99年10月 JEIDA駐在員・・・長谷川英一
米国におけるインターネット取引標準 -1- |
はじめに
米国における企業間の電子商取引は、EDI(Electronic Data Interchange)が登 場した1970年代後半から始まっていたようであるが、導入・運営のコストの高さ などから普及が伸び悩み、登場から四半世紀経った現在でも、米国において何らか の形でEDIを導入している企業数は約8万社(世界で12.5万社)と、米国の620 万と言われる企業全体の2%に満たないという状況になっている(XML/EDI Group)。(但し、日本では日本企業だけで10万社はEDIを利用しているとされて いるので、数字に整合性はないことに注意。)こうした状況を一転させたのがイン ターネットである。「オープンで安価な」インターネットを電子商取引に利用する ことで、従来のEDIを利用したオンライン取引には参加できなかった企業も次々 と参入し、インターネット取引は爆発的な成長を遂げようとしている。この9月20 日にIDCが発表したレポートによれば、クラシックなEDIは既にサチュレートに 近づきつつあるが、インターネット技術が市場を変化させつつあるとし、1999年 の11億ドルのEDI市場が2003年には23億ドルに急拡大し、その中に占めるイ ンターネットEDIのシェアが12%から41%になると言う。(但し、ちょっと計算 すればわかるように、クラシックEDI市場の絶対額も増大していくことになって おり、今のVANベースのEDIがすぐにインターネットに乗り換えていくというわ けではないことに注意を要する。) さて、今回の報告はEDI全般について取り上げようというものではなく、米国 においてインターネット取引の成長を促進している様々な取引標準というものに焦 点を当てようとするものである。インターネット取引標準は、@取引の形態に特有 な標準と、A業界に特有な標準の2つに大別されるのだと思う。取引形態に特有 な標準として、まずはSSLやSETなどのオンライン支払いの標準があり、次にビ ジネスにおけるオンライン調達の標準が挙げられるだろう。オンライン調達は、企 業間電子商取引の中でも急成長を遂げている分野であり、多くの企業や団体がオン ライン調達の取引標準を発表している。 業界毎のインターネット取引標準も、米国の企業間電子商取引において非常に重 要な役割を担っている。電子商取引の普及をさらに促進し、その利点を最大点に引 き出すためには、業界の取引形態を取り入れ独自のニーズに対応した標準を設定す ることが不可欠となる。このため、米国では、業界内の企業が集まってコンソーシ アムを結成し、業界特有なインターネット取引標準を開発する取り組みが至るとこ ろで見られるようになってきており、中でもIT、金融サービス、ヘルスケアなど が良く例として挙げられている。 本報告ではこれらの動きについて概観するとともに、もう一つ、これらの取引標 準を支える技術であるXML(Extensible Markup Language)を巡る動きについ ても、少し触れてみることにする。なお、本報告はワシントン・コア社に委託して 行った調査をベースとするものであり、その他、それぞれのところに挙げるコンソ ーシアム等のホームページなどを参照している。
企業間や消費者向けの電子商取引が普及するにつれて、オンラインで商品の売買 に関連した支払いを安全に行うための標準が必要となった。とりわけ、オンライン における支払い手段として最も利用されているクレジットカードの番号や取引デー タを盗用や改ざんから守ることは、さらなる電子商取引の普及を促す要素として欠 かせないものであった。米国では、こうした動きに対し、様々な標準設定のイニシ アチブが登場した。主要な動きとしては、@SSL、ASET、BJEPIの3つが挙げ られる。 (1) Secure Socket Layer (SSL) SSLは、改めて説明するまでもないが、インターネットで安全に通信を行うた めの暗号通信標準であり、ウェブサーバーとウェブブラウザの間でやり取りするデ ータを暗号化する。(厳密に言えば、SSLはアプリケーションのレベルの標準では なく、通信にもう少し近いレベルのプロトコルであるため、本稿で述べる取引標準 とは同列には論じられないのかもしれない。)95年にネットスケープが開発し、そ れ以来、インターネット・セキュリティのデファクト・スタンダードとして幅広く利 用されている。 SSLはウェブサーバーの実在性を認証し、そのウェブサーバーにクライアント が安全に情報を送れるようにすることを目的としている。従って、クライアントの 要請に応えてサーバーが送ってきたデジタル証明書(ネットワーク上の通信相手が 本物であることを証明するための文書で、証明書を発行した認証局(CA= Certificate Authority)の名前、有効期限、所有者名といった情報が含まれる)を、 ブラウザにプレインストールされているCAの公開鍵で見ることで、サーバーの正 当性が確認される。次に、データ通信用の共有鍵を作成して、その共有鍵をサーバ ーの公開鍵で暗号化してサーバーに送付する。このデータを盗聴されても、サーバ ーが持つ秘密鍵でしか復号できないため、他に共有鍵が流出する危険を回避できる。 その後はクレジットカード番号などの送付は共有鍵暗号を使って安全に行われる。 SSLは、ネットスケープ、インターネット・エクスプローラーの両ブラウザにそ の機能がプレインストールされていることから広く使われているが、安全面での欠 陥があると従来から警告されていた。98年6月には、ベル研究所の研究員が欠陥 を発見し、ハッカーに攻撃されるとSSLで暗号化されたデータが盗聴されたりす る危険性のあることを明らかにした。フォレスター・リサーチのアナリストである テッド・ジュリアン氏は「SSLはウェブブラウザからサーバーに転送されるデータ は暗号化できるが、電子商取引におけるセキュリティを確保する万能薬ではない」 と述べ、「SSLさえ利用すればデータのセキュリティは万全である」との考えに警 告を発している。このような声に対応し、SSLのベンダーであるマイクロソフト、 ネットスケープ、RSAデータセキュリティなどは、欠陥を修正するパッチを配布 するなど対応に追われていた。 そこでIETFは98年7月、SSLの欠陥を補う機能を追加した新標準「TLS (Transport Layer Security)」を発表した。TLSは、SSLと大きく異なる標準で はないものの、非常に使い易く、認証管理やエラー通知機能などが強化されている。
SETは、VISAとマスターカードが共同開発した、インターネット上でクレジッ トカードの決済を安全に処理するための標準である。SETは、SSLの延長線上に ある技術と言え、電子商取引の分野にさらに一歩踏み込んだ高度な電子決済の標準 である。97年5月に最初の正式仕様であるSET1.0が発表された。 SETは、デジタル認証を利用して売買に参加している個人や企業全ての身元を 確認し、クレジットカード情報を暗号化してインターネットで転送する。ユーザー がインターネット上の販売店に送る発注関連の情報と、クレジットカード会社など 金融機関に送る決済関連の情報を完全に分離する点が特徴である。さらに、オンラ イン販売店でさえもユーザーのカード番号を見られないことで、決済の安全性を高 めている。 SETでは、ユーザーはデジタルウォレットとデジタルIDが必要となる。デジタ ルウォレットは、クレジットカードの口座情報を保存するソフトウェアであり、ユ ーザーがオンラインで買い物をする際にはこのウォレットにアクセスして情報を引 き出す必要がある。また、デジタル証明は電子支払い書で利用される身元確認手段 であり、カード発行銀行がユーザーの身元を確認したという証拠となる。カード保 持者は、カード発行銀行のCAにリンクされたウェブサイトから、デジタル証明の 申込みを行う。 ユーザーと同様、販売店側にもデジタル口座の証明を保存するためのSETサー バー・ソフトウェアが必要となる。販売店は、取引のある銀行から直接口座証明を 発行してもらい、SETの取引を処理できるシステムにアップグレードする。SET サーバー・ソフトウェアは、通常、SET承認プロバイダー(SET Certified Provider) から購入するケースが大半であり、承認プロバイダーの大手としては、サイバーキ ャッシュ、エントラスト・テクノロジーズ、GTEサイバートラスト、IBM、ベリフ ォーン、ベリサインなどが挙げられる。 SETは政府の銀行業界規制により、金融取引のセキュリティが非常に厳しいこ とで有名な北欧諸国で活用されている。デンマークやフィンランドでは、SSLを 利用したクレジットカードの支払いなどは一切受け付けておらず、SETの利用が 義務付けられている。しかし、米国ではSETの普及が予想以上に進んでおらず、 北欧やアジア諸国から大きく遅れをとっており、SETの利用の80%はこれらの地 域であると言われている。米国でSETを採用している機関はバンカメリカやEDS など数えるほどしかない。米国におけるSETの普及の遅れは、技術的問題や異な るSETシステム間の互換性の欠如などに起因している。また、銀行や支払い処理 サービス機関がSETの利用を決定したとしても、SETシステムに参加するオンラ イン販売店を募る必要も生じる上、SETに参加しているオンライン販売店は、ユ ーザーにSETウォレットとデジタル証明の導入を促す必要がある。SETウォレッ トをインストールするためには、8つのステップを踏んでセットアップをしなけれ ばならず、複雑な作業をユーザーが嫌がって導入しないという問題もある。関係者 の多くは、SETの普及があまり進んでいない事実を認め、その原因としてハード ウェアやソフトウェア・ベンダーのサポートの欠如を挙げている。 こうした問題を抱えているSETを完全に無視し、SSLを導入して電子商取引に 乗り出す金融機関が相次いでいる中、SETを開発したVISAとマスターカードを 中心とするコンソーシアム「SETCo」は普及への努力を継続している。99年5月 にも、SET普及のための技術アドバイザー・グループやビジネス・アドバイザー・グ ループなどの設置を含む一連のイニシアチブを発表している。 一方で、VISAとウェルズファーゴ銀行は、99年6月に、SETに代わる新たな アプローチを模索すべく、SSLベースのセッションで利用できるデジタル証明を 発表した。VISAは、ベリサインのデジタル証明をオンライン販売店に発行する権 利を銀行に与え、インターネット取引に関連するデータ収集、認証、決済サービス などを、銀行に提供する。一方、ウェルズファーゴ銀行は、GTEサイバートラス トと提携し、オンライン販売店にデジタル証明を直接提供する。VISAでは「今回 のアプローチは、銀行や商店がSSLからSETにスムーズに移行するための1つの 手段として考えている」と述べており、あくまでSETを推進していく構えをみせ ている。
JEPIは、コマースネット (www.commerce.net)とワールド・ワイド・ウェブ・コ
ンソーシアム(W3C)(www.w3.org)が共同で実施したイニシアチブであり、オ
ンライン支払い方法の選択(クレジットカード、デビットカード、電子小切手のい
ずれか)に関する標準を開発する目的で96年末に始められた。JEPIは、支払い
の標準開発ではなく、ユーザーの利用しているサーバープラットフォームにインス
トールされている支払いシステムのうち、どのシステムを利用するのが最も効率的
かを選択する方法を設定することを目的としている。JEPIは、異なる支払い標準
の間で情報交換を行うことを可能にし、ユーザーとオンライン販売店が自由にオン
ライン取引を行える環境を整えている。 |
J.I.F.に掲載のテキスト、グラフィック、写真の無断転用を禁じます。すべての著作権はJ.I.F..に帰属します。
Copyright 1998 J.I.F. All Rights Reserved.