PC Watchの報道によると、米VisaとKeynoは2026年5月11日(米国時間)、クレジットカードをスマートフォンにかざすだけで本人認証を完結させる新技術「Tap to Confirm」と「Tap to Activate」を発表した。すでにFidelity Bank(バハマ)の銀行アプリで実装・運用が開始されている。
なぜこの技術が注目されるのか
従来のオンライン認証では、SMS経由のワンタイムパスワード(OTP)やアプリベースの認証が主流だった。しかしSMS OTPはSIMスワッピング攻撃に脆弱であることが広く知られており、セキュリティの観点から課題が指摘されてきた。
Tap to Confirmが画期的なのは、財布の中に必ずあるVisaカードのEMVチップそのものを認証デバイスとして活用する点だ。VisaNetが年間1,500億件以上のトランザクションを処理して培ったリアルタイム認証インフラ(VTEX API)を、本人認証の場面に転用するアプローチは合理的で、既存インフラの有効活用という点でも注目に値する。
2つの機能の違い
Tap to Confirm(タップして確認)
高額送金・口座情報変更・パスワード変更などの重要操作の際、銀行アプリ上で自分のVisaカードをスマートフォンにタップするだけで認証が完了する。SMSのOTPとは異なりEMV暗号化検証を採用しており、フィッシングやSIMスワッピングに対する耐性が大幅に高い。
Tap to Activate(タップして有効化)
新しいVisaカードが届いた際、有効化のためにサポートへ電話したり番号を入力したりする手間が不要になる。アプリ内でカードをスマートフォンにかざすだけで即座に有効化される。
海外レビューのポイント
PC Watchの報道時点では個別レビュアーによる使用レポートは公開されていないが、発表内容から以下の点が技術的評価ポイントとなる。
注目できる点:
- SMSベースのOTPに比べてフィッシング耐性が格段に高い
- 既存のNFCインフラをそのまま流用できるため、スマートフォン側への追加ハードウェアが不要
- カード有効化プロセスの大幅な簡略化によりサポートコスト削減が見込める
気になる点:
- 現時点での導入はFidelity Bank(バハマ)のみで、グローバル展開のロードマップは未公表
- NFC対応のVisaカードを保有していることが前提条件となる
日本市場での注目点
日本では交通系ICカードを筆頭にNFCが生活に深く浸透しており、スマートフォンのNFC対応も標準化されている。インフラ面での親和性は高く、技術的ハードルは低い。
一方、日本の銀行・金融機関はSMS OTPやハードウェアトークンによる認証が現役であり、移行コストや金融庁の監督指針への対応が課題になるとみられる。国内展開の時期・対応カードブランドの拡大については、現時点でVisaから公式アナウンスはない。
また日本では「Apple Pay」「Google Pay」「iD」「QUICPay」など複数の非接触決済規格が並立しており、Tap to Confirmの普及には国内カード会社・銀行との連携が不可欠だ。海外での実績を積んだ後に国内展開が検討される可能性はあるが、現実的には数年単位のスパンを見込む必要があるだろう。
筆者の見解
この技術が目指しているのは「禁止で守る」のではなく、「より使いやすい公式手段を用意して、自然にセキュアな行動を促す」という設計思想だ。SMS OTPは一朝一夕には廃止できないが、Tap to Confirmのような直感的な代替手段が広まれば、ユーザーが意識しないままセキュリティレベルを底上げできる。これは正しいアプローチだと思う。
EMVチップを認証デバイスとして再活用するアプローチは、既存の物理カードインフラを捨てずに高度化するという意味で合理的だ。生体認証やFIDO2と組み合わせた多要素認証への発展も考えられ、技術的な伸びしろは大きい。
日本市場への定着には銀行サイドのシステム対応が欠かせず、すぐに恩恵を受けられるとは言いにくい。ただし「スマートフォン+物理カード」で認証を完結させる体験は、ITリテラシーを問わず直感的に理解できる。金融DXが叫ばれて久しいが、こうした「当たり前のように使える認証体験」の積み上げこそが、真の意味でのデジタル化への道筋だ。
出典: この記事は Visa、クレカをスマホにかざして本人認証する技術 の内容をもとに、筆者の見解を加えて独自に執筆したものです。