クレジットカードのアナウンスで思ったこと
はじめに
仕事の帰りや休日の夕飯を準備する際に、最寄りのスーパーへよく買い物をします。
そこでの支払いは基本的にクレジットカードを使用しています。
かごに入った商品をお会計してもらい、クレジットカードで支払うための機械にカードを差し込みます。
ちゃんと差し込むことができると「ただ今認証中です。」という音声が流れ、手続きが完了すれば支払いが終わります。
この流れを大阪に引っ越してから、約1年特に思うことなく続けていました。
ただ、最近この一連の流れに違和感を持つようになりました。
クレジットカードを指すと「ただ今認証中です」と音声が流れるが、この行為は認証と読んでよいのか????
OAuthに触れていると、このクレジットカードはアクセストークンとして見えてしまいます。
クレジットカードをアクセストークンのようなものをみなすなら、「ただ今認可中です。」というアナウンスが適切だと思います。
このようなモヤモヤを二ヶ月ほど思い続けています。
そこで今回は、認証と認可の定義を確認した後、クレジットカードが決済する際に渡す情報を確認します。
判断材料の確認ができたら、クレジットカードを機械に指す行為は認証か認可の判断を行い、「ただ今認証中です」か「ただ今認可中です」のどちらのアナウンスが適切かを決めていこうと思います。
認証と認可の違いについて
認証とは
まずは広辞苑から、認証という言葉の定義を確認します。
①一定の行為または文書が正当な手続・方式でなされたことを公の機関が証明すること。特定公務員の任免、批准書や外交文書には天皇の認証が必要とされ、また、株式会社の定款には公証人が認証を行う。
②コンピューター‐システムで、対象の信頼性・正当性を確認すること。ユーザーの利用資格を確認することなど。暗号技術を用いて実現される。
今回はITの話なので、②を主にして見ていきます。
対象が信じてたよることができ、正しく道理にかなっているかを確かめることが認証と定義しています。
広辞苑では、対象が正しいかどうかを重視していることが見て取れます。
他には総務省の公開している民のためのサイバーセキュリティサイトには以下のように認証を説明しています。
インターネットでは、通信している相手が本人かどうかを確認する手段として認証と呼ばれる方法がとられます。
こちらはより具体的に認証を定義しています。
画面を操作している人間がなりすましではなく、本人が操作しているかを確認することを認証だと言っています。
このように認証は、誰が通信をしているかを判断するために使用されるシステムです。
認可とは
先程と同様に広辞苑で認可について確認します。
①認めて許すこと。
②〔法〕ある法人・私人の法律上の行為が公の機関(行政庁)の同意を得なければ有効に成立しない場合、これに同意を与えてその効果を完成させる行政行為。
②は専門的な意味なので、①を主に見ていきます。
認めて許すことをもう少し深掘りするために、「認める」と「許す」の意味を調べます。
まず「認める」
①よく気をつけて見る。
②目にとめる。
③見て判断する。
④見てよしとする。かまわないとして許す。受け入れる。
⑤みどころがあると考える。
次に「許す」についてです。
①引き締めた力をゆるめる。ゆるやかにする
②気持の張りをゆるめる。警戒心をゆるめる。にさせる。
④ある物・事に価するものと認める。公に認める。
⑤願いをきき入れ、してよいとする。承諾する。許可する。
⑥罪・咎とを免じる。赦免する。
⑦負担や義務を免除する。
⑧(しっかりと捕らえたものを)のがす。そらす。逸する。
⑨ある物事が可能な状況にある。「事情の―・すかぎり参加します」
今回の認可という言葉に関わりそうなのは、「認める」の方は④で、「許す」は⑤だと思います。
どちらも同じような意味と解釈できそうです。
そのため、「認可」という言葉は
願いを受け入れる
という意味合いになりそうです。
認可の言葉についての定義を定めたので、願いを受け入れる対象について考えてみましょう。
願いを受け入れる対象は許可を求めるこであれば何でも良いと思います。
出張の申請であったり、筆記用具の借用など様々な例を挙げられます。
以上のことから、認可は行為を許可するときに使用されるものと考えることができます。
なお、「認可」の言葉については総務省やデジタル庁の用語集などに掲載がなかったため、広辞苑の参照のみとなっています。
クレジットカードでやり取りされる情報について
先程認証と認可についての言葉の定義を確認しました。
これによって、認証か認可かの判断基準を定めることができました。
なので、ここでは判断基準に照らし合わせるためにクレジットカードの決済でやり取りされる情報について確認していきます。
なお、先に断っておくと、決済機器にクレジットカードを差し込んだ際に記録される情報について明確に記載がある記事などは見つかりませんでした。
そのため、調べた範囲で確認した情報から推測している部分があるのはご留意ください。
では始めます。
こちらのサイトを参考にすると、クレジットカードの支払いに関わる部分は以下の情報を
磁気ストライプ内
- クレジットカード番号
- 名義人名前(英字表記)
- 有効期限
- 国際ブランド(Visa、Mastercard®)など
ICチップ内
- 磁気ストライプと同じ内容
- 暗証番号
そして、こちらのサイトにも記載があるようにネットのECサイトはクレジットカード番号、有効期限、支払い金額、場合によってはセキュリティコードがあれば決済できます。
以上のことから、決済機器に差し込んだ際記録される情報は、クレジットカード番号と有効期限くらいしかなさそうです。
判断基準と判断材料がそろいましたので、最後に本題のアナウンスは「ただ今認証中です」か「ただ今認可中です」どちらが適切かを決めていこうと思います。
結局どっちのアナウンスが適切なの?
結論先に言うと私は「ただ今認可中です」が適切だと考えています。
上記のように結論づけたのは、以下の理由があります。
- クレジットカード番号からは個人が特定できない
- 決済機器への差し込みは決済情報の記録をして欲しいという申請を示す行為だから
それぞれ順番にみていきます。
クレジットカード番号からは個人が特定できない
三井住友カードの記事にも書いてあるように、クレジットカード番号から個人を特定することは決済会社しかできません。
また、確認した範囲ではスーパーに設置されたクレジットカードは決済会社提供しているものではなく、決済代行会社のものだと思います。
そのため、最寄りのスーパーの決済機器がクレジットカード番号を読み取ったしたとしても、個人を判定することはできないはずです。
よって、誰を重視する認証とは範囲が違うように感じます。
決済機器への差し込みは決済情報の記録をして欲しいという申請を示す行為だから
こちらは先程の理由と関わってきますが、決済機器が行っているのは、個人を特定できないクレジットカード番号や支払い金額などを記録するという行為です。
この行為に誰という情報は存在していません。
そして、決済機器が判定しているのは、クレジットカード番号や支払い金額などを記録するか否かということです。
これは「認可」そのものです。
誰がは一切関係なく、行為の許可を行っているからです。
以上のことから、クレジットカードを決済機器に差し込んだ際のアナウンスは「ただ今認可中です」が適切だと結論づけました。
なお、今回の話だけなら「ただ今記録中です。」でもいいような気もしますが、わざわざ「ただ今認証中です」とアナウンスしているので、決済機器で何かしらの判定は行っているのだと推測しています。
なので、判定もしている前提も考慮すると「ただ今認可中です。」が一番いいかなと思います。
皆様も是非クレジットカードを差し込んだ時のアナウンスについて、思いをはせてみてはいかがでしょうか。
おわりに
今回は認証と認可の違いを確認し、クレジットカードのアナウンスは「ただ今認証中です」か「ただ今認可中です」どちらが適切かを確認しました。
この記事を書くのに、もっとも苦労したのは用語の定義を調査することです。
様々なサイトで用語の説明はもちろんあるのですが、信頼性が高い機関から発行している用語集というのがあまり充実していなくて苦しみました。
今後デジタル庁がそういう用語の定義をしていただけると嬉しいなと思います。
まあ、ほぼ需要がないのでやることはないと思いますが…。
ほぼ日記みたいでしたが、個人的には書いてて楽しかったです。
読んで頂きありがとうございました。
Discussion