ECサイトで「購入する」ボタンを押してから「決済が完了しました」と表示されるまで、だいたい0.1〜0.5秒ほどです。
この短い時間の中で、実は5つの組織のシステムを経由して承認が返ってきています。 カード番号の検証、与信(限度額の確認)、不正検知——これだけの処理が、体感ではほぼ一瞬のうちに終わっているのです。
クレカのシステム開発・運用に長年携わってきた立場から、その裏側を解説します。
1. 登場人物の整理
まず、クレジットカード決済に関わる組織を整理します。それぞれの役割を知らないと後の説明で混乱しやすいので、最初に全員を紹介します。
| 名称 | 役割 | 具体例 |
|---|---|---|
| カード会員(あなた) | カードを使って購入する人 | — |
| 加盟店(EC事業者) | 商品・サービスを売る側 | Amazon、楽天など |
| PSP(決済代行会社) | 加盟店に代わって決済処理を代行する | Stripe、PAY.JP など |
| アクワイアラ(加盟店契約会社) | 加盟店と契約し、売上代金を立て替えるクレジットカード会社・決済専門会社 | 三井住友カード、JCB、三菱UFJニコス など |
| 国際ブランド | 決済ネットワークの運営者。ブランド料を徴収 | Visa、Mastercard、JCB |
| イシュア(発行会社) | カードを発行した会社・銀行 | 楽天カード、三井住友カード など |
この6者が1回の決済に関わっています。なお、PSPを持たない加盟店(大手EC等)は、直接アクワイアラと接続するケースもあります。
補足:国際ブランドとイシュアは別物
「VISA(ビザ)のクレジットカード」という言い方をよく耳にしますが、VISAそのものはカードを発行していません。Visaは決済の仕組みとネットワークを提供する「国際ブランド」であり、実際にカードを発行するのはイシュア(三井住友カードや楽天カードなど)です。イシュアはVisa等のブランドライセンスを受けて、そのブランドを冠したカードを発行しています。
唯一の例外がJCBです。JCBは国際ブランドでありながら、自社でもカードを発行しているイシュアでもあります(いわゆるプロパーカード)。JCBは日本発の国際ブランドで、1961年に三和銀行(現・三菱UFJ銀行)らの共同出資で設立されました。設立に関わった各社がいずれも現在はMUFGグループに属しており、歴代社長にはMUFGグループ出身者が多く、資本関係にとどまらず経営レベルでの結びつきが続いている会社です。
2. 「購入ボタン押下」から「承認完了」までの流れ
ここからは、決済処理の順番をステップごとに追っていきます。
ステップ1: 加盟店 → PSP(または直接アクワイアラ)
購入ボタンを押すと、カード番号・有効期限・CVV(カード裏面の3桁の番号。American Expressは表面の4桁)などの決済情報が、暗号化された状態でPSPに送信されます。
PSPは加盟店側の「決済の窓口」のような存在です。加盟店がカード会社と個別に契約しなくても済むよう、決済処理をまとめて代行してくれます。
ステップ2: PSP → アクワイアラ
PSPはカード情報を整理して、アクワイアラ(加盟店と契約しているクレジットカード会社・決済専門会社)に転送します。「この加盟店でこの金額の購入リクエストが来ています」という形で情報を渡すイメージです。
ステップ3: アクワイアラ → 国際ブランドネットワーク
アクワイアラは、VisaやMastercardといった国際ブランドのネットワークにリクエストを投げます。このネットワークは、世界中のアクワイアラとイシュアをつなぐ「高速道路」のような役割を担っています。
VisaのネットワークはVisaNet、MastercardはBanknetという独自の専用回線を持っており、インターネットとは別の高信頼ネットワーク上で動いています。
ステップ4: 国際ブランド → イシュア(与信チェック)
国際ブランドはカード番号からイシュア(カードを発行した会社)を特定し、リクエストを転送します。
リクエストを受け取ったイシュアは、ここで以下の項目をチェックします。
- カードが有効か(紛失・盗難で止まっていないか)
- 利用限度額の残高が足りるか
- 不正利用の疑いがないか(不正検知スコアリング)
このチェックが終わると、イシュアは「承認(Approved)」または「否認(Declined)」のレスポンスを返します。
ステップ5: イシュア → 国際ブランド → アクワイアラ → PSP → 加盟店
承認結果は、来た道を逆にたどって最終的に加盟店のシステムに届きます。画面に「決済が完了しました」と表示されるのは、このレスポンスを受け取った瞬間です。
3. 「オーソリゼーション」と「クリアリング」の違い
ここで、多くの人が混同しやすいポイントを整理しておきます。
購入ボタンを押した瞬間に起きているのは、「オーソリゼーション(与信承認)」と呼ばれる処理です。これは「この金額を使ってよいか」を確認する手続きであり、お金の移動は起きていません。
実際にお金が動くのは、後日行われる「クリアリング(売上確定・精算)」のタイミングです。両者の違いを表で整理します。
| オーソリゼーション | クリアリング | |
|---|---|---|
| タイミング | 購入ボタンを押した瞬間 | 後日(通常は当日〜数日後) |
| 内容 | 「使ってよいか」の確認・与信枠の一時拘束 | 実際の売上確定・精算処理 |
| お金の動き | なし(枠を押さえるだけ) | あり(加盟店への支払いが確定) |
EC購入後に「支払い予定」として限度額が減っているのに、口座引き落としはまだ先——という状態は、この仕組みによるものです。
稀に「オーソリは通ったが、その後クリアリング前にキャンセルされた」というケースもあります。その場合は、一時的に拘束された枠が後から解放されます。
4. 3Dセキュア2.0の役割
最近、オンライン決済で「本人認証」の画面が挟まるケースが増えてきました。これが3Dセキュア(スリーディーセキュア)と呼ばれる仕組みです。
3Dセキュアの「3D」は、3つのドメイン(イシュア・アクワイアラ・加盟店)が連携することに由来します。2021年以降に普及している3Dセキュア2.0(EMV 3-DS)は、旧バージョンに比べてユーザー体験が大きく改善されました。
旧バージョン(3Dセキュア1.0)では、ほぼすべての取引で「パスワード入力」が求められていました。現在の2.0では、リスクベース認証という仕組みが採用されています。
リスクベース認証とは、取引のリスクを自動判定し、低リスクと判断した場合はパスワード入力なしで通過させる仕組みです。具体的には次のように動作します。
- 普段と同じデバイス・場所・金額 → パスワード不要でスルー
- 普段と違うデバイスや高額取引 → ワンタイムパスワード等で本人確認
「最近、たまにしか認証画面が出ない」と感じている方が多いかもしれませんが、これはリスクベース認証が機能しているためです。
5. 少額決済とオーソリ省略:イオンカード不正利用から学ぶ仕組みの穴
ここまで説明してきた「イシュアへのオーソリ(与信確認)」ですが、実はすべての取引で必ず行われるわけではありません。
オーソリ省略の仕組み:なぜ存在したのか
かつてのクレジットカード決済では、少額取引についてはイシュアへのオーソリを省略できる運用が一部で存在していました。これを**「フロアリミット(Floor Limit)」**と呼びます。
フロアリミットとは、あらかじめ設定した金額以下の取引については、イシュアに問い合わせずアクワイアラ側(または加盟店側)が独自に承認を下せる仕組みのことです。
この運用が採用されていた背景には、以下の理由がありました。
- 処理速度の確保:コンビニや自動販売機など、スピードが最優先される少額決済では、イシュアとの通信待ち時間が数百ミリ秒でも問題になる
- 通信コストの削減:かつてはネットワーク通信費が高く、少額の全件オーソリは費用面で非合理だった
- 端末側の制約:オフライン環境(通信不安定な場所)でも決済を完了させるための手段
イオンカードの不正利用で起きたこと
この「少額ならオーソリなし」という仕組みが、不正利用の温床となった事案があります。
2024年にイオンカードで多発した不正利用では、フィッシング詐欺等で入手したカード情報をスマートフォンのiD(Apple Pay)に登録したうえで、機内モードで通信を遮断した状態で少額のオフライン決済を繰り返す手口が使われたとみられています(ケータイ Watch・ITmedia等の報道による)。攻撃のパターンを整理すると、次のような流れです。
- 不正に入手したカード番号(フィッシング・情報漏洩等)をiD等のスマートフォン決済に登録する
- 機内モード(通信遮断状態)で少額のオフライン決済を繰り返す
- オフライン取引のため、イシュア側の不正検知スコアリングが走らない
- カード会社が停止処置を取っても通信遮断により停止命令が届かず、被害が積み上がっていく
通常のオーソリフローでは、イシュアが「普段と異なる場所・端末・金額パターン」を検知して取引を止める仕組みが働きます。ところがオーソリを省略するオフライン取引に機内モードを組み合わせると、この防衛ラインをまるごとスキップでき、さらにカード停止命令まで無効化できてしまうのです。
この教訓から変わったこと
こうした事案を受け、現在ではフロアリミットによるオーソリ省略はほぼ廃止される方向に進んでいます。主な理由は次の2点です。
- 通信インフラの整備:LTE・5G回線の普及により、コンビニや自動販売機でも常時オンラインでのオーソリが現実的なコスト・速度で実現できるようになった。「通信費が高い・遅い」というフロアリミット設置の本来の理由が消滅した
- 国際ブランドの方針変更:Visa・Mastercard等が加盟店・アクワイアラに対してフロアリミットの設定を厳しく制限するよう求めるようになった。不正利用被害の拡大を受けた対策強化の一環
なお、交通系ICカードなど「オフライン前提の少額決済」は、クレジットカードの仕組みとは切り離された独立したリスク管理体系(残高管理・利用上限)で対応しています。
セクション4で説明した3Dセキュアは「オンライン決済の本人認証」を強化するものでしたが、オーソリ省略問題への対応はその前段階——「そもそもイシュアに問い合わせを届かせる」という部分の設計に関わる問題だったと言えます。
6. カード申込から発行まで:審査の自動化
決済の話とは少し離れますが、クレジットカードの「発行」プロセスも、中の人視点で触れておきます。
私は会員管理に近いシステムを担当していたため、カード申込から発行までの流れも実務で関わっていました。
今では当たり前になっていますが、申し込みから1時間程度でカードが発行される仕組みは、人が審査しているわけではありません。申込者の属性情報(年齢・職業・年収・居住形態など)をシステムが自動でスコアリングし、発行可否を判断しています。
このスコアリングには、CIC(Credit Information Center)などの信用情報機関のデータが活用されています。CICには、クレジットカード会社・消費者金融・銀行ローンなど、複数の金融機関が個人の利用・返済履歴を登録・共有しており、「この人は他社でいくら借りているか」「延滞歴はあるか」といった情報がわかるようになっています。複数社のデータが集約されることで、精度の高い信用判断が可能になるわけです。
さらに、カード発行会社は改正貸金業法・割賦販売法(割販法)という法律の制約も受けています。これらの法律により、年収に応じてキャッシング・カードローンの借入可能額や分割払い残高の上限が決まっており、カード会社はリアルタイムでその枠を管理し続ける必要があります。私はこうした規制対応システムを担当していました。制度が変わるたびにシステム改修が走るため、法改正のたびに現場は忙しくなります。
7. 中の人視点:印象に残ったオペレーション
ここからは、少し実務的な話をします。
クレカ決済の経路は複数の組織にまたがっているため、障害が起きたときに影響範囲を特定するのが難しいという特徴があります。
「決済が通らない」という事象を1つ取っても、原因の候補は多岐にわたります。
- 加盟店側のシステム(サーバーダウン)
- PSPの問題
- 国際ブランドのネットワーク障害
- イシュア側のシステム障害
- 不正検知が誤発動して弾いている
障害対応で最初にやる仕事は、「どこで詰まっているか」の切り分けです。各組織間のログを照合しながら「ここまでは届いている、ここから先で止まっている」と確認していくのですが、相手が別会社・別システムなので、連絡ルートや確認手順が確立されていないと混乱します。
また、「オーソリは通ったのに商品は届かない」というトラブルも一定数あります。加盟店側のシステムが承認後に注文情報を取りこぼすパターンで、ユーザーからすると「お金だけ取られた」ように見えてしまいます。この場合の本来の問い合わせ先はカード会社ではなく加盟店側なのですが、カード会社に連絡が来ることも多く、対応が複雑になりがちです。
もう1つ印象に残っているのが、「このIDのユーザーが、この会員番号の情報を参照していたか調べてほしい」という問い合わせです。会員管理システムのアクセスログを追う作業で、たまに来ていました。おそらく、芸能人など有名人の個人情報を社員が業務外で参照していた疑いの調査だったと思います。名前こそ出ませんでしたが、内部の情報管理がいかに重視されているかを実感した経験でした。個人情報を扱うシステムには、こうした「誰がいつ誰の情報を見たか」を記録・追跡する監査ログの仕組みが必ず存在します。
8. 「クレカを選ぶ」ときの参考になる視点
仕組みを知ると、クレカの見え方が少し変わってきます。
還元率は「イシュアのビジネスモデル」の表れです。 イシュアは加盟店から手数料を受け取る立場で、その一部をポイントとして会員に還元しています。高還元率のカードほど、加盟店手数料を高く設定している(または別の収益で補っている)ケースが多くなります。
詳しい仕組みはこちらで解説しています。
クレカのポイントはなぜもらえる?インターチェンジフィーからわかるカード会社のビジネスモデル
不正検知の精度はイシュアによって差があります。 「カードが使えなかった」という体験の一部は、不正検知が過剰に反応した結果です。一方で、検知が甘いと不正利用が増えてしまいます。このバランスは、イシュアの投資・技術力に大きく依存しています。
3Dセキュアへの対応状況もイシュアによって異なります。 2025年以降、国内でも3Dセキュア2.0への対応が加速していますが、対応のレベルや使い勝手はカードによって差が出ているのが実情です。
「なんとなく使っているカード」の裏側で、複雑な仕組みが動いていることが伝わったなら嬉しいです。仕組みを知ると、カード選びや障害時の対処の仕方も少し変わってくると思います。