決済パスキーの現状：4つの中核となる統合モデル

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

世界の決済業界は、重大な転換点を迎えています。長年にわたり、業界はセキュリティとユーザーの利便性という本質的な緊張関係に取り組んできました。この課題は、デジタルの非対面カード（CNP）環境で最も顕著に感じられます。巧妙化する不正行為の増加は、より強力な認証手段を必要とする一方、消費者の期待はますますフリクションレスな決済体験を求めています。このレポートでは、進化するこのエコシステムを包括的に分析し、特にパスキー技術の戦略的な統合ポイントを特定することに焦点を当てています。パスワードレスの未来への移行をナビゲートしようとするテクノロジープロバイダー、決済サービスプロバイダー、金融機関、そして加盟店にとっての決定的なガイドとなることを目指しています。

決済業界は、強力な顧客認証（SCA）のようなより強固なセキュリティの必要性と、フリクションレスなユーザー体験への商業的な要求によって、根本的な変化を遂げています。フィッシング耐性のあるパスキーは、この緊張関係を解決する鍵となる技術として登場しました。私たちの分析によると、業界はパスキー統合のための4つの異なるアーキテクチャモデルに収斂しつつあり、それぞれが決済認証の未来に対する競合するビジョンを表しています。

1. 発行会社中心モデル（例：SPC経由）： 技術的には洗練されていますが、このモデルはAppleをはじめとするブラウザのサポートが決定的に不足しているため、近い将来の実用的な解決策とは言えません。
2. 加盟店中心モデル（委任認証）： この強力なモデルでは、大手加盟店が直接の顧客関係を活用し、認証を上流に移動させてシームレスな決済を実現できますが、重大な責任を伴い、発行会社からの直接の信頼が必要です。
3. ネットワーク中心モデル（Click to Pay）： VisaやMastercardなどのカードネットワークが、消費者にポータブルなネットワークレベルのパスキーを提供することで、ゲスト決済体験を掌握しようとする大きな戦略的動きです。
4. PSP中心モデル（ウォレット）： PayPalのような大手決済サービスプロバイダーが、自社の広大で確立されたウォレットエコシステム内で、パスキーを使用して体験を安全かつ効率化する支配的なモデルです。

各モデルは、「誰が決済の主要なRelying Partyになるのか？」という中心的な戦略的問いに対して、異なる答えを提示しています。このレポートでは、これらの競合するアーキテクチャを分析し、エコシステムのプレイヤーにマッピングすることで、決済認証の未来をナビゲートするための明確なロードマップを提供します。

パスキーをどこで、どのように統合できるかを理解するためには、まず決済エコシステムのプレイヤーとその明確な役割を詳細にマッピングすることが不可欠です。1つのオンライン取引の流れには、複数のエンティティ間の複雑な相互作用が関わっており、それぞれがデータと資金の移動において特定の機能を果たしています。

すべての取引の中心には、決済のバリューチェーンの基盤を形成する5つの基本的な参加者がいます。

1. 顧客 / カード会員：

   • 説明: 購入を開始する個人または組織。カード会員は発行銀行から決済カード（クレジットカードまたはデビットカード）を取得し、発生したすべての請求を返済する責任があります。
   • 目標: 迅速、シンプル、かつ安全な決済体験。
   • 例: 銀行口座や決済カードを持つすべての個人。

2. 加盟店：

   • 説明: 商品やサービスを販売し、電子決済を受け入れる事業者。加盟店は、カード決済を受け入れて処理するために、通常は加盟店契約銀行または決済サービスプロバイダー（PSP）から提供される必要なインフラを持つ必要があります。
   • 目標: 決済時のフリクションを最小限に抑えつつ、不正を軽減し、売上転換率を最大化すること。
   • 例: eコマースサイト、小売店、サブスクリプションサービス。

3. 発行銀行（イシュア）：

   • 説明: カード会員の銀行または金融機関。発行会社は顧客に決済カードを提供し、関連する信用リスクを引き受け、最終的にカード会員の口座状況とリスク評価に基づいて取引を承認または拒否する責任があります。
   • 目標: 承認リクエストを受け取り、カードネットワークを通じてレスポンスコードを返すこと。
   • 例: Bank of America、Chase、Barclays。

4. 加盟店契約銀行（アクワイアラ）：

   • 説明: 加盟店の銀行で、加盟店銀行としても知られています。アクワイアラは加盟店の口座を維持し、加盟店に代わってカード取引の処理を促進します。
   • 目標: 加盟店から支払い詳細を受け取り、カードネットワークを通じて発行会社にルーティングし、承認されると加盟店の口座に資金を決済すること。
   • 例: Wells Fargo Merchant Services、Worldpay (from FIS)。

5. カードネットワーク（スキーム）：

   • 説明: 他のすべての参加者を接続する技術的なバックボーン。Visa、Mastercard、American Express、Discoverなどの企業がこれらの広大なネットワークを運営しています。彼らはカードを発行したり、加盟店口座を開設したりはしませんが、取引を規定する重要なインフラ、ルール、および基準を提供します。
   • 目標: 承認リクエストのルーティングと、発行会社とアクワイアラ間の資金のクリアリングおよび決済を促進すること。
   • 例: Visa、Mastercard、American Express。

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

中核となる参加者の間には、複雑でしばしば重複するテクノロジーおよびサービスプロバイダーのエコシステムが存在します。これらの仲介者間の違いを理解することは、パスキーのような新しいテクノロジーの主要な統合ポイントとなることが多いため、非常に重要です。近年、現代のプロバイダーがより包括的な「オールインワン」ソリューションを提供しようとする中で、これらの役割の境界線は著しく曖昧になっています。

1. 決済ゲートウェイ：

   • 説明: 決済ゲートウェイは、取引のための安全なデジタルポータルとして機能するテクノロジーです。その主な役割は、加盟店のウェブサイトやPOSシステムから顧客の機密性の高い支払い詳細を取得し、暗号化して、決済プロセッサーまたは加盟店契約銀行に安全に送信することです。これは取引の「正面玄関」であり、データの安全な送信を担当しますが、資金自体の移動は行いません。
   • 目標: 加盟店にオンライン決済を安全かつ確実に受け入れる方法を提供すること。
   • 例: Authorize.net (Visaソリューション)、Braintree、Stripe Payment Gateway。

2. 決済プロセッサー：

   • 説明: 決済プロセッサーは、さまざまな関係者間で取引メッセージを実行するエンティティです。決済ゲートウェイから安全なデータを受け取った後、プロセッサーはカードネットワーク、ひいては発行銀行および加盟店契約銀行と通信し、取引の承認と決済を促進します。プロセッサーは支払いを実現するために必要な技術的通信を処理する運用エンジンと考えることができ、ゲートウェイはその通信のための安全なチャネルです。
   • 目標: 支払いメッセージを確実かつ効率的に実行し、取引の決済を管理し、発行銀行と加盟店契約銀行間の紛争解決を処理すること。
   • 例: First Data (現Fiserv)、TSYS、Worldpay。

3. 決済サービスプロバイダー（PSP）：

   • 説明: 決済サービスプロバイダーは、加盟店に電子決済を受け入れるための包括的でバンドルされたソリューションを提供する会社です。現代のPSPは通常、決済ゲートウェイと決済プロセッサーの機能を組み合わせ、多くの場合、加盟店アカウントも単一の契約で提供します。この「オールインワン」モデルは、加盟店にとってプロセスを大幅に簡素化し、ゲートウェイプロバイダーや加盟店契約銀行と個別の関係を築く必要がなくなります。一部の文脈では、加盟店のためにさまざまな支払い方法を集約するPSPは、決済アグリゲーターとも呼ばれます。
   • 目標: 加盟店にすべての支払いニーズに対応するワンストップショップを提供し、複雑さを抽象化し、支払い受付を簡素化すること。
   • 例: Stripe、Adyen、PayPal、Mollie。

4. A2A（Account-to-Account）/オープンバンキングプロバイダー：

   • 説明: これは、従来のカードネットワークを完全に迂回する、急速に成長している決済プロバイダーのカテゴリです。A2A決済は、消費者の銀行口座から加盟店の銀行口座へ直接資金を移動させます。これは、銀行がライセンスを持つサードパーティプロバイダーに対して顧客の口座データや決済開始サービスへの安全なAPIアクセスを提供することを義務付ける「オープンバンキング」規制（ヨーロッパのPSD2など）によってしばしば可能になります。これらのプロバイダーは、これらのAPIの上にユーザーフレンドリーなインターフェースを構築し、消費者が自分の銀行で認証し、シームレスなフローで支払いを承認できるようにします。
   • 目標: インターチェンジフィーをなくし、銀行レベルの認証を通じて不正を減らすことで、カード決済に代わる低コストで非常に安全な代替手段を提供すること。
   • 例: Trustly、Plaid、Tink、GoCardless、Fintecture。

この役割の統合は、深い意味合いを持っています。学術的には区別されますが、実際には、加盟店の単一の窓口は、基盤となるゲートウェイ、プロセッサー、およびアクワイアラの関係の複雑さを抽象化するPSPであることが多いです。しかし、これらのPSPの能力は劇的に異なる場合があります。他社のゲートウェイサービスのリセラーに過ぎないPSPは、独自の処理インフラとアクワイアリングライセンスを持つフルスタックのPSPとは、技術的な能力や戦略的利益が大きく異なります。この違いは、高度な認証方法の統合機会を評価する際に重要です。

さらに、決済フローを深く分析すると、新しい認証技術の背後にある戦略的動機を明らかにする基本的な概念、すなわち**Relying Party（RP）**の役割が浮かび上がります。FIDO認証とパスキーの文脈において、Relying Partyは最終的にユーザーの身元を確認する責任を負うエンティティです。標準的な決済取引では、発行会社が不正の金銭的リスクを負うため、デフォルトのRelying Partyとなります。支払いを承認するか拒否するかは、彼らの決定です。

パスキー統合のための新たなアーキテクチャモデルは、誰がRelying Partyとして機能するかを巡る戦略的な交渉として最もよく理解できます。安全な支払い確認（SPC）モデルでは、発行会社がRPであり続けますが、加盟店が認証セレモニーを_呼び出す_ことを許可します。委任認証（DA）では、発行会社はRP機能を加盟店またはそのPSPに明示的に_委任_します。そして、ネットワーク中心モデルでは、VisaとMastercardはゲスト決済取引のための連合Relying Partyとして_自らを_位置づけています。したがって、パスキー統合を検討している決済プロバイダーにとっての中心的な問いは次のようになります。

その答えは、統合の機会、主要な意思決定者、そして根底にある戦略的目標を直接指し示します。

これらの関係を明確に視覚的に表現するために、決済ライフサイクルを示すフローチャートが不可欠です。このような図は、2つの異なるが相互に関連するパスを描写します。

1. データフロー（承認）： このパスは、承認リクエストの道のりを追跡します。顧客が加盟店のサイトで支払い詳細を送信することから始まり、決済ゲートウェイを通ってプロセッサー/アクワイアラへ、そしてカードネットワークを越えて発行会社でのリスク判断へ、最後に承認または拒否の応答が加盟店と顧客に戻るまで続きます。この全プロセスは数秒で完了します。

2. 価値フロー（決済）： このパスは、承認後に行われるお金の動きを示します。バッチ処理された取引がクリアリングされ、資金が発行会社からネットワークを通じてアクワイアラへ（インターチェンジフィーを差し引いて）流れ、最終的に加盟店の口座に入金される様子を示します。このプロセスは通常、数営業日かかります。(Payment processing: How payment processing works | Stripe)

この可視化により、エコシステムのどの参加者も自分の位置を即座に特定し、他のすべての当事者との直接的および間接的な関係を理解でき、認証介入がどこで発生しうるかの詳細な分析の土台を築くことができます。

sequenceDiagram
    participant C as 顧客
    participant M as 加盟店
    participant P as ゲートウェイ/アクワイアラ
    participant N as カードネットワーク
    participant I as 発行会社

    C->>M: 1. 支払い詳細の送信
    M->>P: 2. 詳細の安全な送信
    P->>N: 3. 承認リクエスト
    N->>I: 4. 検証のため発行会社へルーティング
    I-->>N: 5. 承認/拒否の応答
    N-->>P: 6. 応答の中継
    P-->>M: 7. 応答の中継
    M-->>C: 8. 注文の確認または新しい支払いの要求

    M->>P: 9. 承認済み取引のバッチ送信
    P->>N: 10. クリアリングリクエスト
    N->>I: 11. 発行会社からの資金要求
    I-->>N: 12. 資金の送金（インターチェンジフィーを差し引く）
    N-->>P: 13. アクワイアラへの資金入金
    P-->>M: 14. 加盟店への資金入金（処理手数料を差し引く）

決済エコシステムにはあらゆる規模のプレイヤーが存在しますが、プロセッシングとアクワイアリングの市場は、地域によって異なるいくつかの大手プレイヤーに集中しています。グローバルな巨人は、しばしば強力な国内および地域のチャンピオンと競合します。以下の表は、さまざまな地域における主要なプレイヤーのスナップショットです。

すべてのオンライン購入は、承認と決済という2つの主要なフェーズに分けられる、複雑で高速な一連のイベントを引き起こします。このプロセスの上に重ねられているのが、3-Dセキュアとして知られる重要なセキュリティプロトコルであり、これは現代のオンライン決済認証の課題を理解する上で中心的な役割を果たします。

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

単一のCNP取引のライフサイクルは、ほぼ瞬時のデータ交換と、それに続くより遅い資金の移動を含みます。

承認とは、カード会員が購入を完了するのに十分な資金または信用を持っていること、そして取引が正当であることを確認するプロセスです。このフェーズは数秒で完了し、正確な多段階のパスをたどります(Payment processing: How payment processing works | Stripe)：

1. 取引開始： 顧客は商品を選択し、チェックアウトに進み、加盟店のオンライン支払いフォームに支払いカードの詳細（カード番号、有効期限、CVV）を入力します。

2. 安全な送信： 加盟店のウェブサイトは、この情報を決済ゲートウェイに安全に渡します。ゲートウェイは転送中のデータを保護するために暗号化します。

3. プロセッサー/アクワイアラへのルーティング： ゲートウェイは暗号化された取引詳細を決済プロセッサーおよび/または加盟店の加盟店契約銀行に転送します。

4. ネットワーク通信： アクワイアラは承認リクエストを適切なカードネットワーク（例：Visa、Mastercard）に送信します。

5. 発行会社の検証： カードネットワークはリクエストをカード会員の発行銀行にルーティングします。発行会社のシステムは、カードの有効性の確認、利用可能な残高または信用限度額のチェック、そして取引を不正検出エンジンにかけるなど、一連のチェックを実行します。

6. 承認応答： これらのチェックに基づいて、発行会社は取引を承認または拒否します。この決定は、応答コードの形で、発行会社からカードネットワーク、アクワイアラ、プロセッサー/ゲートウェイ、そして最後に加盟店のウェブサイトへと同じパスを逆に戻ります。

7. 完了： 承認された場合、加盟店は販売を完了し、顧客に通知します。拒否された場合、加盟店は顧客に代替の支払い方法を求めます。

決済とは、実際に発行会社から加盟店へ資金を移動させるプロセスです。承認とは異なり、これは瞬時ではなく、通常はバッチで行われます。(Payment processing: How payment processing works | Stripe)

1. バッチ処理： 営業日の終わりに、加盟店は承認されたすべての承認のバッチファイルをアクワイアラに送信します。
2. クリアリング： アクワイアラはバッチをカードネットワークにクリアリングのために提出します。ネットワークは取引を分類し、それぞれの発行銀行に転送します。
3. 資金移動： 発行銀行は承認された取引の資金を、アクワイアラが発行会社に各取引ごとに支払う手数料であるインターチェンジフィーを差し引いて、加盟店契約銀行に送金します。
4. 加盟店への入金： その後、アクワイアラは自身の処理手数料を差し引いた資金を加盟店の口座に入金します。この決済プロセス全体は通常1〜3営業日かかります。

すべてのCNP取引の上に重ねられているのが、**3-Dセキュア（3DS）**として知られる重要なセキュリティプロトコルです。EMVCoによって管理されており、その目的は発行会社がカード会員を認証し、不正を減らし、チャージバックの責任を加盟店から発行会社に移すことです。

現代の3DS（3DS2とも呼ばれる）は、加盟店と発行会社の**アクセス制御サーバー（ACS）**との間で豊富なデータセットを交換することによって機能します。このデータにより、ACSはリスク評価を行い、2つの結果につながります。

• フリクションレスフロー： 取引が低リスクと判断された場合、ユーザーの操作なしにバックグラウンドで静かに承認されます。これはほとんどの取引で目指される目標です。
• チャレンジフロー： 取引が高リスクであるか、PSD2のような規制によって義務付けられている場合、ユーザーは身元を証明するために積極的にチャレンジを求められます。通常はOTPや銀行アプリの通知が使用されます。

この「チャレンジ」は、大きなフリクションポイントであり、コンバージョン率を巡る主要な戦場です。業界の目標は、フリクションレスフローを最大化し、チャレンジをできるだけシームレスにすることです。パスキーは、この高フリクションなチャレンジを解決するのに完璧に位置づけられており、失敗の可能性のあるポイントを安全でシームレスなステップに変えることができます。

graph TD
    A[開始：顧客が支払いに進む] --> B{加盟店が3DSチェックを開始}；
    B --> C[加盟店のSDKが豊富な取引データとデバイスデータを発行会社のACSに送信]；
    C --> D{ACSリスクエンジンがデータを分析}；
    D --> E{取引は高リスクか、SCAが義務付けられているか？}；
    subgraph フリクションレスフロー
    E -- いいえ --> F[認証が受動的に承認 - ユーザー操作なし]；
    end
    subgraph チャレンジフロー
    E -- はい --> G[ユーザーに認証チャレンジが促される]；
    G --> H{ユーザーがチャレンジを完了？ - 例：OTP、アプリプッシュ、SPC/パスキー}；
    H -- はい --> I[認証承認]；
    H -- いいえ --> J[認証失敗]；
    end
    F --> K[取引は発行会社への責任転嫁とともに進行]；
    I --> K；
    J --> L[取引はブロックされる]；

FIDOアライアンスのフィッシング耐性のあるWebAuthn標準に基づくパスキーの登場は、決済認証の根本的な再設計を促進しています。これは、加盟店がアカウント乗っ取り詐欺と戦い、ユーザーエクスペリエンスを向上させるために、すでに標準的なユーザー認証（サインアップとログイン）にパスキーを採用しているという強力な業界トレンドと並行して起こっています。この既存の投資は、決済に特化したパスキーモデルを構築するための自然な基盤を作り出します。

このモデルでは、ユーザーの銀行（発行会社）が認証の最終的なRelying Party（RP）です。パスキーは銀行のドメイン（例：bank.com）に紐付けられ、ユーザーは取引を承認するために直接自分の銀行で認証します。このモデルには、支払いがカードレール上で行われるか、直接の口座間送金を通じて行われるかに応じて、主に2つの種類があります。

このモデルでは、発行銀行が認証の管理を維持し、パスキーは発行会社のドメイン（例：bank.com）に暗号学的に紐付けられます。銀行のウェブサイトへの単純なリダイレクトも可能ですが、それはユーザーエクスペリエンスを損ないます。

誰がパスキーを所有するのか？ 発行会社中心モデルでは、**発行会社がRelying Party（RP）**です。

採用の好循環とネットワーク効果： 発行会社のパスキーの再利用性は、強力な好循環を生み出します。ユーザーが一度銀行用のパスキーを作成すると、その単一のパスキーは3DSプロトコルを使用する_どの_加盟店でも、チャレンジされた取引をシームレスに承認するために使用できます。これにより、消費者（より良いUX）と加盟店（より高いコンバージョン）の両方にとって、発行会社のカードの価値が高まります。

これに対する業界設計のソリューションが安全な支払い確認（SPC）です。これは、加盟店がリダイレクトを避けて、決済ページで直接銀行のパスキーを呼び出すことを可能にするウェブ標準です。このプロセスでは、認証を取引詳細に紐付けるために動的リンクも使用され、これはSCAにとって非常に重要です。

戦略的欠陥： 技術的な洗練さにもかかわらず、SPCは今日の時点では実行可能な戦略ではありません。AppleのSafariでサポートされていないブラウザサポートが必要であり、SafariなしではSPCは普遍的なソリューションにはなり得ず、大規模な実装には非現実的です。

sequenceDiagram
    participant U as ユーザー
    participant M as 加盟店ウェブサイト
    participant I as 発行会社ACS

    Note over M,I: 3DSチェックによりチャレンジが必要と判断される。
    M->>I: 承認リクエスト（高リスク）
    I-->>M: SPCチャレンジを開始
    Note over U,M: ブラウザがユーザーにネイティブプロンプトを表示。
    M->>U: 発行会社のドメイン（例：bank.com）のSPC APIをトリガー
    U->>U: ユーザーがデバイスの生体認証（Face IDなど）で認証
    U-->>M: ブラウザがbank.comの署名済みアサーションを受信
    M->>I: 検証のために署名済みアサーションを転送
    I-->>M: 認証成功

これまでのモデルがカードエコシステム中心であるのに対し、オープンバンキングによって加速された口座間（A2A）決済は、強力で明確なパラダイムを提示します。このモデルはカードレールを完全に迂回し、パスキーとの統合は非常に直接的で効果的です。

このモデルでは、ユーザーは支払いを承認するために直接自分の銀行で認証します。このプロセスのフリクション（しばしば不格好なリダイレクトとパスワードログインを伴う）は、A2A採用の大きな障壁でした。パスキーは、この中心的な問題を直接解決します。

誰がパスキーを所有するのか？ **銀行がRelying Party（RP）**です。パスキーは、ユーザーが日常のオンラインバンキングでmybank.com用にすでに作成したものです。

採用の好循環とネットワーク効果： この好循環は非常に大きく、銀行自身によって推進されます。銀行がユーザーに主要なバンキングアプリやウェブサイトへのログインをパスワードからパスキーに切り替えるよう奨励するにつれて、それらのパスキーは自動的にどのオープンバンキング決済でも使用できる状態になります。ユーザーは何も追加の操作をする必要がありません。これにより、A2A決済フローは生体認証スキャンと同じくらいシンプルになり、その魅力とカードに対する競争力を劇的に高めます。

仕組み：

1. 決済時、ユーザーはA2Aプロバイダー（例：Trustly、Plaid）または自分の銀行を選択します。
2. ユーザーは銀行での支払いを承認するよう促されます。
3. 銀行はRPとして、パスキー認証チャレンジをトリガーします。
4. ユーザーはFace ID、指紋、またはPINで認証します。
5. 銀行は支払いを安全に確認し、資金は直接加盟店の口座に送金されます。

このモデルは、カードネットワーク、3DS、SPC、または委任認証を伴わないため、他の4つのモデルには当てはまりません。これは銀行中心のフローであり、A2Aプロバイダーは加盟店と、今やパスキー対応となった銀行自身の認証システムとの間のオーケストレーションレイヤーとして機能します。

sequenceDiagram
    participant U as ユーザー
    participant M as 加盟店ウェブサイト
    participant A2A as A2Aプロバイダー（例：Trustly）
    participant B as ユーザーの銀行

    U->>M: 「銀行から支払う」を選択
    M->>A2A: A2A決済を開始
    A2A->>U: ユーザーに銀行を選択するよう促す
    U->>A2A: 銀行を選択
    A2A->>B: 支払い承認をリクエスト
    Note over B,U: 銀行がユーザーにパスキー認証を促す
    U->>B: mybank.comのパスキーで認証
    B-->>A2A: 認証成功、支払い承認済み
    A2A-->>M: 支払いの確認
    M-->>U: 注文の確認

委任認証は、従来のモデルからのより根本的な脱却を表します。3DSバージョン2.2によって可能になり、特定のカードスキームプログラムによってサポートされているDAは、発行会社がSCAを実行する責任を信頼できる第三者、最も一般的には大手加盟店、PSP、またはデジタルウォレットプロバイダーに正式に委任できるフレームワークです。

誰がパスキーを所有するのか？ このモデルでは、**加盟店またはそのPSPがRelying Party（RP）**です。パスキーは加盟店のドメイン（例：amazon.com）用に作成され、アカウントログインに使用されます。

DAの資格を得るためには、加盟店によって実行される最初の認証がSCA要件に完全に準拠している必要があります。欧州銀行監督局の強力な顧客認証に関するガイドラインによれば、これは単なる単純なログインではなく、発行会社が自身で実行する認証と同じ強度を持つ必要があります。パスキーは、その強力な暗号学的特性により、この高い基準を満たすための理想的な技術です。しかし、同期パスキーに関しては、規制上の不確実性が依然として残っています。デバイスに紐付けられたパスキーはSCAの「所有」要素を明確に満たしますが、EBAのような規制当局は、ユーザーのクラウドアカウントを越えてポータブルな同期パスキーが、単一のデバイスに一意にリンクされているという厳格な要件を満たすかどうかについて、まだ決定的な見解を示していません。これは、ヨーロッパでのDA戦略にとって重要な考慮事項です。

Subscribe to our Passkeys Substack for the latest news.

Subscribe

このモデルでは、認証イベントはカスタマージャーニーの上流に移動します。決済プロセスの最後に3DSチャレンジとして発生するのではなく、顧客が加盟店のウェブサイトやアプリでアカウントにログインする最初に発生します。加盟店がログインにパスキーを使用する場合、この成功したSCA準拠の認証の証拠を3DSデータ交換内で発行会社に渡すことができます。発行会社は、その加盟店と事前に信頼関係を確立しているため、この情報を使用して免除を許可し、独自のチャレンジフローを完全にバイパスできます。これにより、ログインしたユーザーに対して、真にシームレスなワンクリック生体認証決済が実現できます。

採用の好循環とネットワーク効果： ここでの好循環は、加盟店の直接の顧客関係によって推進されます。加盟店がアカウント乗っ取り詐欺を減らし、UXを向上させるためにログインにパスキーを採用するにつれて、パスキー対応ユーザーの基盤を構築します。これにより、これらのパスキーを決済のDAに活用し、優れた決済体験を解き放つ自然な道筋が生まれます。ネットワーク効果は、複数の加盟店のRPとして機能できるPSPにとって最も強力であり、単一のパスキーが店舗のネットワーク全体で使用できる可能性があり、他の加盟店がそのPSPのエコシステムに参加する強力なインセンティブを生み出します。

カードネットワークは、専用プログラムを通じてこのモデルを積極的に育成しています。VisaのGuide Authenticationフレームワークは、例えば、加盟店が発行会社に代わってSCAを実行できるようにDAと併用されるように設計されています。同様に、MastercardのIdentity Check Expressプログラムは、加盟店が加盟店自身のフロー内で消費者を認証することを可能にします。このモデルは、大手加盟店とPSPの戦略的ビジョンを反映しています。

しかし、この力には責任が伴います。ヨーロッパの規制下では、DAは「アウトソーシング」として扱われ、加盟店またはPSPが不正取引の責任を負い、厳格なコンプライアンスおよびリスク管理要件を遵守する必要があります。

sequenceDiagram
    participant U as ユーザー
    participant M as 加盟店ウェブサイト
    participant I as 発行会社ACS

    Note over U,M: ステップ1：ユーザーが加盟店のサイトにログインする。
    U->>M: merchant.comのパスキーで認証
    M-->>U: ログイン成功（SCAが実行済み）

    Note over U,I: ステップ2：後で、決済時に...
    U->>M: 「支払う」をクリック
    M->>I: 承認リクエスト（事前のSCAの証明を含む）
    I->>I: 委任された認証の証明を検証
    I-->>M: 取引を承認（3DSチャレンジは不要）

このモデルは、カードネットワーク（Visa、Mastercard）がゲスト決済体験を所有し、標準化するために推進する主要な戦略的イニシアチブです。彼らは、Click to Payフレームワークの上に、Visa Payment Passkey Serviceのような独自のFIDOベースのパスキーサービスを構築しています。

誰がパスキーを所有するのか？ ネットワーク中心モデルでは、カードネットワークがRelying Partyです。パスキーはネットワークのドメイン（例：visa.com）用に作成されます。

採用の好循環とネットワーク効果： このモデルは最も強力なネットワーク効果を持っています。カードネットワーク用に作成された単一のパスキーは、Click to Payをサポートするすべての加盟店で即座に再利用可能であり、消費者にとって計り知れない価値を生み出し、典型的な両面市場の好循環を推進します。

sequenceDiagram
    participant U as ユーザー
    participant M as 加盟店ウェブサイト
    participant N as カードネットワーク（Click to Pay）
    participant I as 発行会社

    Note over M,U: ゲスト決済フロー
    U->>M: 「Click to Pay」ボタンをクリック
    M->>N: Click to Payフローを開始
    Note over N,U: ユーザーはネットワークへの認証を促される。
    N->>U: ブラウザがnetwork.comのパスキープロンプトをトリガー
    U->>U: ユーザーがデバイスの生体認証で認証
    U-->>N: 署名済みアサーションがネットワークに返される
    N->>N: ユーザーを検証し、保存されたカードトークンを取得
    N->>I: ネットワークトークン付きの承認リクエスト
    I-->>N: 承認/拒否
    N-->>M: 認証応答を加盟店に送信

このモデルは、PayPalや**Stripe（Linkを使用）**のような、独自の消費者向けウォレットを運営する大手決済サービスプロバイダー（PSP）を中心に展開されます。このアプローチでは、PSPがRelying Partyであり、認証と決済のフロー全体を所有します。

誰がパスキーを所有するのか？ PSP中心モデルでは、**PSPがRelying Party（RP）**です。パスキーはPSPのドメイン（例：paypal.com）用に作成され、そのPSPのエコシステム内のユーザーアカウントを保護します。

採用の好循環とネットワーク効果： このモデルも非常に強力なネットワーク効果を持っています。主要なPSPのウォレット用に作成されたパスキーは、そのPSPを受け入れるすべての加盟店で再利用可能であり、ユーザーと加盟店がPSPのエコシステムに参加する強力なインセンティブを生み出します。

sequenceDiagram
    participant U as ユーザー
    participant M as 加盟店ウェブサイト
    participant P as PSP / ウォレット（例：PayPal）

    U->>M: 決済時に「PSPで支払う」を選択
    M->>U: PSPログインのためにリダイレクトまたはポップアップを表示
    Note over P,U: ユーザーは直接PSPに認証する
    U->>P: psp.comのパスキーで認証
    P-->>U: 認証成功
    P-->>M: 支払い保証 / OKを加盟店に送信
    M-->>U: 注文の確認

あるモデルで作成されたパスキーが別のモデルで再利用できるかという、一般的で重要な問いがあります。例えば、ユーザーがSPCで使用するために銀行用に作成したパスキーを、DAフローで加盟店のウェブサイトにログインするために使用できるでしょうか？答えはノーであり、これは**Relying Party（RP）**の中心的な役割を浮き彫りにします。

パスキーは、根本的にユーザーを特定のRPにリンクする暗号学的クレデンシャルです。公開鍵はRPのサーバーに登録され、秘密鍵はユーザーのデバイスに残ります。認証とは、その秘密鍵の所有を_その特定のRPに対して_証明する行為です。

• 発行会社中心（SPC）モデルでは、RPは発行会社（例：chase.com）です。パスキーは銀行に登録されます。
• 加盟店中心（DA）モデルでは、RPは加盟店またはそのPSP（例：amazon.comまたはstripe.com）です。パスキーはログインのために加盟店に登録されます。
• ネットワーク中心モデルでは、RPはカードネットワーク（例：visa.com）です。パスキーはClick to Payのためにネットワークに登録されます。
• PSP中心モデルでは、RPは決済サービスプロバイダー（例：paypal.com）です。パスキーはPSPのウォレットまたはサービスに登録されます。

パスキーはRPのドメインに暗号学的に紐付けられているため、chase.comに登録されたパスキーはamazon.comでは検証できません。これらは技術的な観点からは別個のデジタルアイデンティティです。ユーザーは、対話する各Relying Partyごとに個別のパスキーを作成する必要があります。

パスキーを強力にする「再利用性」と「ポータビリティ」は、2つの領域から生まれます。

1. パスキー同期： iCloudキーチェーンやGoogleパスワードマネージャーのようなサービスは、ユーザーのデバイス間でパスキーを同期します。したがって、電話でchase.com用に作成されたパスキーは、ユーザーのラップトップでも自動的に利用可能になりますが、それは依然としてchase.com専用です。
2. フェデレーション： これはClick to Payで使用されるモデルです。加盟店はネットワーク（例：Visa）がユーザーを認証することを信頼できます。ユーザーはVisa（RP）に認証し、Visaはその後、ユーザーが正当であることを加盟店に通知します。これは、ウェブサイトがログイン処理をGoogleに任せる「Googleでサインイン」に似ています。パスキーが加盟店によって再利用されているのではなく、_認証イベント_が再利用されています。

したがって、4つのモデルは単に異なる技術的な道筋であるだけでなく、競合するアイデンティティ戦略です。それぞれが決済認証の主要なRelying Partyとなる異なるエンティティを提案しており、ユーザーは最終的に自分の発行会社、お気に入りの加盟店、PSPウォレット、_そして_カードネットワークのパスキーを持つことになるでしょう。

これらのモデルは強力な新しい認証方法を提供しますが、しばしば見過ごされがちな重要な運用上の課題も導入します：パスキーの復元とアカウントの復旧です。iCloudキーチェーンやGoogleパスワードマネージャーのようなプラットフォームによって管理される同期パスキーは、単一のデバイスを紛失した場合の問題を軽減します。しかし、ユーザーが_すべて_のデバイスを紛失したり、エコシステム間（例：iOSからAndroidへ）を切り替えたりする問題を解決するものではありません。これらのシナリオでは、ユーザーが他の手段で自分の身元を証明し、新しいデバイスにパスキーを登録するための、安全でユーザーフレンドリーなプロセスが、あらゆる大規模な展開の譲れない前提条件となります。Mastercard自身のドキュメントが指摘するように、デバイスを切り替えるユーザーは新しいパスキーを作成する必要があり、このプロセスには銀行による本人確認が必要になる場合があります。(Mastercard® payment passkeys – Frequently asked questions)これは、完全なパスキーソリューションが、認証セレモニー自体だけでなく、堅牢な復旧フローを含むパスキー管理のライフサイクル全体を網羅しなければならないことを強調しています。

発行会社中心（SPC）、加盟店中心（DA）、ネットワーク中心（Click to Pay）、そしてPSP中心という4つのアーキテクチャモデルは、決済エコシステムのさまざまなプレイヤーにとって、明確な統合機会に変換されます。各アプローチは、ユーザーエクスペリエンス、実装の複雑さ、責任、およびコントロールの間で独自のトレードオフを提示します。このセクションでは、戦略的な意思決定を導くために、これらの統合ポイントの実用的な分析を提供します。

• 機会： 発行会社およびそれらにサービスを提供するアクセス制御サーバー（ACS）プロバイダーにとっての主な機会は、OTPやパスワードのような従来のメソッドを安全な支払い確認（SPC）に置き換えることで、3DSの「チャレンジフロー」を強化することです。
• ターゲットプロスペクト： この統合は、ACSプロバイダー（例：Netcetera、CA Technologies/Arcot）、発行会社向けのテクノロジーベンダー、および自社でACSプラットフォームを運営する大手発行銀行を対象としています。
• プロバイダーの役割： Corbadoのようなpasskey-as-a-serviceプロバイダーは、SPC仕様に完全に準拠した埋め込み可能なFIDOサーバーまたはソフトウェアモジュールを提供します。このモジュールはコアACSプラットフォームに統合され、ACSのリスクエンジンがチャレンジが必要と判断したときにSPCフローをトリガーできるようにします。
• 長所：
  • 高いセキュリティと規制コンプライアンス： SPCが使用する暗号学的動的リンクは、特定の取引詳細に対するユーザーの同意の強力で監査可能な証明を提供し、PSD2 SCAのような規制の主要な要件に直接対応します。
  • OTPよりも改善されたユーザーエクスペリエンス： 迅速な生体認証スキャンでの認証は、SMSで受信したコードを手動で入力するよりも大幅に速く、エラーが発生しにくいため、チャレンジのコンバージョン率を測定可能なほど向上させることができます。
  • 明確な責任モデル： このモデルは既存の3DSフレームワーク内にシームレスに適合します。取引がSPCを介して正常に認証されると、不正なチャージバックに対する責任は、他の3DSチャレンジメソッドと同様に、加盟店から発行会社に移ります。
• 短所：
  • 依然として「チャレンジ」フロー： SPCはチャレンジ体験を改善しますが、それを排除するわけではありません。ユーザーは依然として決済時に認証ステップで中断されます。この体験は改善されていますが、完全に受動的な「フリクションレス」フローや成功した委任認証フローよりも本質的にフリクションが大きいです。
  • 発行会社のリスクロジックに依存： SPCの使用の採用と頻度は、完全に発行会社のACSとそのRBAエンジンに依存します。ACSは依然としてチャレンジをトリガーする_かどうか_と_いつ_を決定します。
  • エコシステムの準備の遅れ： 広範な使用には、エコシステムがEMV 3DSバージョン2.3以上を採用し、ユーザーのブラウザがSPC Web APIをサポートする必要があります。議論したように、特にiOSのようなモバイルプラットフォームでの普遍的なサポートの欠如は、重大な阻害要因です。

• 機会： 委任認証（DA）を実装し、加盟店またはそのPSPが顧客のログイン時にSCAを実行できるようにすることで、認証済みのリピートユーザーに対して完全にシームレスな決済体験を創出すること。
• ターゲットプロスペクト： これは、大手eコマース加盟店、フルスタックPSP（StripeやAdyenなど）、および消費者と直接関係を持ち、安全なアカウントとログインシステムにすでに投資しているデジタルウォレットプロバイダーに最も関連性があります。
• プロバイダーの役割： パスキープロバイダーは、加盟店のログインフローのためのコアとなるパスキー認証ソリューションを提供します。重要なのは、ソリューションが、準拠したSCAがすでに発生したことを発行会社に通知するために3DS認証リクエストにパッケージ化できる必要なデータ出力と暗号学的証明も提供しなければならないことです。
• 長所：
  • 最適なユーザーエクスペリエンス： このモデルは、認証済みユーザーにとって可能な限り最もフリクションレスな決済フローを提供します。認証ステップをユーザー体験の自然で馴染みのある部分（アカウントログイン）に移動させ、3DSチャレンジを完全に排除し、真のワンクリック決済を可能にします。
  • 最高のコンバージョンポテンシャル： 決済時の最終的なフリクションポイントを取り除くことで、DAは決済のコンバージョン率に最も大きな向上をもたらす可能性があります。Wiseカード会員とのStripeのパイロットでは、DAソリューションを使用した取引で7%のコンバージョン向上が報告されました。
  • 加盟店と顧客の関係を強化： 認証と決済の体験全体が加盟店のブランド環境内に留まるため、顧客との直接的な関係が強化されます。
• 短所：
  • 複雑な商業的取り決めと責任： DAは単純な技術的な切り替えではありません。発行会社と彼らが信頼することを選択した加盟店/PSPとの間で、明示的で、しばしば二国間の合意が必要です。さらに、委任認証を実行する当事者は不正に対する責任を負い、その取り決めは「アウトソーシング」の一形態として厳格な規制監督の対象となり、重大なコンプライアンス負担を伴います。
  • 発行会社の信頼に依存： モデル全体が、加盟店の認証プロセスを信頼するという発行会社の意欲にかかっています。この信頼は、最初は最大手で、最も安全で、最も戦略的なパートナーにのみ拡大される可能性が高いです。
  • 断片的な採用： 普遍的な標準とは異なり、DAは発行会社ごと、加盟店ごとに採用されるため、すべてのカード会員がすべての加盟店で一貫した体験を得られるわけではない、断片的な状況につながります。

• 機会： 膨大な量のゲスト決済取引に対して、ネットワークブランドのパスキー体験を可能にすること。
• ターゲットプロスペクト： 加盟店クライアントの基盤に、現代的で標準化されたゲスト決済ソリューションを提供したい決済ゲートウェイおよびPSP。
• プロバイダーの役割： プロバイダーは重要な統合パートナーとして機能できます。VisaとMastercardが別々の独自のパスキーサービスを開発したことを考えると、パスキープロバイダーは、各ネットワークの異なるAPIとの統合の複雑さを抽象化する統一SDKまたは「オーケストレーションレイヤー」を提供し、PSPに単一の簡素化された統合ポイントを提供できます。
• 長所：
  • 標準化されたゲスト決済ソリューション： パスキー付きのClick to Payは、高フリクションで高離脱率のゲスト決済という業界の大きな課題を解決します。一貫性があり、認識しやすく、信頼できる体験を提供します。
• ネットワーク主導の採用： VisaとMastercardはこのイニシアチブに全力を注いでおり、これにより発行会社、加盟店、消費者からの迅速な採用が促進されます。PSPはそれをサポートするための競争圧力に直面するでしょう。
• 簡素化された責任とセキュリティ負担： 連合Relying Partyとして機能するカードネットワークは、FIDO認証インフラの構築と保護の主要な負担を担い、加盟店のセキュリティと責任の姿勢を簡素化します。
• 短所：
  • コントロールとブランディングの喪失： 主な欠点は、加盟店とそのPSPが決済ユーザーエクスペリエンスのコントロールをカードネットワークに譲渡することです。決済は「Visa決済」または「Mastercard決済」となり、彼らのブランディングとユーザーインターフェースが特徴となります。
  • 中間者排除の可能性： eコマースの中心的なアイデンティティプロバイダーになることで、ネットワークは時間とともに加盟店と顧客の間の直接的なデータとブランディングの関係を弱める可能性があります。
  • 「ブラックボックス」実装： ネットワークのFIDOサーバー、リスクエンジン、認証ロジックの内部動作は、加盟店とPSPにとって不透明です。彼らは、自分たちがコントロールしないルールとユーザーエクスペリエンスを持つサービスと統合しています。

パスキーベースの決済認証への移行は理論的な演習ではなく、業界最大手のプレイヤーによって積極的に推進されています。彼らの戦略、パイロットプログラム、および公式声明は、競争のダイナミクスと採用の可能性のある軌道を明確に示しています。

Become part of our Passkeys Community for updates & support.

Join

• PayPal： FIDOアライアンスの創設メンバーであり、デジタルネイティブの決済プロバイダーであるPayPalは、パスキーの最も積極的な早期採用者の一人です。彼らは2022年後半に米国で段階的なグローバル展開を開始し、ヨーロッパやその他の地域に拡大しました。彼らの実装は、Conditional UIのような機能を活用して、ユーザーがログインフィールドを操作すると自動的にパスキーを要求するワンタップログイン体験を創出するなど、ベストプラクティスのケーススタディです。PayPalは、ログイン成功率の向上やアカウント乗っ取り（ATO）詐欺の大幅な削減など、初期の大きな成功を報告しています。彼らの戦略には、ヨーロッパでの規制の進化を積極的に提唱し、同期パスキーの固有のセキュリティを認識する成果ベースのSCAアプローチを推進することも含まれています。

• Visa： Visaの戦略は、独自のFIDOサーバーインフラ上に構築された包括的なプラットフォームであるVisa Payment Passkey Serviceを中心に展開されています。このサービスは、Visaが発行パートナーに代わって認証の複雑さを処理するフェデレーションモデルとして設計されています。このサービスの主要な手段はClick to Payであり、Visaをゲスト決済体験の主導者として位置づけています。Visaのメッセージングは、単なる支払いを越えて、彼らのパスキーサービスを、商取引エコシステム全体で使用できるより広範なデジタルアイデンティティソリューションの基礎要素として位置づけています。彼らはSPCを含む技術を積極的に試験運用しており、生体認証がSMS OTPと比較して詐欺率を50%削減できると報告しています。

• Mastercard： Mastercardは、Visaのネットワークレベルのサービスへの戦略的焦点を反映し、既存のToken Authentication Service (TAS)上に構築された独自のPayment Passkey Serviceを開始しました。彼らの市場投入戦略は、一連の注目度の高いグローバルパイロットによって特徴づけられています。2024年8月、彼らはインドでの大規模なパイロットを発表し、同国最大の決済アグリゲーター（Juspay、Razorpay、PayU）、大手オンライン加盟店（bigbasket）、および主要銀行（Axis Bank）と提携しました。これに続き、ラテンアメリカではSymplaとYunoと、UAEではTap Paymentsと提携するなど、他の主要市場でも展開しました。このアプローチは、エコシステムのアグリゲーター（PSP、ゲートウェイ）と提携して迅速に規模を拡大するという明確な戦略を示しています。Mastercardは、2030年までにヨーロッパでの手動カード入力を段階的に廃止し、完全にトークン化されたパスキー認証取引に移行するという大胆な公約を掲げています。

これらのパイオニアたちの戦略は、重要なダイナミクスを明らかにしています。歴史的に断片的で高フリクションな領域であったゲスト決済体験は、カードネットワークにとっての戦略的な足がかりとなっています。Click to Payを介してゲストユーザー向けの優れたパスキー対応ソリューションを作成することで、ネットワークは消費者との直接的なアイデンティティ関係を確立できます。消費者が一度のゲスト決済でネットワークレベルのパスキーを作成すると、そのアイデンティティはClick to Payをサポートする他のすべての加盟店にポータブルになります。これにより、ネットワークは効果的にユーザーアイデンティティを「獲得」し、ウェブ全体でシームレスな体験を提供できるようになり、デジタルコマースのアイデンティティプロバイダーの中心的な役割を捉えるための強力な動きとなります。

これらの主要プレイヤーの協調した取り組みは、より広範な技術的および規制的トレンドと相まって、決済認証における加速的かつ不可避なシフトを示唆しています。

• OTPの不可避な終焉： 業界全体のパスキーへの推進は、主要な認証方法としてのSMSベースのワンタイムパスコードの終わりの始まりを示しています。OTPは、その高フリクションなユーザーエクスペリエンスと、SIMスワッピングや巧妙なフィッシングキャンペーンのような攻撃に対する脆弱性の増大の両方から、ますます負債と見なされています。パスキーがより広まるにつれて、OTPへの依存は主要なチャレンジ方法ではなく、フォールバックまたは回復メカニズムに追いやられるでしょう。

• 規制の追い風： PSD2のような現行の規制はSCAの最初の義務付けを生み出しましたが、その厳格でカテゴリベースの定義は、同期パスキーのような新しい技術に関してある程度の不確実性を生み出しました。ヨーロッパのPSD3のような今後の規制更新は、より技術中立で成果重視のアプローチを採用することが期待されています。これは、実証済みのフィッシング耐性のある認証方法を支持する可能性が高く、準拠したSCA方法としてのパスキーの広範な採用のためのより明確な規制経路を提供するでしょう。

• 連合型決済アイデンティティの台頭： VisaとMastercardによる戦略的な動きは、単に支払いを保護すること以上のものです。それはデジタルアイデンティティの新しいパラダイムを確立することに関するものです。連合型パスキーサービスを構築することで、彼らはデジタルコマースエコシステム全体の中心的で信頼できるアイデンティティプロバイダーとして自らを位置づけています。これは、ビッグテック（例：Apple ID、Googleアカウント）が管理する強力なアイデンティティプラットフォームへの直接的な戦略的対応と見なすことができます。オンライン決済の未来は、ウェブ上で消費者のアイデンティティを誰が所有し管理するかという、このより大きな戦いと密接に結びついています。

中核となる決済取引が主な焦点ですが、パスキー技術は、隣接するさまざまな金融サービス全体でフリクションを排除し、セキュリティを強化する態勢を整えています。依然としてパスワードやかさばるOTPに依存している多くのプロセスは、パスキーへのアップグレードに理想的な候補です。

• デジタルウォレットのプロビジョニング： Apple PayやGoogle Payのようなデジタルウォレットにクレジットカードやデビットカードを追加するプロセスでは、発行会社から送信されるSMS OTPなどの確認ステップがしばしば必要です。これはフリクションのポイントであり、パスキーフローに置き換えることができます。
• オープンバンキングとアカウント連携： オープンバンキングの基盤は、サードパーティアプリケーション（予算管理アプリや他のフィンテックサービスなど）がユーザーの銀行口座データにアクセスできるようにすることです。これにはユーザーが自分の銀行で認証する必要があり、このプロセスはしばしば面倒です。パスキーは、不格好なリダイレクトや手動のパスワード入力を単純な生体認証に置き換えることで、この同意をはるかにスムーズかつ安全に付与する方法を提供します。
• ファイル上のカード（CoF）トークンの保護： 保存されたカードを持つアカウントのログインを保護するだけでなく、パスキーはカードを_保存する_最初の行為を保護するために使用できます。ユーザーがカードを追加した瞬間のチャレンジは、正当なカード所有者が存在することの強力な証拠を提供し、盗まれたクレジットカード番号が後で悪用されるCoFプロファイルを作成するために使用される詐欺を減らします。
• BNPLと即時融資： 後払い（Buy Now, Pay Later）サービスやその他の形態の即時クレジットには、最初のオンボーディングと取引ごとのリスク評価の両方が含まれます。Klarnaのようなパイオニアは、ログインのパスワードを置き換えるためにすでにパスキーを使用しています。また、高額な購入やユーザーが新しいクレジットラインを申請する際のステップアップ認証方法としても使用でき、従来の方法よりも強力で低フリクションなユーザー意図のシグナルを提供します。

ステーブルコイン（USDCやEURCなど）の台頭は、新しいブロックチェーンベースの決済レールを提示しています。しかし、主流への採用の大きな障壁は、暗号資産ウォレットの劣悪なユーザーエクスペリエンスとセキュリティでした。従来、これらのウォレットは、ユーザーが書き留めて保護しなければならない「シードフレーズ」（12〜24語のリスト）によって保護されていました。これは非常にユーザーフレンドリーではなく、アカウントの回復を悪夢にします。

パスキーは、この体験を完全に変革しようとしています。業界は、オンチェーン資産を制御する秘密鍵がデバイスのパスキーによって保護されるモデルへと移行しています。

• シードフレーズの排除： シードフレーズを書き留める代わりに、ユーザーのウォレットはデバイスに組み込まれたセキュリティによって作成および保護されます。加盟店にステーブルコインを送るなどの取引を承認するには、ユーザーは単にFace IDまたは指紋スキャンで認証するだけです。これにより、暗号資産での支払いがApple Payを使用するのと同じくらいシームレスで安全に感じられます。
• アカウント回復の実現： 「スマートアカウント」（または「アカウント抽象化」）のようなウォレットアーキテクチャを使用することで、回復メカニズムを組み込むことができます。ユーザーは、すべてのデバイスを紛失した場合にアカウントを回復するのを助けることができる信頼できる友人、家族、または機関を「ガーディアン」として指定できます。これは、シードフレーズのオールオアナッシングの性質に比べて大きな改善です。

この進化は、ステーブルコインを決済に使用する際のフリクションとリスクを大幅に削減し、それらを従来の決済レールに代わる、より実行可能で主流の代替手段にする可能性があります。

決済ランドスケープと新たなパスキー統合モデルの分析は、いくつかの明確で実行可能な機会を明らかにしています。Corbadoのようなパスキーファーストの認証企業にとっての目標は、この移行をナビゲートするために必要な基盤技術を提供することで、エコシステムのすべてのプレイヤーが戦略的目標を達成できるよう支援することです。

• 目標： 3DSチャレンジフローを近代化し、高フリクションのOTPを置き換えてコンバージョン率を高め、セキュリティを強化し、PSD2/PSD3コンプライアンスに正面から対応すること。
• Corbadoの支援方法： 既存のアクセス制御サーバー（ACS）プラットフォームへの簡単な統合のために設計された、埋め込み可能なパスキー認証モジュールを提供します。ACSベンダーが、銀行と加盟店のネットワーク全体に利益をもたらす、クラス最高の低フリクションなチャレンジ体験を提供できるよう支援します。

• 目標： エンドツーエンドのカスタマージャーニーを所有し、委任認証（DA）を通じて究極の決済体験を提供し、ログインユーザーの3DSチャレンジを排除すること。
• Corbadoの支援方法： Corbadoは包括的なDA有効化ソリューションを提供します。これには、クラス最高のパスキーログインシステムだけでなく、発行会社がDA免除を許可するために必要な暗号学的証明を生成するためのツールとAPIも含まれます。私たちはテクノロジーパートナーとして、加盟店とPSPがコンバージョンを最大化し、ブランドを強化できるよう支援します。

• 目標： Click to Payのようなネットワークが義務付ける最新の機能を簡単に提供し、高価で重複した開発努力なしにプラットフォームの競争力を維持すること。
• Corbadoの支援方法： Corbadoは「パスキーオーケストレーション」レイヤーを提供します。VisaとMastercardの両方のサービスの統合を支援し、加盟店が同時に独自のパスキーソリューションを提供して現代的なゲスト決済を提供する方法も提供します。

• 目標： ウォレットエコシステム全体を保護し、PSPの全加盟店ネットワークでポータブルな、シームレスで安全なログインと決済体験を創出すること。
• Corbadoの支援方法： 大手PSPやウォレットプロバイダーがユーザーの中心的なRelying Partyになることを可能にする、コアとなるパスキーインフラを提供します。私たちのソリューションを統合することで、彼らはウォレットのログイン（例：PayPal、Stripe Link、Klarna）のパスワードを置き換えることができます。これはアカウントを乗っ取りから保護するだけでなく、決済承認をワンクリックの生体認証ステップに効率化し、ユーザーを囲い込み、加盟店を引き付ける強力なブランド認証体験を創出します。

この分析は、パスキーベースの戦略における重要な成功要因を浮き彫りにします：ユーザーの採用です。ベースラインの約10%から50%以上にパスキー作成と使用を実証的に増加させることができるソリューションは、これらの新しい認証モデルの展開が直面する主要な課題に対処します。エコシステムとそのプレイヤーの戦略的目標に基づき、以下の組織とセクターがそのようなソリューションの主要な候補です。

• 中核問題： 3DSチャレンジフローにおける高いフリクションは、カート放棄と加盟店の収益損失につながり、発行会社のカードの競争力を低下させます。
• 採用の利点： パスキーの採用率が高いほど、成功率が高く低フリクションなチャレンジに直接つながります。これにより、コンバージョン率が向上し、セキュリティが強化され、発行会社の決済クレデンシャルは加盟店と消費者の両方にとってより価値のあるものになります。
• 主要候補： 大手発行銀行（Bank of America、Chase、Barclays）、およびそれらの3DS技術を供給するACSプロバイダー（Netcetera、CA Technologies）。

• 中核問題： カスタマージャーニーを所有し、決済フリクションを排除したいという願望は、しばしば3DSチャレンジの必要性によって妨げられます。
• 採用の利点： 委任認証（DA）モデル全体は、加盟店がログイン時にユーザーを強力に認証できることを前提としています。高いパスキー採用率は、単なる強化ではなく、成功したDA戦略の前提条件です。大多数のユーザーに対してDAを有効にすることは、強力な競争上の差別化要因です。
• 主要候補： グローバルなeコマースリーダー（Amazon、Walmart）、デジタルサブスクリプションサービス（Netflix、Spotify）、およびそれらにサービスを提供するフルスタックPSP（Stripe、Adyen、Checkout.com）。

• 中核問題： Click to Payのような戦略的なネットワークレベルのアイデンティティサービスの成功は、広範な消費者登録に直接依存しています。
• 採用の利点： 簡単で魅力的なパスキー作成体験は、これらの連合アイデンティティネットワークの成長に不可欠です。ネットワークは、加盟店やPSPに提供するSDKに採用重視のソリューションを組み込むことで、独自のパスキーサービスの展開と普及を加速させることができます。
• 主要候補： Visa（Visa Payment Passkey Serviceのため）およびMastercard（Token Authentication Serviceのため）。

• 中核問題： ウォレット（例：PayPal、Stripe Link、Klarna）の価値は、アクティブでエンゲージメントの高いユーザーの数に直接結びついています。ログインや決済時のフリクションはエコシステムを弱めます。
• 採用の利点： ウォレット自身のドメイン（paypal.comなど）へのパスキーの大量採用を推進することは、中核的な戦略目標です。これにより、不正が減少し、ユーザーエクスペリエンスが向上し、ネットワーク効果が強化され、ウォレットは消費者と加盟店の両方にとってより魅力的になります。
• 主要候補： ウォレット提供を行うグローバルPSP（PayPal、Stripe Link、Klarna）、および大手地域プレイヤー（Mercado Pago、Block）。

• 中核問題： 国内の決済スキームは、インフラを近代化し、グローバルなテクノロジー企業に対して競争力を維持するためにデジタルアイデンティティソリューションを提供するという圧力に直面しています。
• 採用の利点： これらのネットワークは、新しいデジタル決済およびアイデンティティサービスが広く利用されることを保証しなければなりません。Australian Payments Plus (AP+)のようなプレイヤーにとって、PayTo（リアルタイム決済用）やConnectID（デジタルアイデンティティ用）のようなサービスの採用を推進することは、中核的な戦略目標です。パスキー登録を促進するソリューションは、この戦略の直接的な実現要因です。
• 主要候補： **Australian Payments Plus (AP+)**およびその他の国内決済インフラ機関。

大手テクノロジー企業は、決済エコシステムにおいてユニークで強力な役割を果たす洗練されたデジタルウォレットを運営しています。彼らはユーザーのデバイス、プラットフォームアイデンティティ、そして従来の決済レールの交差点に位置しており、パスキー採用に関して明確な立場と戦略を持っています。

Apple PayとGoogle Payは、既存の決済カードインフラの上に位置するテクノロジーおよび認証レイヤーとして最もよく理解されています。彼らは自身でカードを発行したり取引を処理したりするのではなく、代わりにユーザーの既存の決済カードのトークン化されたバージョンを安全に保存し、送信します。

• エコシステムでの位置づけ： 彼らはユーザーのカードの安全な「コンテナ」として機能します。ユーザーがオンラインで支払うとき、カード詳細を入力する代わりにApple PayまたはGoogle Payを選択します。ウォレットはその後、安全な使い捨てトークンを加盟店の決済ゲートウェイに渡します。取引は依然としてアクワイアラ、ネットワーク、発行会社を通常通り流れます。
• パスキーの活用方法： 彼らは顔または指紋スキャンでユーザーを_ウォレットに_認証し、支払いトークンの解放を許可します。これは強力で低フリクションな認証イベントですが、カード発行会社が責任を負う3DS/SCA認証とは異なります。発行会社は技術的にはApple Payを介して開始された取引に対して3DSチャレンジをトリガーすることができますが、強力なデバイスレベルの認証によりその可能性は低くなります。
• 機会と採用からの利益：
  • ウォレットプロビジョニングの効率化： ウォレットにカードを追加するプロセスでは、しばしば発行会社からのOTPが必要です。これはフリクションの主要なポイントです。AppleとGoogleは発行会社と協力して、これをアプリ内パスキーフローに置き換えることができ、パスキーを使用してユーザーを即座に確認できます。発行パートナー向けの採用ソリューションは、彼らのウォレットをより簡単にロードして使用できるようにします。
  • 委任された権威になる： 彼らの究極の戦略的目標は、強力なプラットフォーム認証を活用して、決済のための決定的で信頼できる認証器になることです。発行会社がApple PayまたはGoogle Payの認証をSCA要件を満たすものとして正式に認識すれば、彼らは委任された権威となり、3DSチャレンジを完全に排除できます。独自のプラットフォームパスキーの高い採用率は、これを発行会社にとって魅力的な提案にするために不可欠です。

Amazon PayとMeta Payは、サードパーティのサイトや自社のエコシステム内（例：Instagramでのソーシャルコマース）で使用できる非常に大きなファイル上のカード（CoF）ウォレットを持つ従来の加盟店のように機能します。

• エコシステムでの位置づけ： 彼らは加盟店中心モデルの典型的な例です。ユーザーは支払いカードを直接AmazonまたはMetaアカウントに保存します。Amazon PayまたはMeta Payを使用してチェックアウトするとき、彼らはメインアカウントに認証しており、そのプラットフォームが彼らに代わって支払いを処理します。
• パスキーの活用方法： 彼らのパスキーの主な用途は、ユーザーのメインアカウントのログイン（例：Amazon.comのパスキー）を保護することです。広大なユーザーベースをパスワードからパスキーに移行させることで、アカウント乗っ取り詐欺のリスクを劇的に減らし、貴重な保存済み支払い情報を保護します。
• 機会と採用からの利益： 彼らの利益は直接的かつ即時的です。コアユーザーアカウントのパスキー採用を促進するソリューションは、次のことを実現します。
  1. 不正の削減： 金銭的損失と顧客の不満の主要な原因であるアカウント乗っ取りの攻撃対象領域を大幅に減少させます。
  2. フリクションの削減： シームレスで安全なログインと決済体験を創出し、コンバージョン率を向上させることが証明されています。これらのプレイヤーにとって、パスキー採用を促進するソリューションは、コアコマースビジネスのセキュリティとパフォーマンスへの直接的な投資です。したがって、彼らはそのようなソリューションの主要な候補です。

決済業界は、認証の新時代の幕開けにあります。セキュリティと利便性の間の長年の妥協は、パスキー技術の成熟と採用によってついに解決されつつあります。このレポートで提示された分析は、これが一枚岩の変化ではなく、未来に対する複数の競合するビジョンを持つ複雑な移行であることを示しています。発行会社は既存の3DSフレームワークをSPCで強化しようとし、大手加盟店とPSPは委任認証を通じて、または独自のウォレットエコシステムを構築することで体験のコントロールを掌握しようとしています。そして、カードネットワークはClick to Payで新しい連合アイデンティティレイヤーを創出しています。各モデルは、ユーザーの信頼と利便性の新しい標準となることを目指して競い合っています。