こんにちは、エンジニアの toshimaru です。ワンバンクでは2026年2月、ついに Apple Pay への対応を開始いたしました!
リリース以来、多くのユーザー様から感謝の声をいただいており、開発チーム一同、たいへん嬉しく思っております☺️。
本記事では、ワンバンクの提供する決済カード(以下、「カード」と表記)がどのような仕組みで Apple Pay に登録され、決済可能になるのか―その裏側の技術仕様について解説したいと思います。
用語集
本題に入る前に、カード登録の流れを理解する上で重要な用語を整理します。
| 用語 | 解説 |
|---|---|
| プロビジョニング | カードを Apple ウォレットなどのデジタルウォレットに安全に登録し、有効化するプロセス全体のこと。 |
| イシュアー (Issuer) | カードの発行会社。私たちスマートバンク社もこのイシュアーにあたる。 |
| PNO (Payment Network Operator) | Visa、Mastercard、JCBなどの決済ネットワークを運営する国際ブランドのこと。 |
| トークナイゼーション | 実際のカード番号(FPAN)を、デバイス固有の番号(DPAN)に置き換えて保護する技術。 |
| FPAN (Funding PAN) | 物理カードやバーチャルカードに割り当てられた、実際のカード番号。 |
| DPAN (Device PAN) | ウォレット登録時に発行される、デバイス専用の仮想カード番号(トークン)。 |
カード登録の全体の流れ
ユーザー視点で見ると、カードをウォレットに登録するときの体験は、ざっくり以下の 4 ステップに分けられます。
- カード情報入力: カードの情報(FPAN、有効期限など)を Apple ウォレットに連携
- 利用規約への同意: ワンバンクが定めた利用規約に同意
- 本人確認(必要に応じて): リスク判定の結果に応じて、追加の本人確認(SMS認証やアプリ内認証など)を実施
- 登録完了: デバイス向けのトークン(DPAN)がプロビジョニングされ、決済可能になる
ポイントは、本人確認は必ず実施されるものではなく、必要に応じて行われることです。後述するリスク判定の結果によって、スキップされる場合もあれば、追加の手続きが求められる場合もあります。
カード情報入力
カード情報の入力方法としては、以下の2つの方法があります。
- Manual プロビジョニング: Apple ウォレットアプリからカードを登録する方法
- In-App プロビジョニング: ワンバンクアプリからカードを登録する方法
Manual プロビジョニング(ウォレットアプリから手動入力)
Apple ウォレットから、カード番号を手で入力またはカメラで読み取って追加する方法です。ユーザーの能動的なアクションが必要になり、やや手間な方法となります。
In-App プロビジョニング(アプリから追加)
ワンバンク内の「Apple ウォレットに追加」ボタンからカード情報を連携する方法です。カード番号の手入力が不要で、ワンタップで簡単にカード情報をウォレットに連携することができます。
加えて、 In-App プロビジョニングには以下のメリットがあります。
- 手元に物理カードおよびカード番号が不要(アプリ内部で自動連携)
- アプリ内でプロビジョニングのプロセスが完結 → シームレスなユーザー体験
利用規約への同意
カード情報の入力後、プロビジョニングを完了させるためには利用規約への同意が必要です。イシュアーは自社が定めた利用規約をPNO(国際ブランド)に事前に登録しておき、PNO経由でユーザーに利用規約を表示します。
なお、ここで表示している利用規約は以下のページでも公開しており、内容を確認することができます。
本人確認
プロビジョニングのプロセスにおいて、Appleはデバイスやアカウントから取得した情報をもとに、不正登録を防ぐためのリスク判定を行います。その判定結果は Color Path(推奨パス)としてイシュアーに連携されます。イシュアーはこの情報を使って「追加で本人確認を求めるかどうか」を決める必要があります。
Color Path(推奨パス)
Color Path の種類は以下のとおりです。
| Color Path | リスク判定 | 推奨アクション |
|---|---|---|
| 🟢 Green Path | 低リスク | 追加認証なし。 規約同意後、即座に登録を完了させることを推奨。 |
| 🟡 Yellow Path | 中リスク | 追加の本人確認を推奨。 一般的にSMS/メールによるOTP検証や、アプリ内認証を実施。 |
| 🔴 Red Path | 高リスク | 不正の疑いがあるため、登録拒否を推奨。 |
🟢 Green Path
Apple が「このプロビジョニング要求はリスクが低い」と判定した場合です。イシュアーは追加の本人確認を省略して即座に登録を完了することができます。
このパスに入ったユーザーは、追加の認証ステップを介さず、規約に同意した直後にカードが有効化されます。最もステップ数が少なく、スムーズにプロビジョニングが完了するパターンと言えるでしょう。
🟡 Yellow Path
Appleが中程度のリスクと判定した場合です。ユーザーは追加の本人確認が必要になります。
具体的な本人確認手段としては以下のようなものがあります。
- SMS・EメールによるOTP: ワンタイムパスワードによる標準的な検証
- アプリ内認証(In-App Verification): ウォレットからイシュアーアプリに遷移し、ログイン状態を確認して認証を行う
- コールセンター: オペレーターによる直接の本人確認
このパスに入ったユーザーは、追加の本人確認の成功後、カードが有効化されます。なお、ワンバンクでは本人確認手段として SMS・EメールによるOTP のみを提供しています。
🔴 Red Path
Apple が「このプロビジョニング要求はリスクが高い」と判断した場合です。ユーザーのプロビジョニング要求は拒否されます。
登録完了
上述したステップが問題なく完了すれば、Apple ウォレットにカードが登録・有効化され、ユーザーは Apple Pay で決済可能になります。
トークナイゼーション
このとき Apple デバイスに登録されるカード番号は、実際のカード番号(FPAN)ではなく、DPAN (Device PAN) として保存されます。これにより、万が一DPANが流出しても、他のデバイスでは使用できないため、不正被害を最小限に抑えることができます。
このカード番号(FPAN)を使わずに決済可能にする技術は「トークナイゼーション」と言われ、現代のカードセキュリティを支える重要な技術です。詳細な仕組みについては、下記の記事にて説明していますので、併せてご覧ください。
まとめ
Apple Pay のプロビジョニングは、ユーザー視点では、「ウォレットに追加」タップ → 規約同意 → 有効化 ─ と数タップで終わる一見シンプルなフローですが、その裏側は Apple、イシュアー、PNO が三位一体となって支えています。本記事が、その裏側の理解の一助となれば幸いです。
