ISP仲介によるインターネットショッピングの例

 

解説

本方式は、利用者と決済について事前に契約しているISP(インターネットサービスプロバイダ)が、利用者のインターネットショッピングにおける代金の決済を、仲介してクレジット決済する仕組みである。この方式を利用するとインターネット上をクレジットカード番号や暗証番号などがやり取りされることなく、クレジット決済を行なうことが可能になる。

この際、決済情報がやり取りされる利用者とISPの間、ショッピングサイトと決済サイトの間はSSLプロトコルにより通信の暗号化が行なわれている。また、与信審査や決済情報がやり取りされるショッピングサイトとクレジットカード会社の間は専用回線で結ばれている。

 

手順例

ISPが仲介するクレジット決済の仕組みは、利用者がISPとインターネット接続契約時にクレジットカードによる料金支払い契約を結んでおく必要がある。また、@ISPは認証局に公開鍵を登録し、A認証局はISPが運営する決済サイトに対して電子証明書を発行する。

このような前提の上で、以下の手続きを取ることになる。

まず、B利用者はインターネットショッピングサイトにアクセスし、購入する商品を選択し、利用者を識別させるためにユーザIDを入力する。C注文を受けたショッピングサイトはユーザIDに対応するメールアドレスをISPから取得し、決済サイトのアドレスと注文内容から成る確認メールを利用者に送信する。また、ISPに対しては利用者からの注文情報(ユーザIDと代金)を送信しておく。D利用者はショッピングサイトから注文の確認メールを受け取る。内容を確認し記載されている決済サイトへアクセスし、SSLプロトコルによって決済サイトを認証し、利用者のアプリケーションと決済サイト間に暗号路が確立される。そして、利用者は注文内容を確認し、認証情報としてユーザIDとパスワードを入力し、決済ボタンなどを押して決済の意志を示す。E決済サイトを運営するISPは、利用者を認証し決済の意志確認を確認する。FISPは、インターネット接続契約時に預託を受けているクレジットカード番号などでクレジットカード会社に利用者の与信情報を問い合わせた上で決済する。そして、G決済の結果をショッピングサイトに通知し、Hショッピングサイトはそれを受け利用者に商品を発送する。

 

利用暗号技術

利用している暗号技術の詳細は公開されていない。また、インターネットサービスプロバイダ各社によって採用している技術が違っている。

 

技術的な課題

決済を仲介するインターネットサービスプロバイダが利用者向けに提供するSSLサーバ認証サイトを構築・運用するには以下のような技術的課題が存在する。

電子証明書の有効性確認方法の標準化に関する問題

暗号化通信や認証処理によるシステムのパフォーマンスが低下する問題

PKI技術に対応していないレガシーブラウザの存在

また、電子署名・認証技術に関する技術的課題ではないが、決済を仲介するインターネットサービスプロバイダの信頼性をどのように保証するかといった問題など決済技術に関して課題が存在する。さらに、利用者の認証をユーザIDとパスワードによって行っておりパスワード攻撃を受けるといったセキュリティ上の課題が存在する。