートをしてみませんか?