PayPalのパスキー：PayPalに学ぶパスキー実装

• 2022年第4四半期に米国で初めて利用可能になり、その後、さまざまな国やプラットフォームに段階的に展開
• Paypalのパスキーは、フィッシングやクレデンシャルスタッフィングに対するpaypalログインのセキュリティを強化しつつ、より便利な体験を提供します。
• 現在、パスキーは主に既存アカウントのログイン用であり、完全にパスワードレスのアカウントを新規登録するためのものではありません。
• Paypalのパスキー設定は、アカウント設定の「ログインとセキュリティ」セクションから手動で行います。
• PayPalは、ウェブサイトとネイティブアプリ間でパスキーを同期させることを他に先駆けて実現し、同期型パスキーとデバイス固定型パスキーの両方をサポートしています（ただし、同期型の方が一般的です）。
• ヨーロッパでの実装は、世界的に合理化された体験を提供しつつも、PSD2/SCAに準拠しており、パスキーを使用しているにもかかわらず追加の認証ステップが必要になる場合があります（paypalパスキーの2FAコンテキスト）。PayPalは、シームレスな自動入力ログインのためにConditional UIを活用し、明確なユーザー教育を提供しています。初期の成功には、ログイン率の向上と不正利用の削減が含まれ、PayPalは他の金融機関が追随すべきリーダーとして位置づけられています。

幅広い業界のますます多くの企業がパスワードレスの世界に足を踏み入れ、パスキーを実装しています。この一連の記事を通じて、私たちはこれらの企業のパスキーユーザー体験の包括的な概要を提供することを目指しています。これにより、皆様がこれらの知見を取り入れ、自社製品のログインを相応に強化できるようになるはずです。各記事では、1つの企業に焦点を当てます。本日は、PayPalを深く掘り下げていきます。

2022年10月以来、米国のPayPalユーザーは自身のアカウントにパスキーを作成できるようになり、決済業界におけるパスワードレス認証への重要な一歩となりました。この最初のローンチに続き、paypalのパスキーは2023年初頭から追加の国々で順次展開されています。4億人以上のユーザーを抱える世界有数のデジタル決済プラットフォームとして、PayPalのパスキー採用は、オンライン決済と送金をより安全で使いやすいものにするという強いコミットメントを示しています。PayPalは決済分野における初期のパイオニアとして際立っており、他の銀行や金融機関にとって前向きな模範となっています。

免責事項：

1. 最初の分析は2023年8月時点のものです。このブログ記事は、PayPalのパスキー実装における最新の変更を反映するため、2025年4月下旬に更新され、最初の分析以降の変更点に言及しています。
2. 分析に使用したデバイスについては、ユースケースをご参照ください。
3. この最新の更新（2025年4月）では、主要なOSとプラットフォームの組み合わせに焦点を当て、すべてのバリアントを詳細にテストしたわけではありません。

PayPalがパスキーを採用するという決定は、デジタル決済の領域における従来のパスワードベース認証が持つ固有の課題によって推進された、明確な戦略的要請に根ざしています。

• サイバー脅威への対抗： デジタル決済環境は、フィッシング攻撃、クレデンシャルスタッフィング（盗まれたパスワードリストを使用して他のサイトへのログインを試みること）、アカウント乗っ取り（ATO）詐欺の絶え間ない攻撃にさらされています。パスワードは最も脆弱なリンクであり、これらの広範な脅威に対して脆弱です。特定のウェブサイトとデバイスに暗号技術によって紐付けられたパスキーを採用することで、PayPalはこれらの一般的な詐欺形態に対する攻撃対象領域を劇的に削減します。
• ユーザーフリクションと離脱の削減： 複雑なパスワードに続いてワンタイムパスコード（OTP）やセキュリティ質問を伴うことが多い従来のログインフローは、ユーザーに大きなフリクションを生み出します。パスワードを忘れると面倒な回復プロセスにつながり、多段階認証は特にモバイルデバイスでユーザーが取引を断念する原因となり得ます。このフリクションは、チェックアウトのコンバージョン率に直接的な打撃を与えます。パスキーは、使い慣れた生体認証やデバイスのPINを使用した、合理化されたワンタッチのログイン体験を提供し、これらの問題点を劇的に軽減します。
• セキュリティとユーザー体験の向上： 基本的に、PayPalはセキュリティと利便性の間の長年の課題であった緊張関係を解決しようとしています。パスキーは、パスワードよりも大幅に強力なセキュリティを提供すると同時に、よりシンプルで高速なユーザー体験を提供する手段となります。この二重の利点は、機密性の高い金融取引を扱うプラットフォームにとって極めて重要です。
• 業界のリーダーシップ： パスキー標準の推進力であるFIDOアライアンスの創設メンバーとして、PayPalは業界をより安全でユーザーフレンドリーな認証へと導くことにコミットしています。パスキーを最初に展開した主要な決済プラットフォームの1つであることは、このリーダーシップの地位を強化し、競合他社やパートナーにとってのベンチマークを設定します。

これらの主要な課題に対処し、FIDOリーダーとしての地位を活用することで、PayPalはパスキーを将来の認証戦略の基盤技術として位置づけました。

PayPalのパスキー実装には、ユーザー体験とセキュリティに影響を与えるいくつかの注目すべき機能と設計上の選択が含まれています。

PayPalは段階的な展開でパスキーの旅を開始しました。利用はまず2022年第4四半期に米国で導入され、当初はA/Bテストを通じて一部のユーザーに限定され、主にウェブサイトにアクセスするAppleデバイス（iOS、iPadOS、macOS）に焦点が当てられました。この初期段階により、PayPalは管理された環境でフィードバックを収集し、潜在的な問題を特定することができました。

2023年初頭から順次展開が始まり、米国のAndroidデバイス（Android 9+）に拡大し、その後2023年半ばにはドイツや英国などの主要なヨーロッパ市場にも拡大しました。この段階的な拡大戦略により、PayPalはリスクを最小限に抑えながら、さまざまなプラットフォームや地域の規制要件に適応することができました。展開はそれ以来続いており、PayPalは初期導入からの肯定的な結果を挙げて、2025年を通じてグローバルな利用可能性を加速させるために積極的に取り組んでいます。

PayPalの実装の大きなハイライトは、AppleとAndroidデバイスの両方でネイティブモバイルアプリ内でパスキーを作成し、使用できることです。さらに、PayPalは、ブラウザ経由でアクセスされるウェブサイトと、同じまたは異なるデバイス上の対応するネイティブモバイルアプリとの間でパスキーをシームレスに同期させることを最初に可能にした企業の1つです（iCloudキーチェーンやGoogleパスワードマネージャーなどのクラウドキーチェーン経由）。

この同期は、ユーザーがiPhoneのPayPalアプリ内でパスキーを作成すると、その同じパスキーを使用してMacBookのSafariや、Windows PCのChrome（Googleパスワードマネージャー経由で同期されている場合）でログインできることを意味します。ただし、クロスデバイスでのPayPalログインを承認するためにiPhoneが近くにある必要があります。これにより、ユーザーの利便性と柔軟性が大幅に向上します。ユーザーは、ハードウェアセキュリティキーに保存される可能性のあるデバイス固定型パスキーを使用することも選択できますが、同期型パスキーは使いやすさとデバイスキーチェーン経由での利用可能性から、ほとんどのユーザーにとってより一般的なアプローチです。

PayPalはConditional UIを迅速に統合し、PayPalのログイン体験を大幅に向上させました。ユーザーがPayPalのログインページに移動し、ユーザー名入力フィールドをクリックすると、ブラウザまたはオペレーティングシステムのネイティブなパスキープロンプトが自動的に表示され、そのサイトに保存されているパスキーを提案します。

これにより、ユーザーはユーザー名を手動で覚えたり入力したりする必要がなくなり、ましてやパスワードを入力する必要もなくなります。これは、パスキー標準に固有の自動入力機能を活用した、ほぼワンタップの合理化されたログイン体験を提供します。当初からのこのユーザーの利便性への焦点は、PayPalプラットフォームでのパスキー導入を促進する重要な要因となっています。

アカウント設定内、特に「ログインとセキュリティ」セクションで、PayPalはユーザーに登録されたパスキーの明確な概要を提供します。各パスキーについて、作成されたデバイス、同期ステータス（例：iCloudキーチェーン経由で同期）、作成タイムスタンプなどの詳細が表示されます。この透明性は、ユーザーがパスキーを管理し、このログイン方法をいつどこで有効にしたかを理解するのに役立ちます。

PayPalはまた、パスキーの削除に関する明確なガイダンスも提供しており、完全に登録解除するためには、多くの場合、デバイス/キーチェーンからローカルに削除し、PayPalサーバーからも削除する必要があることを説明しています。

パスキーが多くのユーザーにとって新しい概念であることを認識し、PayPalはユーザー教育に投資しています。彼らは一貫して「パスキー」という用語を使用し、設定フロー内や専用のFAQセクションで詳細な説明を提供しています。これには、パスキーとは何か、どのように機能するか、設定プロセス、同期、削除に関する情報が含まれます。潜在的なユーザーの質問や懸念に積極的に対処することで、PayPalはこの新しい認証方法への信頼を築き、導入を促進することを目指しています。

以下のスクリーンショットは、パスキーの正しい2段階削除プロセスに関する詳細な情報を提供しています。

• 時折見られたプラットフォーム/ブラウザの制限（過去）： 初期の分析（2023年8月）で指摘されたように、パスキーはすべてのデバイスとブラウザの組み合わせで普遍的に利用可能ではありませんでした。例えば、当初はWindowsのサポートが欠けていました。更新 2025年4月： この制限は大部分が対処されました。PayPalのパスキーは現在、ほとんどの主要なオペレーティングシステム（iOS、macOS、Android、Windows 10+）とブラウザ（Chrome、Safari、Edge、Firefox）でサポートされており、可用性と一貫性が大幅に向上しています。
• ローカルでの削除が常に認識されない： 観察された軽微な技術的欠点は、ユーザーがPayPalアカウント設定から削除せずにローカルデバイスからのみパスキーを削除した場合、ワンタップログインボタンがまだ表示され、ユーザーを混乱させる可能性があることです。理想的には、ローカルでの削除が最初に検出された時点で表示が即座に更新されるべきです。
• Androidでの真のIDファーストフローがない（主にConditional UI / ワンタップ）： Androidでは、Conditional UIの活用はユーザー体験にとって素晴らしいものの、PayPalの主要なログインフローはこれ、または専用のパスキーボタンに大きく依存しているように見え、パスキーが見つからない場合に適切にフォールバックする従来のIDファーストフローを提供していません。これはアカウント列挙（攻撃者が有効なメールアドレスを推測すること）から保護するのに役立ちますが、より堅牢な実装では、その特定のデバイスにパスキーが登録されていないユーザーに対してより明確なパスを提供するかもしれません。また、なぜiOSでは適切に実装されているのにAndroidではそうでないのかは不明です。

PayPalのパスキーの早期導入と展開は肯定的な結果をもたらし、この技術がセキュリティとユーザー体験の両方にもたらす具体的な利点を示しています。

• ログイン成功率の向上： 初期の報告によると、パスキーを選択したユーザーは、従来のパスワード方式と比較してログイン成功率が大幅に向上しました（+10%）。これは、パスワードの入力と回復に関連するフリクションの減少とエラーの少なさを浮き彫りにしています。
• アカウント乗っ取り（ATO）詐欺の削減： パスキーは、ATO詐欺の主要なベクトルであるフィッシングやクレデンシャルスタッフィングに対して高い耐性を持っています。PayPalは、パスキーを有効にしたユーザーに対して、ATO詐欺の試みと成功が大幅に減少したと報告しており（2023年に-70%と報告）、強力なセキュリティ上の利点を示しています。
• チェックアウト時間の短縮： チェックアウトプロセス中にログインにパスキーを利用するユーザーにとって、合理化された認証フローは取引完了までの時間を大幅に短縮し、報告によれば理想的なシナリオではチェックアウト時間が約5秒にまで短縮される可能性があります。

これらの初期のKPIは、パスキーがセキュリティを強化するだけでなく、コンバージョンや不正利用削減といった重要なビジネス指標も改善することを証明し、パスキーの説得力のあるビジネスケースを裏付けています。

ヨーロッパで銀行、決済プロバイダー、または金融サービス機関としてパスキーを実装することは、主に欧州連合の第2次決済サービス指令（PSD2）とその強力な顧客認証（SCA）の義務付けという厳しい要件のため、米国などの地域と比較して特有の課題を提示します。

PSD2は、欧州経済領域（EEA）および同様の規則を取り入れた英国における電子決済のセキュリティを強化することを目的としています。その礎石はSCAであり、ほとんどの電子決済の開始および特定の口座アクセスアクションには、3つのカテゴリから少なくとも2つの独立した要素を使用した認証が要求されます：

• 知識： ユーザーだけが知っているもの（例：パスワード、PIN - ただし、静的なパスワードだけでは不十分なことが多い）。
• 所有： ユーザーだけが所有しているもの（例：信頼できるデバイス、トークン、OTPを受信する電話）。
• 生体情報： ユーザー自身であるもの（例：指紋や顔認識などの生体データ）。

さらに、リモート取引の場合、SCAはしばしばダイナミックリンキングを要求します。これは、認証が取引の金額と受取人に具体的にリンクされていなければならないことを意味します。

同期型パスキーは、技術的にはSCA要件を満たすのに適しています。単一のパスキー認証アクションは、本質的に2つの要素を組み合わせます：

• 所有： ユーザーは秘密鍵を保存しているデバイスを所有しています。
• 生体情報（または知識）： ユーザーは生体認証（生体情報）またはデバイスのPIN/パスワード（知識）を使用してそのデバイスのロックを解除し、パスキーの使用を承認します。

しかし、同期型パスキーの同期の性質と所有要素がどのように一致するかについて、規制当局による公式なガイダンスはありません。そのため、多くのヨーロッパの金融サービス機関は、この不確実性のためにパスキーの展開を（まだ）控えています。

PSD2とパスキーに関する詳細な情報については、当社の他のブログ記事もご覧ください：

• デバイス固定型パスキー vs. 同期型パスキー
• PSD2とSCA要件の分析
• パスキーにとってSCA要件が意味するもの
• パスキーに対するPSD3 / PSRの影響

ヨーロッパにおけるPayPalの実装は、既存のSCAコンプライアンスインフラストラクチャに適合するように調整されているようです。米国での単一ステップのパスキーログインの可能性とは異なり、ヨーロッパのユーザーは、ログインや機密性の高いアクションに対して、時々多段階のプロセスを経験することがあります：

1. パスキーで認証： これはパスワード入力を置き換え、2つの要素（所有 + 生体情報 / 知識）を満たします。
2. 追加の認証（トリガーされた場合）： リスク評価や新しいデバイス、取引金額、その他のSCAトリガーに応じて、PayPalは依然として追加の認証ステップを要求する場合があります。例えば：

• SMSで配信されたOTPの入力。
• PayPalモバイルアプリ経由でのプッシュ通知の承認。

これは、特定のヨーロッパのシナリオでは、パスキーが認証プロセスの一部として機能するものの、特定のユースケースに対してSCAがどのように解釈され、施行されるかに完全準拠するために、後続の明確な要素の必要性を常に排除するわけではないことを意味します。これは、パスキーが認証の全体である理想的なフリクションレスな体験とは対照的です。

PayPalは、同期型パスキーが使用された信頼できるデバイスを記憶するためにローカルストレージやクッキーを利用しており、これにより後続のインタラクションでのこれらの追加のSCAチェックの頻度を減らしますが、初回または高リスクのログインではしばしば追加の所有証明が必要となります。

PayPalは、この階層的なアプローチが他の地域と比較してヨーロッパで導入する潜在的なフリクションを認識しています。その結果、彼らはSCAルールの進化を積極的に提唱しています。2025年初頭、PayPalは、SCA規制が、別のデバイスとの対話（SMS OTPの受信など）を義務付けることなく、単一のデバイスで完全に実行できる認証方法（デバイスに組み込まれた認証機能を介して活用されるパスキーなど）を奨励すべきであると公に推奨しました。PayPalはこれを結果ベースの強力な顧客認証と呼んでいます。

この提唱は、世界的にユーザー体験を調和させ、ヨーロッパの規制フレームワーク内でパスキーのフリクション削減の可能性を最大限に引き出すというPayPalの戦略的目標を示しています。

PayPalのパスキーと、PayPalネイティブiOS / Androidアプリ内の純粋なローカル生体認証とを区別することが重要です。パスキーはしばしば、デバイスに安全に保存された秘密鍵の使用を承認するために生体認証（AppleデバイスのFace IDやTouch ID、Androidの指紋/顔スキャンなど）に依存しますが、パスキー自体は単なる生体スキャン以上のものです。

• ローカル生体認証： この方法は、生体認証を使用してユーザーをローカルデバイスまたはアプリに認証します。しかし、これだけでは、フィッシング耐性のある方法でユーザーの身元をPayPalのようなオンラインサービスに暗号技術的に検証することはできません。これは、デバイスを使用している人物が正当な所有者であることを証明するだけです。
• PayPalのパスキー： パスキーは公開鍵暗号方式を使用します。生体スキャン（またはデバイスのPIN）は、デバイス上のSecure Enclaveのロックを解除して秘密鍵にアクセスします。この秘密鍵は、PayPalサーバーからのチャレンジに署名するために使用され、鍵ペアの所有を証明します。この暗号プロセスはフィッシング耐性があり、ユーザーの身元をPayPalに検証します。

したがって、生体認証はしばしばパスキーログインのユーザーフレンドリーなトリガーですが、パスキーの基盤となる技術は、ローカル生体認証だけとは異なり、強力でフィッシング耐性のあるオンライン認証を提供します。

詳細については、パスキー vs. ローカル生体認証に関する当社のブログ記事もご覧ください。

PayPalのパスキー認証は、直接のPayPalアカウントログインに限定されません。マーチャント（加盟店）のウェブサイトやアプリでのサードパーティのチェックアウトフローで、PayPalの決済プロバイダーSDKを介して使用することもできます。これにより、決済処理にPayPalを利用しているマーチャントは、顧客にシームレスで安全なパスワードレス認証体験をチェックアウトフロー内で直接提供できます。PayPalのSDKを通じてパスキーを利用することで、決済プロセスが大幅に合理化され、フリクションが減少し、フィッシングリスクやクレデンシャルスタッフィング攻撃を軽減することでセキュリティが向上します。サードパーティコンテキストでのパスキー実装に関する包括的なガイドと技術的な詳細については、サードパーティSDKとパスキーの統合に関する当社の専用記事をご参照ください。

PayPalの技術的な実装は、主にConditional UIと専用のパスキーボタンを通じて、ユーザー体験を合理化するために最新のパスキー機能を活用することに重点を置いています。

• Conditional UI / ワンタップログイン： 前述の通り、PayPalはログインページでConditional UIを有効にしています。ユーザーがユーザー名入力フィールドにフォーカスすると、ブラウザ/OSは自動的にパスキーを自動入力オプションとして提供し、パスキーにリンクされたユーザーのメールアドレスを提示します。PayPalはまた、特にユーザー名が事前に入力されていない場合や後続のログイン時に表示される「パスキーでログイン」ボタンも利用しています。これにより、最初に識別子を入力することなくPayPalにログインできます。
• Androidでの従来のIDファーストフローがない： Androidでは、PayPalのフローはパスキーが存在する場合、それを主要な方法として設計されているようです。ユーザーがメールアドレスを入力し、その後システムがパスキーをチェックし、見つからない場合はパスワードにフォールバックするという、目立つ明示的なIDファーストフローはありません。この設計はアカウント列挙（攻撃者が有効なメールアドレスを推測すること）を防ぐのに役立ちますが、識別子を提供してからログイン方法を選択する必要があるユーザー（またはPayPalの場合、パスキーを使用できずパスワードのみを使用できるユーザー）にとっては、直感的でないかもしれません。iOSでは、自動パスキーログイン開始を伴うIDファーストフローは適切に実装されていました。
• ネイティブアプリの実装： PayPalのネイティブアプリでは、パスキー体験はさらに統合されています。アプリを開いたり、ログイン画面に移動したりすると、Conditional UIが自動的にトリガーされることが多く、パスキーに関連付けられたユーザーのメールアドレスがすぐに表示され、生体認証またはPINを求められます。
• デバイスの記憶と後続のSCA： PayPalは、特にヨーロッパ内でSCAコンプライアンスを管理するために、成功したパスキーログイン後に信頼できるデバイスを「記憶」するロジックを実装しています。これはローカルストレージ（クッキーまたはアプリストレージ）に依存します。ユーザーがストレージをクリアしたり、「このデバイスを記憶する」機能を明示的にオプトアウトしたりすると、そのデバイスでの後続のパスキーログインは追加のSCAステップをトリガーする可能性があります。

PayPalは、パスキーについて詳細に説明し、ユーザーをセットアッププロセスを通じてガイドする包括的なFAQを公開しています。これは、誰もがパスキーに精通しているわけではないため、その技術と機能についてユーザーを教育する必要性を認識していることを反映しています。

PayPalアカウントに新しいパスキーを登録するには、次の手順に従ってください：

1. 右上隅にある設定アイコン（ウェブブラウザ）またはプロフィールアイコン（アプリ）をクリックします
2. セキュリティ（ウェブブラウザ）またはログインとセキュリティ（アプリ）をクリックします

3. パスキーをクリックします

4. パスキーを作成ボタンをクリックします

2023年8月 パスキー作成の説明

時間が経つにつれて、PayPalはパスキーを作成する際のメッセージングとユーザーコピーを以下のように改善しました

2025年4月 パスキー作成の説明

ユースケースはパスキー対応デバイスでのみ実施したことに注意してください（例：iOS 16.0より前のiPhone、macOS Venturaより前のMacBook、Windows 10より前のWindowsデバイスは使用していません）。すべてのユースケースで同じPayPalアカウントを使用しています。

PayPalアカウントの最初のパスキーを初期設定するために、セクション3で前に示したように「パスキーを作成」をクリックします。

この時点で、ユーザーはパスキーが何であるかについて再度知らされることは注目に値します。これは、PayPalがまだパスキーを知らないユーザーを教育したいという意図を示しています。

「パスキーを作成」をクリックした後、PayPalは2要素認証による本人確認を要求します。

2023年8月

2025年4月

これが正常に検証されると、パスキーが作成でき、Face IDの使用を促すデフォルトのAppleパスキーポップアップが表示されます。

正常に登録されると、パスキーが正常に生成されたことを確認する通知を受け取ります。

「ログインとセキュリティ」設定では、パスキーに関する詳細を表示したり、再度削除したりすることができます。プロパティには、パスキーが作成されたデバイスに関する情報、同期されたかどうか、作成のタイムスタンプが含まれます。

パスキーを削除したい場合、PayPalはパスキーをローカルとサーバー側の両方で削除する必要があるという優れたガイダンスをユーザーに提供します。

パスキーがすでに保存されているのと同じブラウザとオペレーティングシステムの組み合わせを使用している場合、PayPalはこれを検出し、「パスキーを作成」オプションを表示しません。デバイスからパスキーを再度削除した後にのみ、新しいものをインストールできます。

PayPal iOSアプリにログインしたい場合、このデバイスで以前に作成したパスキーを使用します。アプリを開くとすぐに、Face IDを使用してログインするように促すデフォルトのAppleパスキーポップアップが表示されます。ユーザー名入力フィールドが空の場合、パスキーウィンドウはすぐには表示されませんが、有効になっているConditional UIにより、フィールドをクリックするとすぐに保存されているパスキーが自動的に提案され、事前に入力されます。

Face IDで本人確認を行った後、パスキーが正常に取得され、アカウントへのアクセスが許可されます。

2023年8月時点では、MacBookでパスキーを作成することはまだできませんでした（これは2025年4月に修正されています）。しかし、Appleキーチェーンで同期されているパスキーでログインすることはできました。このユースケースでは、ユースケース1でiPhoneに登録したパスキーを取得しました。

ブラウザでPayPalのページに入るとすぐに、おなじみのSafariパスキーポップアップが表示されます。ここで、「iPhone、iPad、またはAndroidデバイス」を選択しました。これには、ユースケース1のパスキーを保持しているキーチェーン上のiPhoneが含まれます。

パスキーが保存されているデバイス（この場合はユースケース1のデバイス）でQRコードをスキャンします。

iPhoneのパスキーでログインした後、MacBookで初めて使用する際には、PayPalアカウントにログインする前に、2FAで本人確認を行う必要があります。

このユースケースでは、AndroidデバイスでPayPalアプリを使用してパスキーを生成し、Googleパスワードマネージャーに保存します。Android PayPalアプリでパスキーを生成するプロセスは、iPhone PayPal iOSアプリのものと同じですが、Face IDの代わりにAndroidの生体認証タッチ機能を使用してAndroidでパスキーを作成する点、およびこのステップで作成されたマスターキーが保存されるGoogleアカウントを指定できる点が異なります。指紋が正常に登録されると、パスキーが正常に生成されたことを確認する通知を受け取ります。パスキーは現在、ログインとセキュリティ設定のパスキーセクションに表示されます。

iPhoneとは異なり、Androidフォンはデバイスにパスキーがすでに存在することを認識せず、「パスキーを作成」オプションを表示し続けます。ユーザーがその後パスキーを設定しようとすると、PayPalはこれを検出し、新しいパスキーの作成と既存のパスキーの上書きを防ぎます。

さらに、2023年8月時点では、電話はGoogleパスワードマネージャーに別のAndroidフォン用のパスキーがすでに保存されているかどうかを認識せず、2つ目のパスキーの作成を許可していました。これは2025年4月までに修正されています。

PayPal Androidアプリにログインしたい場合、このデバイスで以前に作成したパスキーを使用します。アプリを開くとすぐに、Touch IDを使用してログインするように促すデフォルトのAndroidパスキーポップアップが表示されます。ユーザー名入力フィールドが空の場合、パスキーウィンドウはすぐには表示されませんが、有効になっているConditional UIにより、フィールドをクリックするとすぐに保存されているパスキーが自動的に提案され、事前に入力されます。

AndroidとChrome

ネイティブiOSアプリ

iOSとSafariでユーザー名を入力し始めたとき

iOSとSafariのページ読み込み時

Face IDで本人確認を行った後、パスキーが正常に取得され、アカウントへのアクセスが許可されます。

PayPalは、金融サービスおよび決済業界におけるパスキー導入の明確な先駆者としての地位を確立しました。彼らの早期のローンチ、段階的なグローバル展開、そしてConditional UIやワンタップでのパスキーログイン体験の提供といった中核的なパスキー機能へのコミットメントは、セキュリティとユーザー体験の両方を向上させるための先進的なアプローチを示しています。

パスキーをパスワードの代替として戦略的に位置づけることで、PayPalはフィッシングやクレデンシャルスタッフィングといった一般的な脅威に直接対処し、不正利用の削減やログイン成功率の向上といった具体的な利益をもたらしています。しばしば素早い生体認証スキャンだけで済む合理化されたPayPalのログインプロセスは、従来のパスワードやOTPフローに比べて大幅なユーザビリティの向上を提供します。

ヨーロッパ内でのパスキーの統合は、PSD2とSCAの複雑さに対処する必要があり、理想的なパスキー体験とは異なる多段階の認証フローになることもありますが、PayPalが規制の進化を積極的に提唱していることは、より調和のとれたフリクションレスなグローバル体験を実現するという彼らのコミットメントを浮き彫りにしています。Conditional UIとネイティブアプリ統合に焦点を当てた彼らの技術的な実装は、パスキー展開のベストプラクティスを示しています。

PayPalのパスキーへの道のりは、他の銀行、決済プロバイダー、金融機関にとって説得力のある青写真を提供します。それは、この現代的な認証基準を採用することが、高度に規制された環境で実現可能であるだけでなく、セキュリティ、ビジネス、ユーザー体験において大きな利点をもたらすことを示しています。PayPalが2025年以降もグローバルなパスキー展開を加速させ続けるにつれて、彼らはオンライン決済のより安全でパスワードレスな未来への道を切り開いています。多くの他社が彼らの先導に続くことを願っています。決済関連のパスキーに関するご質問はお気軽にお問い合わせください。

PayPalのパスキーとは何ですか？

Paypalのパスキーは、パスワードを必要とせずにPayPalアカウントにログインするための、最新で安全な方法です。暗号技術を使用し、お使いのデバイス（スマートフォンやコンピューターなど）またはクラウド同期型のパスキーマネージャー（iCloudキーチェーンやGoogleパスワードマネージャーなど）に安全に保存されます。

PayPalのパスキーはどのようにセキュリティを向上させますか？

Paypalのパスキーは、特定のPayPalウェブサイトに紐付けられており、偽サイトで騙されて使用されることがないため、フィッシング耐性があります。また、秘密鍵はデバイスから離れることがないため、クレデンシャルスタッフィングやデータ侵害からも保護します。これにより、従来のパスワードよりも強力なセキュリティが提供され、SMS OTPのような安全性の低い方法に代わる、堅牢な2FA形式として機能します。

PayPalのパスキーを設定するにはどうすればよいですか？

PayPalのウェブサイトまたはネイティブモバイルアプリのアカウント設定内にある「ログインとセキュリティ」セクションからパスキーを設定できます。このプロセスでは、本人確認を行った後、デバイスの画面ロック解除方法（指紋認証、顔認証、またはデバイスのPINなど）を使用してパスキーを作成し、保存します。

PayPalのパスキーを複数のデバイスで使用できますか？

はい、デバイス間で同期するパスキーマネージャー（Appleデバイス用のiCloudキーチェーンや、AndroidおよびChrome用のGoogleパスワードマネージャーなど）を使用している場合、PayPalのパスキーは同期されているすべてのデバイスでシームレスなPayPalログインに使用できます。場合によっては、近くにある別のデバイスでログインを承認する必要があることもあります。

PayPalのパスキーはパスワードを完全に置き換えるものですか？

パスキーを設定したユーザーにとっては、パスワードレスのPayPalログインが提供されます。現在、パスキーは主に既存のアカウントへのログイン用であり、最初にパスワードを設定せずに新しいPayPalアカウントにサインアップすることはできません。しかし、戦略的な目標は、パスキーが主要な認証方法となるパスワードレスの未来へと移行することです。

PayPalのパスキーは2FAの一種ですか？

パスキーは本質的に多要素認証（あなたが持っているもの - 鍵を持つデバイス、そしてあなた自身であるもの - 生体情報、またはあなたが知っているもの - デバイスのPIN）を提供します。PayPalのログインに使用される際、パスキーはパスワードを置き換え、2FA要件を満たすことができる非常に強力な認証方法として機能します。ヨーロッパでは、SCA規則により、パスキーを使用した後でも追加のステップが必要になる場合があります。

物理的なセキュリティキーをPayPalのパスキーとして使用できますか？

はい、パスキー標準はFIDO2セキュリティキー（YubiKeyなど）を使用してパスキーを保存することをサポートしています。クラウド同期型パスキーに比べて一般ユーザーにはあまり普及していませんが、ハードウェアに裏打ちされたパスキーを好む方にはサポートされている方法です。

私の国でPayPalのパスキーは利用できますか？

PayPalは2022年後半に米国でパスキーの展開を開始し、2023年半ばからドイツや英国などの主要なヨーロッパ市場を含む他の国々へ段階的に拡大しています。PayPalは2025年にグローバル展開を加速させています。お住まいの地域での最新の利用可能性については、アカウント設定またはPayPalのヘルプセンターをご確認ください。

PayPalのパスキーが機能しない場合はどうすればよいですか？

PayPalのパスキーが機能しない場合、まずお使いのデバイスとブラウザの互換性（最新のアップデートが適用されたChrome、Safari、Edge、Firefox）を確認してください。アカウント設定からパスキーを一度削除し、再度追加してみてください。キャッシュのクリアやブラウザ/デバイスの再起動も、一般的な問題を解決することがあります。

PayPalのパスキーはオーストラリアで利用できますか？

はい、PayPalは2024年初頭からオーストラリアでもパスキーの利用を段階的に拡大しています。オーストラリアのユーザーは、PayPalアカウント設定の「ログインとセキュリティ」セクションからパスキーを有効にできます。最適な体験のために、お使いのデバイスがパスキーをサポートしていること（iOS 16+、Android 9+、macOS Ventura、Windows 10+）を確認してください。

どのブラウザがPayPalのパスキーをサポートしていますか？

PayPalのパスキーは、Chrome、Safari、Edge、Firefoxを含む現代の主要なブラウザで広くサポートされています。最適な互換性とセキュリティのために、ブラウザが最新バージョンに更新されていることを確認してください。

PayPalでパスキーログインを有効にするにはどうすればよいですか？

PayPalのパスキーを有効にするには、アカウントにログインし、「ログインとセキュリティ」に移動し、「パスキー」を選択して、デバイスに内蔵された生体認証またはPINを使用してパスキーを作成・登録するための指示に従ってください。

FirefoxでPayPalのパスキーを使用できますか？

はい、PayPalのパスキーはFirefoxでサポートされています。Firefoxブラウザが最新バージョンに更新されていることを確認してください。Firefoxのネイティブなパスキーサポートを使用して、PayPalアカウント設定からパスキーを作成・管理できます。

PayPalのパスキーQRコードログインはどのように機能しますか？

パスキーが保存されていないデバイスからPayPalにログインする際、画面に表示されるQRコードをパスキーが保存されているデバイスでスキャンすることができます。QRコードはプライマリデバイスでの認証をトリガーし、パスワードを入力することなく安全にログインできます。

PayPalのパスキーは英国で利用できますか？

はい、PayPalのパスキーは2023年半ばから英国で利用可能です。英国のユーザーは、PayPalアカウント設定からパスキーを設定し、サポートされているデバイス間で安全なパスワードレスログインを利用できます。

PayPalでYubiKeyをパスキーとして使用できますか？

はい、PayPalはYubiKeyのようなハードウェアセキュリティキーをパスキー認証にサポートしています。「ログインとセキュリティ」のパスキー設定からYubiKeyを登録でき、アカウントに堅牢なハードウェアベースのセキュリティを提供します。

パスキーを使用した後に2FAコードを提供する必要があるのはなぜですか？

ヨーロッパなどの特定の地域では、PSD2/SCAに基づく規制要件により、パスキー認証が成功した後でも追加の認証ステップが義務付けられる場合があります。この追加の2FAステップは、コンプライアンスを確保し、特に新規または高リスクのデバイスからのログイン時にアカウントのセキュリティを強化します。