日本の Apple Pay のセキュリティとプライバシーの概要

Apple Pay は、個人情報、取引データ、および Suica/クレジットカード/プリペイドカード情報を、業界最高水準のセキュリティでしっかり保護します。以下、日本の Apple Pay のセキュリティとプライバシーについてご説明します。

Apple Pay は簡単に使えるだけでなく、セキュリティやプライバシーの面もしっかりしているので安心です。使い方はいたってシンプル。しかも、ハードウェアとソフトウェアの双方に統合的にセキュリティが組み込まれているので、実際のクレジットカードやプリペイドカードで支払うよりも安全です。

また、Apple Pay は個人情報保護の仕組みも万全です。Apple Pay は、個人を特定できるような取引情報を一切収集しません。決済処理は、あなた (利用者)、加盟店 (App 内や Web サイト上で支払う場合は開発者)、銀行/カード発行会社の三者間で完結します。

決済情報を安全に処理する

Apple Pay のセキュリティに万全を期すため、お使いのデバイスにパスコードを設定いただくことが必須となります。また、必須ではありませんが、Touch ID も設定してください。Apple Watch では、手首検出とパスコードもオンにする必要があります。

Suica、クレジットカード、プリペイドカードを追加する時

Suica、クレジットカード、プリペイドカードを Apple Pay に追加すると、デバイスに (手入力またはカメラを使って) 入力した情報、既存のカードから読み取った情報、さらに、デバイスの利用状況に関する情報 (デバイスが移動中の時間の割合、おおよその週間通話回数など) が暗号化されて Apple のサーバに送られます。カメラを使ってカード情報を読み込んだ場合、その情報はデバイスには保存されず、フォトライブラリにも保管されません。Apple は受け取ったデータを復号化してカードの決済ネットワークを識別し、その決済ネットワーク (またはカード発行会社からプロビジョニングとトークンサービスを委任されている認定プロバイダ) だけがロックを解除できるキーを使って再びデータを暗号化します。こうして暗号化されたデータは、iTunes や App Store のアカウントの利用状況 (iTunes 内で長期間の取引実績があるかどうかなど)、デバイスに関する情報 (電話番号、名前、デバイスのモデル、Apple Pay を設定するためにほかの iOS デバイスが必要な場合はそのデバイスについてなど)、さらに、カードを追加した時点の所在地 (位置情報サービスが有効な場合) などの情報と共にカード発行会社に送信されます。

カードの承認が下りると、カード発行会社またはその認定サービスプロバイダが、対応している各ネットワークに対してデバイス固有のデバイスアカウント番号を作成し、各番号を暗号化して、他のデータ (各取引固有の動的なセキュリティコードを生成するために使われるキーなど) と共に Apple に送信します。この情報は Apple では復号化できませんが、各デバイス内にある Secure Element に追加されます。Secure Element は、決済情報を安全に保存するように設計された業界標準の公認チップです。Secure Element 内のデバイスアカウント番号は、各デバイス、および、追加された各クレジットカードやプリペイドカードに割り当てられた固有の番号です。iOS や watchOS とは切り離されていて、Apple Pay サーバに保存されることも、iCloud にバックアップされることもありません。この番号は一意 (ユニーク) で、通常のクレジットカード番号やプリペイドカード番号とは異なるため、銀行やカード発行会社にとっては、磁気ストライプカード、電話、Web サイトを介した不正利用の防止につながります。

Apple Pay で使われるクレジットカードやプリペイドカードの番号を Apple が保管したり入手したりすることはありません。お客様がカードを管理しやすいように、Apple Pay には実際のカード番号の一部とデバイスアカウント番号の一部だけが (カードの説明と共に) 保存されます。

Apple Pay を使って交通機関を利用したり店舗で支払いをする時

Apple Pay では、交通機関の利用や店舗での支払いがスムーズにできるよう、Suica をエクスプレスカードとして設定しておくことができます。エクスプレスカードに設定しておけば、Suica を使って改札を出入りしたり買い物の支払いをする時に Touch ID やパスコードで認証する必要がありません。エクスプレスカードを管理するには、iPhone で「設定」を開いて「Wallet と Apple Pay」をタップします。Apple Watch の場合は Apple Watch App で管理します。

非接触型決済に対応している店舗で Apple Pay で支払う時には、デバイスと決済端末との間の通信に NFC (近距離無線通信) テクノロジーが使われます。NFC は業界標準の非接触型テクノロジーで、近距離でのみ動作します。iPhone の電源が入っていて、NFC の通信エリアが検出されると、まずメインの決済カードが提示されます。クレジットカードやプリペイドカードの決済情報を送信するには、必ず Touch ID またはパスコードを使って認証しなければなりません。Apple Watch では、本体のロックが解除されている時にサイドボタンを 2 回押して、支払いに使うメインのクレジットカードやプリペイドカードをアクティベートする必要があります。こうすることで、Secure Element からデバイスアカウント番号が引き出され、この番号が取引完了に必要な補足情報と共にその店の POS 端末に送信されます。

App 内や Web サイト上で Apple Pay を使って支払いをする時

App 内や Web サイト上で支払いをする時は、決済情報を安全に転送できるよう、Apple Pay は暗号化された状態で取引情報を受信し、開発者固有のキーを使ってそれを暗号化し直した上で、開発者または決済代行業者に送信します。このキーのおかげで、当の App や Web サイトだけが暗号化された決済情報にアクセスできる仕組みになっています。さらに、Apple Pay に対応している Web サイトでは、Apple Pay を支払い方法として提示するたびに毎回、ドメインの検証が必要になります。Apple では、デバイスアカウント番号を動的なセキュリティコードと共にその App や Web サイトに送信します。このため、Apple からもデバイスからも、実際のクレジットカード番号やプリペイドカード番号が App に送信されることはありません。

iPhone や Apple Watch 上の Apple Pay を使って Mac の Safari 上での購入を確定する時には、Apple Pay が購入情報を暗号化した上で Mac と iPhone/Apple Watch 間で転送して取引を完了させます。Mac で Apple Pay を使って支払う機能は無効にできます。この機能を無効にするには、iPhone 上で「設定」>「Wallet と Apple Pay」の順にタップし、「Mac での支払いを許可」をオフにします。

デバイスを紛失したため、カードの使用を一時的に停止したり Apple Pay から削除する必要がある場合は

iPhone、iPad、Apple Watch、または Touch ID 搭載の Mac 上で「iPhone を探す」を有効にしている場合は、即座にカードの利用停止手続きをするかわりに、「iPhone を探す」を使ってデバイスを紛失モードにするだけで Apple Pay を一時的に使えない状態にすることができます。「iPhone を探す」を使ってリモートでデバイスを消去すれば、Apple Pay の Suica、クレジットカード、プリペイドカードによる支払い機能をデバイスから完全に削除することもできます。また、iCloud.com/Settings にアクセスして、デバイスに登録されているカードをすべて削除することもできます。

たとえデバイスがオフライン状態になっていてモバイルデータ通信や Wi-Fi ネットワークに接続していなくても、カード発行会社やその認定サービスプロバイダにより、クレジットカードやプリペイドカードが一時的に使用停止になるか、または Apple Pay から削除されます。また、カード発行会社に電話をして、クレジットカードやプリペイドカードを利用停止にしたり Apple Pay から削除してもらうこともできます。

Suica は、デバイスがオフラインの場合は一時的に使用停止にすることができませんが、「iPhone を探す」でデバイスをリモートで消去するか、iCloud.com でカードをすべて削除すれば削除できます。デバイスがオフライン状態になっている時にデバイスを消去した場合は、翌日の午前 12 時 1 分までは Suica が一部の場所で利用可能な状態のまま残ることがあります。なお、Suica を削除しても残高は回復できます。削除した Suica は、翌日の午前 5 時以降に、同じ Apple ID でサインインしたデバイスに再び追加できます。

プライバシーを保護する

Apple Pay を使い始めたその瞬間から、個人情報を保護するための強力なプライバシー保護機能が働き始めます。Apple では、Apple Pay、iOS、watchOS、macOS に広範なプライバシー保護機能を組み込んでいます。

Suica、クレジットカード、プリペイドカードを追加する時

クレジットカードやプリペイドカードを追加する時に Apple からカード発行会社やその認定サービスプロバイダに提供されるデータは、Apple Pay へのカードの追加を承認するかどうかの判断や、カード発行会社の不正利用対策強化のために使われることがありますが、それ以外の目的で使われることはありません。

Suica、クレジットカード、プリペイドカードを Wallet に追加すると、カードに関する情報が iCloud アカウントに関連付けられます。Wallet に複数のカードを追加した場合は、Apple とその提携会社が、関連付けられている個人情報とアカウント情報をカード間でリンクさせることができます。たとえば、My Suica を無記名式の Suica にリンクさせることができます。また、Suica の追加に関する統計的情報 (個人を特定できない情報) が、定期的にモバイルデバイスの通信事業者と共有される場合があります。

交通機関や店舗で Apple Pay を使う時

Apple では、あなたが Apple Pay で交通機関を利用したり店舗で支払いをする際、あなた個人を特定できる取引情報を収集することはありません。位置情報サービスを有効にしている場合は、デバイスの所在地や取引のおおよその日時が匿名で Apple に送信されることがあります。Apple では、この情報をあなたの Apple Pay の取引履歴における取引先名の精度向上のために使用すると同時に、Apple Pay およびその他の Apple の製品やサービスの品質向上に役立てるための統計的情報の一部として保持することがあります。

Apple Pay で Suica を使うときは、交通機関をスムーズに快適にご利用いただけるように、エクスプレスカードに設定されている場合や Touch ID による認証がされた時に、最近利用した駅、利用履歴、追加券などの情報が近くの非接触型リーダーからアクセス可能な状態になります。

App 内や Web サイト上で Apple Pay を使う時

Apple Pay に対応している Web サイトや App をご利用になる時は、その Web サイトや App が、あなたのデバイスに Apple Pay が設定されているかどうかを確認できるようになっています。Web サイトによるこの確認機能は無効にできます。この機能を無効にするには、iPhone 上で「設定」>「Safari」の順にタップし、「Apple Pay の確認」をオフにします。Mac 上の Safari でこれを無効にするには、Safari の「環境設定」>「プライバシー」の順に選択し、「Apple Pay が設定済みかどうかの確認を Web サイトに許可」をオフにします。

App 内や Safari の Web サイト上で Apple Pay を使う時は、Apple Pay は暗号化された状態で取引情報を受信し、開発者固有のキーを使ってそれを暗号化し直した上で、その App や Web サイトに送信します。Apple Pay には、おおよその購入額、App の開発者と App の識別情報、おおよその日時、取引が問題なく完了したかどうかなどの匿名の取引情報が保持されます。Apple では、Apple Pay およびその他の Apple の製品やサービスの品質向上に役立てるためにこのデータを使用します。さらに Apple では、Apple Pay に対応している App や Safari の Web サイトに対し、個人情報の取り扱いについて明記したプライバシー保護規定を定め、お客様が確認できるように徹底することを義務付けています。

個人情報の取り扱いやプライバシーに関する Apple の取り組みの詳細については、Apple のプライバシーポリシーをご覧ください。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: