支払いエコシステムの仕組み

Eiji Kitamura

ウェブ決済のエコシステムに関わるユーザー、ユーザー間のやり取り、参加方法について説明します。

ウェブ決済の仕組み

Web Payments は、複数のウェブ標準で構成されています。

  • Payment Request API: Payment Request API を使用すると、ネイティブ ブラウザの UI を通じて、すばやく簡単に購入手続きを行うことができます。購入手続きのたびに配送先情報やお支払い情報を入力する必要がなくなり、購入手続きのフローが統一されます。
  • Payment Handler API: Payment Handler API は、標準の Payment Request API を介して、ウェブベースの決済アプリを販売者のウェブサイトで決済手段として機能させることで、決済プロバイダにエコシステムを開放します。
  • お支払い方法の識別子: お支払い方法の識別子は、文字列(https://google.com/payhttps://apple.com/apple-pay など)を使用して支払い方法を識別する方法を定義します。標準化された支払い方法識別子に加えて、URL ベースの支払い方法識別子を使用して独自の支払い方法を定義することもできます。
  • お支払い方法マニフェスト: お支払い方法マニフェストは、お支払い方法が決済エコシステムに参加する方法と、そのようなファイルの使用方法を記述する、お支払い方法マニフェストと呼ばれる機械可読マニフェスト ファイルを定義します。

お支払いリクエスト プロセスの仕組み

通常、オンライン トランザクションには 4 つの参加者がいます。

プレーヤー 説明 API の使用
導入事例 購入手続きフローを完了してオンラインで商品を購入したユーザー。 なし
販売者 ウェブサイトで商品を販売しているビジネス。 Payment Request API
決済サービス プロバイダ(PSP) 実際に支払いを処理する第三者企業(顧客への請求と販売者への入金を含む)。決済ゲートウェイまたは決済代行業者とも呼ばれます。 Payment Request API
支払いハンドラ 通常、お客様の支払い認証情報を保存し、承認に基づいて販売者に提供して取引を処理するアプリケーションを提供する第三者企業。 Payment Handler API
ウェブでのクレジット カード決済処理の一般的なイベント シーケンス
ウェブでのクレジット カード決済処理の一般的なイベント シーケンス
  1. 顧客が販売者のウェブサイトにアクセスし、商品をショッピング カートに追加して、購入手続きフローを開始します。
  2. 販売者は、取引を処理するために顧客の支払い認証情報を必要とします。Payment Request API を使用して、お客様に支払いリクエスト UI を表示します。UI には、お支払い方法識別子で指定されたさまざまなお支払い方法が一覧表示されます。お支払い方法には、ブラウザに保存されたクレジット カード番号や、Google Pay、Samsung Pay などの支払いハンドラが含まれます。販売者は、お客様の配送先住所と連絡先情報を任意でリクエストできます。
  3. お客様が Google Pay などの支払い方法を選択すると、Chrome はプラットフォーム ネイティブの支払いアプリまたはウェブベースの支払いアプリを起動します。このステップは、支払い方法マニフェストに基づいて、支払いハンドラの実装に完全に依存します。お客様が支払いを承認すると、支払いハンドラは Payment Request API にレスポンスを返し、API はそのレスポンスを販売者サイトに転送します。(銀行振込や暗号通貨などのプッシュ型の支払いの場合、販売者がレスポンスを受け取った時点で支払いはすでに処理されています)。
  4. 販売者サイトは、支払いを処理して資金の振替を開始するために、PSP に支払い認証情報を送信します。通常、サーバー側での支払いの検証も必要です。
  5. PSP は支払いを処理し、お客様の銀行またはクレジット カード発行会社から販売者への送金を安全にリクエストしてから、成功または失敗の結果を販売者のウェブサイトに返します。
  6. 販売者のウェブサイトで、取引の成否がお客様に通知され、購入した商品の発送などの次のステップが表示されます。

注意: PSP Reliance

販売者がクレジット カード決済を受け付ける場合、PSP は決済処理チェーンの重要なリンクとなります。Payment Request API を実装しても、PSP の必要性がなくなるわけではありません。

通常、販売者は利便性と費用の理由から、第三者の PSP に支払いの処理を委託しています。これは主に、ほとんどの PSP がカード所有者のデータの安全性を規制する情報セキュリティ基準である PCI DSS に準拠しているためです。

厳格な PCI DSS 準拠を達成して維持するには費用と手間がかかるため、ほとんどの販売者は、準拠した PSP を利用することで、認証プロセスを自ら行う必要がなくなると考えています。ただし、大規模で財務基盤の強い企業の中には、このような第三者への依存を避けるために、独自の PCI DSS 認証を取得しているところもあります。

特に、支払い認証情報としてメインのカード会員番号(PAN)、つまりカードにエンボス加工された番号を扱う場合は重要です。JavaScript で処理するには、PCI SAQ A-EP への準拠が必要です。

したがって、PCI DSS 準拠の PSP に支払い処理を委任することで、販売者サイトの要件が簡素化され、お客様の支払い情報の完全性が確保されます。

次のステップ

Payment Request API のフィールドとメソッドについては、Payment Request API の仕組みをご覧ください。