Secure Electronic Transaction (SET) は、ネットワーク、特にインターネット上でのクレジットカード取引を保護するための通信プロトコル標準である。SETそれ自体は支払いシステムではなく、ユーザーが安全にオープンネットワーク上のクレジットカード決済を可能にするためのセキュリティプロトコルおよびフォーマットである。しかし、市場の支持を得ることが出来ず、VISAは2019年現在、SETではなく3Dセキュア方式を推進している。SETは、インターネット取引のセキュリティを確保するためのシステムであり、当初は、MasterCard、VISA、マイクロソフト、Netscapeなどによってサポートされていた。SETでは、ユーザーに電子ウォレット(デジタル証明書)が提供され、購入者、加盟店、カード会社間でデジタル証明書と電子署名の組み合わせを利用して、プライバシーと機密性が保たれた方法で本人確認と取引が行われるシステムとなっていた。
沿革
SETは、1996年にVISAとMasterCardがGTE、IBM、マイクロソフト、Netscape、SAIC、Terisa Systems、RSAおよびVeriSignと協力して設立したSETコンソーシアムによって開発された。[1] コンソーシアムの目的は、カード会社ごとに互換性のない規格(VISA/マイクロソフトのSTTおよびMasterCard/IBMのSEPP)を単一の標準に統一することだった。
SETを使用することで、顧客、加盟店、カード会社は互いを識別し、情報を安全に交換できた。本人認証は、拡張されたX.509証明書に基づいている。[2] SETは暗号ブラインド化アルゴリズムを使用しており、実用上、加盟店は顧客のクレジットカード番号の代わりに証明書を使用するようになっている。SETが使用されると、加盟店自身は購入者から送られてくるクレジットカード番号を知る必要はなく、正しく認証された支払いプロセスが提供され、顧客とカード会社を不正使用のリスクから保護した。
SETは、売り手、買い手、クレジットカード会社の間で、インターネット上のデファクトスタンダードな支払い方法になることを目指していた。
ところが、実施にあたっては費用や煩雑な手続きを必要とし、コンシューマー要素をブラウザーに統合するにあたって複雑な外部要因もあった。1994年ごろから1995年にかけて、マイクロソフトがインターネットブラウザに実装するSET準拠の統合コンポーネントによって担保されるすべての取引から0.25%のマージンを要求しているという風聞もあった。
主要機能
ビジネス要件を満たすために、SETには次の機能が組み込まれていた。
- 情報の機密性
- データの整合性
- カード名義人アカウント認証
- 加盟店認証
参加対象
SETには、次の参加対象が含まれる。
- カード会員
- 加盟店
- イシュアー - カード発行会社
- アクワイアラー - 加盟店契約会社
- 決済業者
- 認証局
ちなみに日本ではカード発行会社(イシュアー)が加盟店契約(アクワイア)も兼ねることが多い。
仕組み
カード所有者も加盟店も、インターネット上で取引を行うには、まずCA(認証局)に登録する必要がある。登録が完了すると、カード所有者と加盟店は、このプロトコルの9つのステップで取引を開始することができる。
- 顧客がWebサイトを閲覧し、購入する商品を決定。
- 顧客は、2つのパートからなる注文および支払情報を送信。
- a. 注文書:このパートは加盟店向け。
- b. カード情報:このパートは加盟店契約会社専用。
- 加盟店がカード情報(パートb)を加盟店契約会社に転送。
- 加盟店の加盟店契約会社がカード発行会社に支払承認を確認。
- カード発行会社が加盟店契約会社に承認を送信。
- 加盟店契約会社が加盟店に承認を送信。
- 業者が注文を完了し、顧客に確認を送信する。
- 加盟店が加盟店契約会社からトランザクションを取得。
- カード発行会社が顧客にクレジットカード請求書(請求書)を発行。
二重の署名
"The SET Standard & E-Commerce"には以下のようにある。
SETで導入された重要な革新は二重の署名である。二重の署名の目的は、2つのの異なる受信者向けの2つのメッセージを関連付けることである。顧客は加盟店に注文情報 (OI - Order Information) を送信し、カード会社に支払情報 (PI - Payment Information) を送信する。加盟店は顧客のクレジットカード番号を知る必要はなく、カード会社は顧客の注文の詳細を知る必要もない。顧客は、これら2つのメッセージを分離しておくことで、プライバシーの保護を強化できる。ただし、この2つの項目は、必要に応じて紛争の解決に使用できるようにリンクされている必要がある。この関連付けは、どの支払がどの注文に対するものであることを明らかにし、他の商品やサービスに対するものではないことを顧客が証明できるようにするために必要である。
OIとPIのメッセージダイジェスト (MD) は、顧客側でそれぞれ計算される。二重の署名は顧客の秘密鍵で暗号化されたPIとOIを連結したMDを意味する。二重の署名は加盟店とカード会社の両方に送られる。プロトコルは、加盟店がPI自体を見ることなくPIのMDを確認できるようにし、カード会社はOI自体ではなくOIのMDを確認する。二重の署名は、OIまたはPIのMDを使用して検証を可能にする。OIまたはPI自体は必要ではない。そのMDはOIまたはPIの内容を明らかにせず、従ってプライバシーは保護される。
脚注
- ^ Merkow p.248
- ^ SET Specification Book 2 p.214
参考文献