実体はトークン化
結論からいうと、Apple Payは最近クレジットカード会社が始めた「トークン化(Tokenisation)」を使ったサービスのようです。トークン化とは、ユーザー側の機器やカードにクレジットカード番号(16桁の数字)を渡さず、それを代用するトークン(やはりこちらも16桁の数字)を渡して使うというものです。ユーザーが決済する際に、このトークンを使うと、クレジットカード会社のサーバー側でクレジットカード番号に変換し、カード発行者(銀行など)との決済処理をします。トークン化のメリットは、同じクレジットカードの契約情報(番号)を使いながら、複数の機器で異なるトークンを持たせられることです。例えば、iPhone 6とApple Watchに同じクレジットカード番号にひもづいた異なるトークンを格納することができます。もし、iPhone 6が盗難に遭っても、iPhone 6のトークンの利用を停止すればよく、クレジットカード番号の変更やApple Watchのトークンの変更は不要です。
ここで「店舗の店員などが、トークンを盗んでしまったら、結局悪用されるのではないか」という疑問が生じるかもしれません。ここにも手当てがされています。クレジットカード会社がICカード決済で利用するEMVという仕様では、動的認証という仕組みが用意されています。決済処理を行うクレジットカード会社のサーバーとユーザー側のICカードの間で、同じ秘密データを持ち、これを種に毎回異なるセッション鍵を作り、これを認証に使う仕組みです。この仕組みにより、途中でトークンやそれに付随する情報を盗み見られても、正当なセッション鍵がなければ、その情報を使って別の決済処理をすることはできなくなります。Apple Payの場合であれば、iPhone 6に今回搭載される暗号チップ「secure element」でこのセッション鍵の生成やデータの暗号化などが行われるわけです。
