EMV
Europay, Mastercard, Visaの3国際ブランドの頭文字を取った決済用ICカードの仕様
EMV Co.によって管理されている
Europayは欧州におけるマスターカードブランドの管理組織だったので、実質2大ブランドによって開発された
歴史
磁気カードによる不正手口を分析し、ICカード化によって不正被害を防ぐ試み
1990年代にフランスで決済カードを全面的にICカード化したことで不正被害が大幅に現象
より汎用的な仕様として策定されたUKISに対応したカードと決済端末をイギリスが導入
2001~2005年、カード、決済端末、ATMのほぼすべてがEMV化した
日本でも2003年頃に大手カード会社が商用レベルのEMV化を開始した
仕様
ISO7816に重なるように規定されている
以下の3つの要素に分けて標準化されている
カード
決済端末
ネットワーク
Visa, MasterCard, JCBはEMVに準拠した仕様をブランドごとに策定している
セキュリティ
EALレベル4と呼ばれる国際セキュリティ基準を満たすことが条件
ICカード化によりスキミングが困難
磁気カードに比べて偽造が困難
安全なオフライン決済
ICチップに設定されたリスクパラメータにより、決済をオフラインでも一部条件下で承認できる
イシュアーとICカードの相互認証
イシュアーがICカードを認証するだけでは、不正なイシュアーが用意された場合に対応できない
ICカードからイシュアーを認証することでよりセキュアになる
磁気カードと比較して不正判定の手段が充実
偽造・変造されたカード
SDA、DDAで判定
磁気カードでは判定不能
盗難カードの利用
PINによる認証(本人確認)により、署名の不確実性を解消
磁気カードでは加盟店による本人確認(氏名、署名確認)に依存してしまう
偽端末
オンライン相互認証方式によって判定
磁気カードでは判定不能
磁気カードからEVM化するには追加要件が発生する
発行
発行時に必要なパラメータが100程ある
会員の信用レベルや券種に応じて設定する
オーソリ
EMV取引では暗号化されたデータを含むICデータなどが電文に付加される
電文の適切な処理をシステムで対応する
売上データ
EMV取引では売上データにもIC化により付加されたデータが電文に付加される
オフライン取引については売上データに含まれるTransaction certificateとよばれるICデータを検証する必要がある
電文の適切な処理をシステムで対応する