ウェブ決済エコシステムに関与するプレーヤー、それらのプレーヤーの相互作用、参加方法について学びます。
ウェブ決済で決済エコシステムがどのように機能するかを見てみましょう。
ウェブ決済の構造
ウェブ決済は、複数のウェブ標準で構成されています。
- Payment Request API: Payment Request API を使用すると、ネイティブ ブラウザ UI で購入手続きをすばやく簡単に行えます。購入手続きの流れを統一し、ユーザーが購入手続きのたびに配送先情報やお支払い情報を入力する必要を減らします。
- Payment Handler API: Payment Handler API は、標準の Payment Request API を介してウェブベースの支払いアプリケーションが販売者のウェブサイトで支払い方法として機能できるようにすることで、決済プロバイダにエコシステムを開きます。
- お支払い方法 ID: お支払い方法 ID では、文字列(
https://google.com/pay、https://apple.com/apple-payなど)を使用してお支払い方法を識別する方法が定義されています。標準化されたお支払い方法 ID に加えて、URL ベースのお支払い方法 ID を使用して独自のお支払い方法を定義できます。 - お支払い方法のマニフェスト: お支払い方法のマニフェストでは、お支払い方法のマニフェストと呼ばれる機械読み取り可能なマニフェスト ファイルを定義します。このファイルには、お支払い方法が決済エコシステムに参加する方法と、そのようなファイルの使用方法が記述されます。
支払いリクエスト プロセスの仕組み
通常、オンライン取引には 4 人の参加者がいます。
| プレーヤー | 説明 | API の使用 |
|---|---|---|
| 導入事例 | 購入手続きフローを経てオンラインで商品を購入したユーザー。 | なし |
| 販売者 | ウェブサイトで商品を販売しているビジネス。 | Payment Request API |
| 決済サービス プロバイダ(PSP) | 実際に支払いを処理する第三者企業。これには、お客様への請求と販売者へのクレジットの適用が含まれます。決済ゲートウェイまたは決済代行業者とも呼ばれます。 | Payment Request API |
| 支払いハンドラ | 通常、お客様の支払い認証情報を保存し、お客様の承認を得て事業者に提供して取引を処理するアプリケーションを提供する第三者企業。 | Payment Handler API |
- ユーザーが販売者のウェブサイトにアクセスし、ショッピング カートに商品を追加して購入手続きフローを開始します。
- 販売者は、取引を処理するためにお客様の支払い認証情報を必要とします。Payment Request API を使用して、支払いリクエスト UI をお客様に表示します。UI には、お支払い方法 ID で指定されたさまざまなお支払い方法が表示されます。お支払い方法には、ブラウザに保存されているクレジット カード番号や、Google Pay、Samsung Pay などのお支払いハンドラが含まれます。販売者は必要に応じて、お客様の配送先住所と連絡先情報をリクエストできます。
- お客様が Google Pay などのお支払い方法を選択すると、Chrome はプラットフォーム固有のお支払いアプリまたはウェブベースのお支払いアプリを起動します。このステップは、お支払い方法マニフェストに基づいて、お支払いハンドラの実装に完全に委ねられます。お客様が支払いを承認すると、支払いハンドラは Payment Request API にレスポンスを返します。このレスポンスは販売者のサイトに転送されます。(支払いが銀行振込や暗号通貨などのプッシュ型の場合、販売者がレスポンスを受け取ったときには支払いはすでに処理されています)。
- 販売者のサイトは、支払い認証情報を PSP に送信して、支払いを処理し、送金を開始します。通常、サーバー側で支払いの確認も必要です。
- PSP は支払いを処理し、お客様の銀行またはクレジット カード発行会社から販売者への送金を安全にリクエストします。その後、成功または失敗の結果を販売者のウェブサイトに返します。
- 販売者のウェブサイトは、取引の成功または失敗をお客様に通知し、購入した商品の発送などの次のステップを表示します。
注意: PSP の依存関係
販売者がクレジット カード支払いを受け入れる場合は、PSP は決済処理チェーンにおける重要なリンクとなります。Payment Request API を実装しても、PSP の必要性は変わりません。
通常、販売者は利便性と費用の理由から、サードパーティの PSP に支払い処理を依存しています。これは主に、ほとんどの PSP が、カード所有者データの安全性を規制する情報セキュリティ基準である PCI DSS に準拠しているためです。
PCI DSS の厳格なコンプライアンスを達成して維持することは費用と手間がかかるため、ほとんどの販売者は、コンプライアンスを遵守している PSP を利用することで、認証プロセスを自分で行う必要がなくなります。ただし、財務的に安定した大規模な企業の中には、このような第三者への依存を避けるために、独自の PCI DSS 認定を取得している企業もあります。
特に、支払い認証情報としてメインの口座番号(PAN)を処理する場合(カードに刻印されている番号)は重要です。JavaScript で処理するには、PCI SAQ A-EP に準拠する必要があります。
したがって、PCI DSS 準拠の PSP に支払い処理を委任すると、販売者のサイトの要件が簡素化され、お客様の支払い情報の完全性が確保されます。
次のステップ
Payment Request API のフィールドとメソッドについては、Payment Request API の仕組みをご覧ください。