PSD3 / PSRにおける委任認証とパスキー

欧州の決済ランドスケープは、第二次決済サービス指令（PSD2）によって大きく変わりました。2018年から段階的に施行されたPSD2では、セキュリティを強化し、不正利用と戦うために、ほとんどの電子決済で強力な顧客認証（SCA）が義務付けられています。SCAでは通常、ユーザーの本人確認のために、3つの独立した要素のうち少なくとも2つを使用します。知識（パスワードなど、ユーザーだけが知っていること）、所有（スマートフォンやハードウェアトークンなど、ユーザーだけが持っているもの）、そして生体情報（指紋や顔のスキャンなど、ユーザー自身の身体的特徴）です。

PSD2のSCA要件は、特定の種類の不正利用を明らかに減少させましたが、同時に決済プロセスに摩擦も生み出しました。特に、3Dセキュア（3DS）プロトコルを伴うカード決済では、ユーザーを認証のために銀行のドメインにリダイレクトすることが多く、このチェックアウト時の余分な手間が、カゴ落ちやシームレスとは言えないユーザー体験につながることがあります。

こうした課題とデジタル決済市場の急速な進化を認識し、欧州委員会は2023年6月28日に、この枠組みを更新するための法案を公表しました。このパッケージは、新たな決済サービス指令（PSD3）と決済サービス規則（PSR）で構成されています。

「革命ではなく進化」とよく言われるように、この改革は強力な顧客認証（SCA）やオープンバンキングといった既存の概念を洗練させ、不正利用に対する消費者保護をさらに強化し、決済サービスプロバイダー（PSP）間の競争を促進し、EU決済市場全体の機能を改善することを目的としています。進化の重要な分野の一つが、委任認証について明確な規定と枠組みが提供される点です。

法案が提案されてから適用されるまでには、いくつかの段階があります。2023年6月の公表後、法案は欧州議会とEU理事会が関与するEUの立法プロセスに入りました。議会の経済通貨委員会（ECON）は2023年後半から2024年初頭にかけて修正案を含む報告書草案を公表し、その後、議会は2024年4月に第一読会での立場を採択しました。次の段階では、議会、理事会、委員会が最終的な条文に合意するための交渉が行われます。このプロセスを通じて、銀行、PSP、テクノロジー企業、消費者団体などのステークホルダーが、公聴会やロビー活動に参加し、結果に影響を与えようとします。

当初の予測では2024年後半から2025年初頭までに最終決定されるとされていましたが、立法プロセスは複雑であり、一部の分析では遅延の可能性が示唆されています。最終合意が遅れ、適用開始が2027年第1四半期にずれ込む可能性もあります。一般的に、新規則はEU官報での公表から18ヶ月後に適用されると予想されており、最も早い場合で2026年半ば、最終決定のタイムラインによってはそれ以降になる可能性があります。

大きな構造的変更点として、PSD3と並行してPSRが導入されることが挙げられます。PSRはすべてのEU加盟国で直接適用されるため、SCA要件やオープンバンキングへのアクセスといった運用ルールの統一的な実施が保証されます。これは、指令であったために各国の法制化や実施にばらつきが生じ、断片化を招いたPSD2の弱点に直接対処するものです。一方、PSD3は引き続き指令として、決済機関の認可、ライセンス供与、監督に焦点を当て、市場監督において各国の状況をある程度考慮できるようにします。この二重構造は戦略的なアプローチです。つまり、規制によって重要な運用分野でより迅速かつ一貫した調和を目指しつつ、各国の特殊性がより関連する機関監督については指令の形式を維持するのです。

三者協議の複雑さ、その後の欧州銀行監督局（EBA）による詳細な規制技術基準（RTS）やガイドラインの策定の必要性、そして業界が実施準備に要する時間を考慮すると、一般的に言われる18ヶ月の移行期間は野心的に見えます。企業は計画を立てる際に遅延の可能性を考慮に入れ、2026年後半、あるいは2027年初頭を現実的な適用日として見据えるべきでしょう。

提案されているPSD3/PSRの枠組みにおける最も注目すべき明確化の一つが、委任認証（DA）が明示的に許可されることです。

委任認証（DA）とは、支払人の決済サービスプロバイダー（PSP）、通常は決済手段を発行する銀行（カードイシュアーなど）が、第三者に対して自社に代わって強力な顧客認証（SCA）の実施を許可するプロセスを指します。

規制案の原文（PSR提案の第87条、強調は筆者による）は次の通りです。

草案では、イシュアー（通常は決済口座を提供する銀行）が、SCA適用の責任を特定の第三者に委任できるとされています。これらの第三者には、マーチャント、決済ゲートウェイやアクワイアラー、オンラインマーケットプレイス、デジタルウォレットプロバイダーなどが想定されています。

この動きは、口座を保有する機関以外がSCAで要求される認証チェックを行うシナリオを公式に認め、規制上の道筋を提供する可能性があるため、非常に重要です。DAを可能にする背景にある目標は、認証体験におけるイノベーションを促進することです。委任を許可することで、規制は顧客との接点に最も近い主体（マーチャントやウォレットなど）が、生体認証やパスキーといった最新技術を活用し、より摩擦の少ない、統合された認証フローを構築することを後押しし、最終的にユーザー体験を向上させることを期待しています。StripeのDA実装のような初期の例は、PSD3草案に先駆けて開始され、これらの利点を捉えようとしました。参加したイシュアーに対して、より速い認証時間とコンバージョン率の向上を報告しています。

しかし、草案は重要な条件を導入しています。イシュアーによる第三者へのSCAの委任は、明確にアウトソーシングとして分類されるのです。この分類は単なる言葉の問題ではなく、規制上、大きな意味を持ちます。これは、いかなるDAの取り決めも、金融機関のアウトソーシングを規定する厳格なルール、主にEBAのアウトソーシング契約に関するガイドラインに準拠しなければならないことを意味します。さらに、SCA要素を検証するデジタルウォレット事業者は、発行銀行と正式なアウトソーシング契約を結ぶ必要があります。

この「アウトソーシング」というレッテルは、複雑なトレードオフを提示します。一方で、DAを明示的に許可することは、イノベーションとより良いUXに対する規制当局のオープンな姿勢を示唆します。他方で、これらの取り決めを金融サービスのアウトソーシング規制の完全な対象とすることは、相当なコンプライアンス上の負担を導入します。このプロセスは、潜在的に単純な技術的な引き渡しから、規制された中核的なセキュリティ機能の委任へと変わります。これにより、デューデリジェンス、契約の詳細、リスク管理、継続的なモニタリング、監査権、そして場合によってはデジタル・オペレーショナル・レジリエンス法（DORA）への準拠といった広範な要件が発生します。これらのアウトソーシング要件に関連する大きな負担は、DAが奨励しようとしているまさにそのイノベーションを、特にこの複雑な規制環境を乗り切るリソースを持たない小規模なマーチャントやTSPにとって、停滞させる可能性があります。

PSD3/PSR提案の下で委任認証が「アウトソーシング」として分類されることは、そのような取り決めがEBAのアウトソーシング契約に関するガイドラインの範囲内に完全に入ること意味します。これらのガイドラインは、金融機関（SCAを委任するイシュアーを含む）および、委任された機能を実行する技術サービスプロバイダー（TSP）が遵守しなければならない包括的なフレームワークを確立しています。

これらのガイドラインは、いくつかの主要な義務を課しています。

• デューデリジェンス： SCAを委任する前に、イシュアーは技術サービスプロバイダー（TSP）に対して徹底的なデューデリジェンスを実施しなければなりません。これには、TSPの事業上の評判、技術力、財務の安定性、専門知識、リソース（人的、IT）、組織構造、およびセキュリティ対策を評価し、SCAという重要な機能を実行するのに適していることを確認することが含まれます。
• リスク評価： アウトソーシング契約を締結する前および契約期間中、包括的なリスク分析が義務付けられています。これには、オペレーショナルリスク、法務リスク、コンプライアンスリスク、集中リスク（単一のTSPに過度に依存すること）、およびサブアウトソーシング（TSPが機能の一部をさらに委任すること）に関連するリスクをカバーする必要があります。「重要または重大」と見なされる機能（SCAは明示的に免除されない限り、そのように見なされる）のアウトソーシングは、さらに厳しい要件を引き起こします。
• 契約要件： 詳細な書面による合意が不可欠です。この契約では、委任された機能の範囲、役割と責任、サービスレベル合意、準拠法、金銭的義務、データセキュリティ規定（アクセシビリティ、可用性、完全性、機密性、安全性をカバー）、事業継続計画、および終了条項を明確に定義しなければなりません。重要なのは、契約が委任機関とその規制当局に対し、アウトソースされた機能に関する無制限のアクセス権および監査権を付与しなければならないことです。
• 継続的なモニタリング： イシュアーは単に「委任して終わり」というわけにはいきません。合意された指標に対するTSPのパフォーマンスを継続的に監視し、その進行中のリスク状況を評価し、セキュリティおよび事業継続対策を見直す必要があります。TSPの認証にのみ依存することは不十分です。
• 撤退戦略： SCAのような重要な機能については、イシュアーは文書化された撤退計画を持たなければなりません。この計画では、契約を終了し、機能を別のTSPに移管するか、サービスを中断したりセキュリティやコンプライアンスを損なうことなく機能を社内に戻すための戦略を概説する必要があります。
• 集中リスク： 委任機関と管轄当局の両方は、複数の機関が同じTSPに依存すること、または少数の支配的なTSPに依存することから生じる集中リスクを、特に重要な機能について監視しなければなりません。
• 「空箱」化の禁止： ガイドラインは、アウトソーシングが委任機関が認可を維持するための実体と運用能力を欠く「空箱」になるような状況につながってはならないと明記しています。コンプライアンスとリスク管理の最終的な責任は、委任機関の経営陣にあります。

さらに複雑さを増すのが、デジタル・オペレーショナル・レジリエンス法（DORA）です。これは、金融セクターにおける情報通信技術（ICT）リスクの管理に関して、EU全体で統一されたルールを確立するものです。DORAは2025年1月17日から適用されます。

DORAはDAにいくつかの点で関連しています。

• 直接適用： DORAは、SCAを委任する銀行やその他のPSPを含む金融機関に直接適用されます。
• 重要なICT第三者プロバイダー（CTPP）： DORAは、金融システムにとって重要と見なされるICT第三者プロバイダーに対する監督フレームワークを確立します。大規模にDAサービスを提供するTSP（主要な決済ゲートウェイ、ウォレットプロバイダー、関与する可能性のあるクラウドサービスプロバイダーなど）はCTPPに指定される可能性があり、EU当局による直接監督下に置かれることになります。
• PSD3/PSRとの統合： PSD3/PSR提案はDORAを明示的に参照しており、DAを含むアウトソーシング契約がその要件に準拠しなければならないことを示しています。これは、DAを実行するTSPが、ICTリスク管理、インシデント報告、レジリエンステスト、および第三者リスク管理に関するDORAの基準を満たす必要があることを意味し、コンプライアンスの負担をさらに増大させます。

EBAアウトソーシングガイドラインとDORAの相互作用は、DAに参入するTSPにとって、コンプライアンス義務の密な網を作り出します。これらのサービスを成功裏に提供するには、技術的な腕前だけでなく、ガバナンス構造、リスク管理フレームワーク、堅牢な文書化、監査への備え、そして実証可能なオペレーショナルレジリエンスへの多大な投資が必要となります。この複雑な環境は、これらの厳しい要件を乗り切るためのリソースと専門知識を持つ、より大規模で確立されたTSPを意図せずして優遇する可能性があります。

提案されたフレームワークにおけるDAの重要な帰結の一つは、SCAが失敗した場合の不正取引に対する責任の所在が移転することです。

• 草案では、委任されたSCAを実行する第三者（マーチャント、ゲートウェイ、ウォレットなど）が、SCAを正しく適用しなかった場合に生じる不正利用による金銭的損害に対して責任を負うことが示されています。これは、SCAが成功裏に適用された場合に責任がイシュアーに移ることが多い3DS下の典型的な責任移転とは根本的に異なります。
• さらに、PSR草案は、SCAの失敗が技術サービスプロバイダーや決済スキーム事業者のシステムやインフラに起因する場合、彼らに潜在的な責任を負わせることを導入しています。この特定の点については、特にMastercardから強い反対意見が出ており、SCAの実施責任に関する誤解に基づいていると主張しています。
• イシュアーは、SCAプロセスを委任する可能性がある一方で、完全に免責されるわけではありません。彼らは、詐欺師が銀行になりすます「スプーフィング」のような特定の種類の不正利用に対して責任を負い続けます。欧州議会は、APP詐欺のケースでこれらの返金権を拡大することさえ提案しています。

DA下でのSCA失敗に対してTSPに直接課されるこの責任は、重大な財務リスクを意味します。ユーザー体験の向上とコンバージョン率の向上の約束は魅力的ですが、不正利用の潜在的なコストは、DAサービスの提供を検討している多くのTSPにとってかなりの抑止力として機能する可能性があります。より高いサービス料金や専門の保険を含む堅牢なリスク軽減戦略が、マーチャントやゲートウェイによる広範なDA採用の前提条件となるかもしれません。

委任認証は、特に従来の3Dセキュア（3DS）プロセスと比較して、カード決済のユーザー体験を根本的に変える可能性を秘めています。

現在、SCAチャレンジのための3DSプロセスは、通常、顧客がイシュアー管理の要素とやり取りするハンドオフを伴います。従来は、マーチャントのウェブサイトやアプリからイシュアーのドメイン（銀行アプリや特定の認証ページなど）への完全なブラウザリダイレクトを意味していました。最近では、新しい3DSバージョンでは、マーチャントのページに埋め込まれたiframeを介してこのチャレンジをインラインで表示します。iframeは完全なページ離脱を避けますが、ユーザーの焦点をイシュアー管理のステップにリダイレクトするどちらの方法も、唐突に感じられ、チェックアウトプロセスに時間を追加し、顧客の離脱の一因となる可能性があります。

DAは、このプロセス変更の摩擦をなくす道筋を提供します。マーチャント、決済ゲートウェイ、またはデジタルウォレットが自身の環境内で直接SCAを実行できるようにすることで、認証ステップをチェックアウトフローにシームレスに統合できます。これにより、顧客にとってよりスムーズで、速く、一貫性のある体験が約束されます。デバイスに統合された生体認証（Face ID、指紋スキャン）やパスキーのような最新の低摩擦認証方法と組み合わせることで、DAはチェックアウトの摩擦を大幅に削減し、カゴ落ち率の低下と決済コンバージョン率の向上につながる可能性があります。Stripeが報告した、Wiseのカード保有者とのDAソリューションを使用した取引で7%のコンバージョン向上と4倍速い認証時間といった実世界のデータは、この潜在的な利点を裏付けています。

この可能性を実現するには、大規模な技術的および商業的な基盤整備が必要です。これには、マーチャント/ゲートウェイ/ウォレットとイシュアーの間に新しい統合ポイントと通信プロトコルを確立することが含まれます。VisaやMastercardのような決済スキームは、ここで重要な役割を果たします。例えば、Mastercardは、マーチャントとMastercardがマーチャントのフロー内でイシュアーに代わって消費者を認証できるようにするIdentity Check Expressを開発しました。同様に、StripeはWiseのような特定のイシュアーとの二者間合意に基づいてDA機能を構築しています。

これらの動向は、DAが単なる規制の更新以上のものであることを示唆しています。これは、決済認証フローを再設計するための助けとなります。認証のポイントをイシュアーのドメインからマーチャントやウォレットの環境に戻すことで、より豊かで、文脈を意識した認証決定と、従来のリダイレクトモデルよりも中断の少ないユーザー体験の機会が生まれます。このアーキテクチャの転換には、パスキーのような最新の認証方法をチェックアウトプロセスに直接統合する必要があります。しかし、この移行は、堅牢なセキュリティ対策、明確な責任分担（前述の通り）、そして信頼できるフレームワークの確立にかかっており、これらはおそらくスキームルール、二者間合意、そして厳格なアウトソーシングおよびDORA規制への準拠の組み合わせによって管理されるでしょう。

PSD3/PSRの草案が法的な土台を築く一方で、委任認証の最終的な形は、主要な業界関係者からの継続的な対話とロビー活動によって大きく影響されるでしょう。銀行、PSP、テクノロジープロバイダー、マーチャントは、これらの草案を積極的に解釈し、自社のビジネスモデルや戦略的目標に沿った変更を提唱しています。EUでのロビー活動の多くは、ドイツのロビー登録簿を通じてアクセスできます（注意：この登録簿は主にドイツ語であり、提出された文書の多くは他の欧州連合機関にも送付されています）。以下の分析は、これらの公開提出物から入手可能な要約と文書に基づいています。

主要な決済インフラプロバイダーとして、StripeはDAに大きな機会を見出しています。彼らは、DAを決済コンバージョン率を向上させ、摩擦を減らすことで顧客のチェックアウト体験を向上させるための重要なツールと見なしています。Stripeは、Wiseのようなイシュアーとの二者間合意に基づき、独自のDAソリューションを積極的に立ち上げており、PSD3/PSRが最終決定される前からこのモデルへのコミットメントを示しています。彼らのロビー活動は、規制環境がイノベーションを支援し、負担を最小限に抑えることを確実にすることに焦点を当てているようです。主な分野には、PSD3下での既存の認可事業体に対する再認可プロセスの合理化の提唱、SCA免除（取引リスク分析（TRA）のしきい値やマーチャント主導取引（MIT）など）に関する明確性と柔軟性の追求、Stripe Connectのようなソリューションを使用するプラットフォームが不必要に代理店ライセンス要件の負担を負わないようにすること、そして非銀行PSPの決済システムへの直接アクセスの推進が含まれます。

主要な電子マネー機関でありウォレットプロバイダーであるPayPalは、SCAへの結果ベースのアプローチの熱心な支持者です。彼らは、規制は、PSD2で定義された従来の知識/所有/生体情報の要素カテゴリに厳密に固執するのではなく、認証方法の実証可能なセキュリティ効果、特にフィッシングのような現代の脅威への耐性を優先すべきだと主張しています。彼らは、パスキー実装の成功を強調しており、これによりログイン成功率を向上させながら不正利用を大幅に削減しました。その結果、PayPalは、PSRを設計する政策立案者に対し、認証ソリューションの全体的な強度に焦点を当て、同じカテゴリからの強力な要素の組み合わせ（例えば、2つの所有要素）を許可し、セキュリティと使いやすさのバランスを取り、過度に規範的な技術的義務を避けるよう促しています。

Mastercardは、草案がすべてのDAをアウトソーシングとして広範に分類することに強く異議を唱えています。彼らは、他の業界団体と共に、イシュアーがSCAプロセスに対する_管理権を欠く_認証モデルのみが、アウトソーシング要件の完全な厳格さに従うべきだと主張しています。彼らのロビー活動の立場はこれを反映しており、DAが「重大な」アウトソーシングではないことの明確化を求め、DAの採用を促進するためにスケーラブルまたは多国間のアウトソーシング契約を提唱し、SCAの失敗に関連するスキームやTSPに対する提案された責任を完全に削除することを望んでいます。さらに、Mastercardは、リスク評価を向上させるために、マーチャントに行動データや環境データなどの追加情報をイシュアーに送信することを義務付けるよう求めており、TSPがSCA目的で明示的なユーザーの同意なしに生体認証データを処理することを明示的に許可するよう要求し、特定の低リスクのユースケースに対するSCA免除の微調整を提案しています。

業界団体や業界団体は、主要なプレーヤーが提起した懸念をほぼ反映しています。例えば、Payments Europeは、アウトソーシングの定義に関するMastercardの立場を反映し、イシュアーが管理権を失うシナリオのみがアウトソーシング規則を発動すべきだと強調しています。デジタル業界を代表するBitkomも、この点に関する明確化を求め、SCAのための行動生体認証の明示的な規制を提唱しています。これらのグループは、イノベーションを促進し、デジタルデバイドを避けるために、SCAフレームワーク内での技術的中立性と柔軟性の必要性を一貫して強調しています。CCIA Europeは、DAの取り決めの下でイシュアーがTSPのセキュリティ規定を広範に監査および管理する権利の実現可能性について、実践的な懸念を提起しています。

表：PSD3/PSR下での委任認証とSCAに関する主要な業界の立場

草案の現在のアプローチに対する強力で協調的な反発は、根本的な緊張関係を浮き彫りにしています。業界はDAが提供する可能性のあるユーザー体験とイノベーションの利点を望んでいますが、EBAガイドラインに基づく規制されたアウトソーシングに関連する重大なコンプライアンス負担を避けたいと考えています。彼らが提案する代替案、つまりイシュアーが管理権を保持しているかどうかに基づいてアウトソーシングを定義するという案は、規制の負担が少ないDAのためのスペースを切り開くことを目指しています。立法上の議論の中でこの議論がどのように解決されるかは、多くのTSPにとってDAの実用的な実現可能性と魅力を決定する上で極めて重要になります。

この規制上の不確実性にもかかわらず、StripeやMastercardのような主要なプレーヤーは待っていません。彼らは現在、二者間合意やスキームルールといった既存のフレームワークを利用し、しばしば生体認証やFIDO標準のような先進技術を取り入れながら、DAソリューションを積極的に開発・展開しています。この積極的な戦略により、彼らは早期に市場シェアを獲得し、DAの技術的な実現可能性を示し、新たな標準を形成する可能性を高め、クライアントを将来のランドスケープに備えさせることができます。このアプローチは、単に消費者体験を向上させるためだけではなく、進化する規制環境とそれに伴う責任の移転という固有のリスクを乗り越えながら、顧客をイシュアーよりも決済プロバイダーに密接に結びつける役割も果たします。業界がこれらの新しいDAモデルを模索する中で、パスキーのような先進的な認証技術の役割は、セキュリティとユーザー体験の両方の目標を達成するためにますます中心的になっています。

FIDOアライアンスのWebAuthn標準に基づくパスキーは、認証技術における重要な進歩であり、このセクションでは、委任認証（DA）の文脈で強力な顧客認証（SCA）のギャップを埋めるのにどのように役立つかについて議論します。

パスキーの核となる強みは、公開鍵暗号方式を使用して各ウェブサイトやアプリに固有の認証情報を作成することです。このメカニズムにより、認証情報はその作成された正当なサイトでしか機能しないため、本質的にフィッシング攻撃に耐性があります。また、パスワードのような共有された秘密情報ではなく、安全なデバイスのロック解除（多くは生体認証による）に依存します。この組み合わせは、セキュリティの強化とよりスムーズなユーザー体験の両方の可能性を提供します。

技術的な観点から見ると、パスキーは委任認証のシナリオに理想的に適しているように見えます。DAフローでは、SCAを実行するマーチャントやゲートウェイが、ユーザーにデバイス（スマートフォン、コンピュータ）に保存されたパスキーを使用して認証するよう促すことができます。この認証は、マーチャントやTSPの環境内で直接行われ、デバイスに組み込まれた生体認証機能（Face IDや指紋スキャンなど）を検証に活用するため、リダイレクトや面倒なワンタイムパスコード（OTP）の必要がなくなります。これは、よりシームレスで安全なチェックアウトを作成するというDAの目標と完全に一致しています。しかし、イシュアーが第三者のパスキーによる認証をどのように管理し、検証できるかを見てみましょう。

しかし、パスキーをSCAという規制された世界に統合するには、特にDAの下では課題があります。PSD2の厳格な3要素（知識、所有、生体情報）の分類は、パスキーがどのように適合するか、特に「所有」要素と、生体認証がパスキーを保持するデバイスのロックを解除する場合の要素の独立性に関して、曖昧さを生み出しました。同期パスキー（複数のデバイスで利用可能）の出現は、この分類をさらに複雑にしています。

PSD3/PSRは、認証要素が異なるカテゴリに属する必要はなく、単に_独立_している（一方の侵害が他方に影響しない）だけでよいと明確にすることで、ある程度の柔軟性を導入していますが、提案された規制で明記されているように：

これは、分類の曖昧さを完全に解決するものでも、SCA準拠として同期パスキーを明示的に支持するものでもありません。この規制上の不確実性は、PayPalのようなプレーヤーが提唱する、SCAへの結果ベースのアプローチの議論を補強します。これは、パスキーのような方法を潜在的に時代遅れのカテゴリの箱に押し込むのではなく、パスキーのような方法によってもたらされる実証済みのセキュリティ結果（フィッシング耐性など）に焦点を当てるものです。（結果ベースのSCAとパスキーに関するより深い分析については、私たちの結果ベースのSCA分析をご覧ください）

ユーザーやマーチャントによる同期パスキーの広範な採用と、SPCの限界を考えると、PSD3/PSRフレームワークは、委任認証内でこれらの既存のパスキー関係を活用するための明確な道筋を作ることを目指すべきです。このアプローチは、同期パスキーが成熟する前に考案された特定の技術的実装に制約されるのではなく、実践的で結果に基づいたセキュリティに焦点を当てることになります。これを達成するためには、規制の調整、運用上の信頼メカニズム、そして進化する業界標準に焦点を当てた、いくつかの重要な開発が必要です。同期パスキーを活用した将来を見据えたDAモデルには、これから議論するいくつかの重要な開発が含まれる可能性があります。

DAにおける同期パスキーの効果的な主流化は、明確なPSD3/PSR下での規制による実現と義務化から始まります。これには、以下の主要な考慮事項が含まれます。

• DAのための同期パスキーの明示的な支持： PSD3/PSRは、同期パスキーが適切に使用された場合、DAの文脈内でSCA要件を満たすことができることを明示的に明確化すべきです。焦点は、検証可能な暗号学的リンク、達成されたフィッシング耐性、そして認証プロセスの独立性に置かれるべきであり、パスキー以前のSCA要素の分類への厳格な固執ではありません。
• 豊富な認証データの義務化： 業界の要求（Mastercardなどからのもの）と一致させ、規制は、DAを実行するTSPが、包括的で標準化された認証データ（パスキー認証の詳細、関連するFIDOアサーション要素、文脈に応じたリスクシグナルなど）を、決済ネットワークやイシュアーに送信される決済取引情報に含めることを義務付けるべきです。これは、マーチャントのFIDOデータのためにEMV 3DSで使用されるthreeDSRequestorAuthenticationInfoフィールドのような既存のメカニズムに基づいています1。

規制の明確化を超えて、マーチャントが保持するパスキーによる信頼の運用化は、広範な採用にとって不可欠です。これには、以下のための堅牢なシステムとプロセスが必要です。

• マーチャント主導のDAのイシュアーによる検証： イシュアーは、パスキーから生成された認証アサーションを受信し、暗号学的に検証するための堅牢なシステムが必要になります。重要なのは、多くのDAシナリオでは、使用されるパスキーは、ユーザーがマーチャント自身のサービスにアクセスするためにすでに作成したものである可能性があるということです。
• 動的チャレンジとイシュアーの管理： イシュアーの管理を維持し、動的リンキングを確保するために、DA取引は次のように機能する可能性があります。
  • イシュアー（またはその代理の決済ネットワーク）が、一意の取引固有のチャレンジをTSP（マーチャント/ゲートウェイ）に提供します。
  • TSPは、ユーザーに、マーチャントに登録されている既存の同期パスキーを使用して、このチャレンジ（および重要な取引データ）に署名することで取引を承認するよう促します。
  • 署名されたアサーションは、検証のためにイシュアーに返されます。
• 条件付きDAロールオーバー： イシュアーとの直接の、より強力な初期認証（おそらくイシュアーが登録したパスキーや堅牢な3DSチャレンジフローを使用）により、特定のマーチャントパスキーに対する信頼関係を確立することができます。その後、その同じ検証済みマーチャントパスキーを使用したDA取引は、パスキーが有効であり、リスクパラメータが満たされている限り、上記の動的チャレンジモデルで進めることができ、よりスムーズなユーザー体験を提供します。

最後に、パスキーベースのDAの長期的な成功は、進化する標準と結果ベースのSCAという視点への確固たるシフトにかかっています。これには以下が含まれます。

• 業界団体の役割： FIDOアライアンス（決済に焦点を当てたワーキンググループを含む）やEMVCoのような組織は、このようなDAモデルを安全かつスケーラブルにサポートするために必要なプロトコルと信頼シグナルを開発し、標準化する上で不可欠です。これには、マーチャントが保持するパスキーからの認証アサーションを、DAの文脈でイシュアーが確実に提示し、検証できる方法を定義することが含まれます。
• 厳格なSCA定義を超えて： 最終的な目標は、SCAへの結果ベースのアプローチに移行することであるべきです。同期パスキー（マーチャントで作成されたものも含む）を利用したDAメソッドが、取引に動的にリンクされた、フィッシング耐性のある多要素認証を実証可能に提供できる場合、それは準拠していると見なされるべきです。これは、従来の、時には時代遅れのSCA要素の解釈に固執するのではなく、実際のセキュリティ結果を優先し、それによってイノベーションを促進し、ユーザーがすでに慣れ親しんでいる技術を活用します。

この進化により、決済エコシステムは、ユーザーとマーチャントの両方による同期パスキーへの既存の多大な投資と採用を活用し、より安全で、シームレスで、広くアクセス可能な委任認証への道を開くことができるでしょう。

上のシーケンス図は、決済エコシステム内でパスキーを活用した委任認証（DA）の将来像を示しています。これは、マーチャントがパスキーを使用して、イシュアーに代わって強力な顧客認証（SCA）を実行できる、合理化されたフローを描いています。このビジョンは、PSD3/PSRの方向性と、パスキー技術の採用拡大と一致しています。

現実との照らし合わせ： しかし、この思い描かれた未来はまだ現在の標準ではありません。広範な採用のためには、いくつかの実践的な課題に対処する必要があります。特に、来るべきPSD3/PSRの下での規制フレームワークは、同期パスキーが強力な顧客認証にどのように適合し、委任認証シナリオで責任がどのように管理されるかを完全に明確にする必要があります。イシュアーがマーチャント保持のパスキーを検証するための基準や、すべてのプラットフォームで一貫した動的取引リンキングを確保するための基準を含む、不可欠な技術標準はまだ成熟段階にあります。マーチャント主導の認証プロセスに対する幅広いイシュアーの信頼を構築することも、重要なステップです。さらに、シームレスなユーザー体験の確保、ユーザーごとに複数のパスキーを管理する可能性、そしてすべての必要な決済固有の機能に対する普遍的なブラウザ/プラットフォームのサポートを達成することは、継続的な取り組みです。最後に、同期パスキーエコシステムとアテステーションの信頼性に関する残存するセキュリティ認識に対処することが、完全な信頼を築く上で重要になります。

これらのハードルの多くは、欧州にのみ適用されることを忘れてはならない欧州のSCA法制に特有のものですが、このようなシステムを支える基盤技術は大部分がすでに整っています。これは、EU外の主要プレーヤー、例えばPayPalによる広範なパスキー採用や、多数の米国銀行（Jack HenryのBannoを利用する銀行やその他多数を含む）による広範な利用という今日の現実によって証明されています。したがって、描かれたフローは技術的に実現可能であり、ユーザーとマーチャントによるパスキー採用のこの強力で既存の勢いに逆らうのではなく、それを活用するものです。このアプローチは、世界中でより安全でシームレスな決済体験への道を開く可能性があります。

提案されているPSD3とPSRは、EUの決済規制フレームワークにおける重要な進化を表しており、PSD2の基盤の上に築きながら、その限界に対処し、急速にデジタル化する市場に適応することを目指しています。

重要な進展の一つは、委任認証（DA）が明示的に可能になり、マーチャントやウォレットのような第三者が発行銀行に代わって強力な顧客認証（SCA）を実行できるようになったことです。しかし、この実現にはEU内での重要な注意点が付随します。それは、DAが「アウトソーシング」として分類されることです。これにより、EBAのアウトソーシング契約に関するガイドラインおよびデジタル・オペレーショナル・レジリエンス法（DORA）の下で、複雑なコンプライアンス義務の網が発動します。さらに、提案では、失敗したSCAに対する責任が、委任された認証を実行した事業体に直接移転されます。

これは、特に欧州の文脈において、根本的な緊張関係を生み出しています。一方には、厳格なアウトソーシングとオペレーショナルレジリエンス要件を通じて現れる、セキュリティ、管理、およびレジリエンスの強化に対する規制の推進力があります。他方には、DAが、特にパスキーのような最新の方法と組み合わせることで提供を約束する、イノベーション、柔軟性、および改善されたユーザー体験に対する業界の強い願望があります。DA目的の「アウトソーシング」の定義を巡る激しいロビー活動は、この対立を浮き彫りにしています。これらの特定の規制上のハードルはEUで顕著ですが、基盤となるパスキー技術は、異なる規制ランドスケープを持つ他の市場で堅調な世界的採用と成功した実装を見せていることは注目に値します。

委任認証の将来の採用率と影響は、特にEU内において、立法プロセスの最終的な詳細に大きくかかっています。特に、アウトソーシング規則の範囲、責任の配分、そして決定的に重要なのは、DA内でSCA準拠のメカニズムとして同期パスキーが明示的に認識されるかどうかです。認証を実行するイシュアーとTSPの間で、実践的でスケーラブルな信頼フレームワークを確立する業界の能力もまた、最も重要になります。

パスキー、特に同期パスキーは、堅牢なフィッシング耐性とシームレスな生体認証ベースのユーザー体験の可能性を提供し、本質的にDAの目標と一致しています。これらは、従来のパスワードやOTPに代わる説得力のある代替手段です。課題は、DAにパスキーを使用することの技術的な実現可能性にあるのではなく（様々な認証目的での世界的な成功した採用が証明しているように）、EU特有の規制要件を乗り越え、SCA下での受け入れのための明確で結果に基づいた基準を確立することにあります。パスキー認証の実証可能なセキュリティ成果（暗号学的検証可能性、フィッシング耐性、動的リンキングなど）を、従来の要素分類への厳格な固執よりも優先するアプローチが、DAにおけるその完全な可能性を解き放つために不可欠です。

欧州の決済エコシステムで事業を展開する企業にとって、今後数年間は、PSD3、PSR、および関連するEBA技術標準の最終決定を注意深く監視する必要があります。組織は、成熟しつつあるパスキーエコシステムによって強化された委任認証が、自社の決済および認証戦略をどのように再構築する可能性があるかを積極的に評価すべきです。これには、同期パスキーのような技術の可能性を評価するだけでなく、DAの取り決めにおいてパートナーとの検証可能な信頼を構築するために必要な運用上およびコンプライアンス上のシフトに備えることも含まれます。

認証ソリューションのプロバイダーにとっての機会は、安全で、ユーザーフレンドリーで、顧客（TSP）がPSD3/PSRランドスケープ内でのDAの厳しいコンプライアンス要件を満たすのを助けるように設計された製品を開発することにあります。これには、認証データの安全な交換を促進し、イシュアーがマーチャント保持のパスキーで実行されたDA取引を自信を持って検証できるメカニズムをサポートすることが含まれ、最終的には、パスキー技術の世界的な勢いを活用してPSD3/PSRが達成を目指す、安全でシームレスな決済体験を育むことにつながります。