CVMリミットやCDCVMの概要（タッチ決済の上限1万円関連）

クレジットカードのタッチ決済の上限額が1万円であるというのがどういう仕様なのか、日本クレジット協会のガイドライン等を参照しながら、CVMリミット等について調べてみたので本記事にまとめます。

調べるきっかけになったのは、以下のできごとです。

本記事の内容は、個人的な調査結果や経験、推測、感想に基づいたものです。
正確かどうか、最新かどうかについては、公式情報等をご確認ください。

タッチ決済の利便性とセキュリティ

タッチ決済では利便性向上のため、所定の条件において決済時の本人確認を不要にすることができます。

本人確認を行わないと当然セキュリティを緩めてしまうことになるので、決済額等に応じて不正利用対策等を考慮したオペレーションルールが必要です。

クレジットカード・セキュリティガイドライン

日本国内においては、そのあたりのルールを含む不正利用対策関連のガイドラインが、日本クレジット協会のWebサイトに公開されています (従来は “実行計画”)。

• 関連資料 | 安全・安心なクレジットカード取引への取組 | 一般社団法人日本クレジット協会
  (“協議会ガイドライン等” の箇所にガイドラインあり)

• クレジットカード・セキュリティガイドライン【4.0版】が改訂されました （METI/経済産業省）
  (経済産業省のWebサイトのニュースとして掲載)

本記事では、2023年3月に改訂された “クレジットカード・セキュリティガイドライン [4.0版]” を参照します。

(おさらい) タッチ決済の上限額1万円

本記事作成時点で、日本国内においては1万円を超えるタッチ決済が不可となるケースが多いようです。

この実状をもとに、決済金額に応じたタッチ決済の可否を簡単にまとめると、以下のようになります (詳細は後述)。

決済金額	タッチ決済の可否
10,000円以下	○
10,001円以上	×

クレジットカード会社による条件

タッチ決済の可否は、各クレジットカード会社の決済システムにおいて判断されます。

その判断に用いられる決済システム内部の条件までは公開されていませんが、前述の “1万円” は分かりやすい目安になります。

三井住友カードの場合

例えば、三井住友カードでは、以下のように案内されています。

Visaのタッチ決済では、サインや暗証番号は不要です。ただし、セキュリティ上の問題から、1万円を超える利用の場合、カードを挿し暗証番号を入力するか、サインが必要となる可能性があります。暗証番号の入力が必要なお取引は、Visaのタッチ決済は利用できませんので、把握しておきましょう。

出典：Visaのタッチ決済とは？使い方やおすすめカードを紹介｜クレジットカードの三井住友VISAカード

あまり細かい説明はなく、”1万円” という金額が条件になっています。

JCBの場合

JCBブランドの公式Webサイトには、金額が明記されていません。

一部のお店では一定金額以上のお支払いでタッチ決済を利用できない場合があります。その場合は、ICカードを挿入すれば、JCBカードを利用できます。

出典：JCBのタッチ決済（JCBコンタクトレス） | JCB グローバルサイト

もっと詳しく

上記だけでは仕様がよくわかりません。

そこで、ガイドラインに沿ってもっと詳しく確認していきます。

ガイドラインに記載のオペレーションルール

前述のガイドラインP32～P35を参考に、対面取引におけるIC 取引時のオペレーションルールの概要を下図にまとめます。

決済金額および各決済方法についての、本人確認の要否に関するルールです。

この図は、ガイドラインをもとに当サイトで作成したものです。正確な内容は、ガイドライン現物やその附属文書 (日本クレジット協会の会員のみが参照可) 、あるいは各決済サービス事業者の公式案内をご確認ください。

上図の(A)、(B)、(C) 3つのポイントを説明していきます。

(A) CVMリミット

CVMリミットは、決済時の本人確認を不要とする限度額 (上限額) です。

決済金額がCVMリミットの金額以下であれば、本人確認は不要となります。

後述の (B) 、(C) でも補足しますが、実用上 (簡単な理解として) は当面、”CVMリミット＝タッチ決済できるかどうかの条件” というケースが多いでしょう。

(用語) CVM

CVM ( Cardholder Verification Method ) とは、クレジットカードの保有者が本物かを認証する本人確認方法を指します。

(用語) No CVM

本人確認しないことを、No CVMと言います。

CVMリミット引き上げの動き

2022年頃、従来のCVMリミット1万円が緩和され、1万5千円となったようです。

詳細は後述します。

(B) 本人確認が不要となるタッチ決済

図中の (B) の範囲が、一般的に利用されているタッチ決済です。

かざすだけで決済できるということは、本人確認を行わずに決済できるということです。

Apple Payは生体認証必須

ただし、Apple Payの仕様として、ガイドラインに記載の本人確認の要否に関わらず、支払い時にスマホ側の生体認証が必須となります (後日追記１：Face ID、Touch IDが要求されますが、それらの失敗時にはパスコードでも認証できる動作だったので、生体認証必須とまでは言えないですね…(参考)　さらに後日追記：iOS17.3で追加された “盗難デバイスの保護” 機能による仕様変更後も、Apple Pay で引き続きパスコードを使用できます)。

Google Pay ではそのような仕様がありません。

そのため、個人的にはApple Payの方が安心感はあります。

本人確認が不要となる条件

ガイドラインで、タッチ決済 (非接触IC決済) の説明を見てみます。

非接触 IC 取引の多くは少額での決済が中心であり、多くは CVM リミット金額以下になることから、消費者の利便性を勘案し、CVM リミット金額以下の取引においては、本人確認不要とすることができるものとする。

出典：クレジットカード・セキュリティガイドライン [4.0版]

CVMリミット金額については前述のとおり、金額に基づく条件です。

条件として、 CVM リミット金額のみが記載されています。

(参考) カード差し込み決済の場合

タッチ決済でなく、カード差し込み決済の場合には、以下の説明があります。

本人確認ガイドラインで規定する「本人確認が必要となる業種/売場商品等」に該当せず、かつ、「本人確認不要取引の CVM リミット金額」の範囲内であることを前提として、加盟店は本人確認を不要とすることができる。

出典：クレジットカード・セキュリティガイドライン [4.0版]

CVMリミット以外に、”本人確認が必要となる業種/売場商品等” という条件が明記されています。これは本人確認を不要にすることができない業種や売場、商品等があるということでしょう。

その条件を規定する “本人確認ガイドライン” というのは、上記ガイドラインとは別の附属文書 (“クレジット取引における本人確認方法に係るガイドライン”) です。日本クレジット協会の会員のみが参照できる文書なので、一般には公開されていません。

上記より、カード差し込み決済よりもタッチ決済の方が、消費者の利便性が重視され、一部の条件が緩いようです。

タッチ決済の分類

タッチ決済の分類についても触れておきます。

ガイドラインによると、決済に用いるデバイスに応じて以下の2つに分類されています。

• カード型
  物理カードを使用したタッチ決済です。
  スマホ等を使用せず、リアルカード現物を決済端末にかざして”ピッ”とする方法ですね。

• モバイル型等
  スマートフォン等を用いたタッチ決済です (Apple PayやGoogle Pay)。
  (スマホ以外に、”キーホルダー型” や “ウェアラブル型 (リストバンドや時計等)”も含む)

(用語) 非接触IC取引 (EMVコンタクトレス、NFC TypeA/B)

本記事で扱うクレジットカードのタッチ決済は、非接触IC取引 (EMVコンタクトレス、NFC TypeA/B) と呼ばれます。

(C) 生体認証等を行うタッチ決済 (CDCVM)

次に、図中の (C) の範囲です。

決済金額がCVMリミットを超えて、本人確認が不要にはならない (＝本人確認が必要となる) ケースです。

(用語) CDCVM (Consumer Device CVM)

前述のCVMの前に “Consumer Device” がついたものです。

消費者のデバイス (スマホ等) 上での生体認証等を用いた本人確認のことです。

• 参考：CDCVM: Promoting Security, Reliability and Convenience | EMVCo

Apple Payでは標準でCDCVMに対応、Google Pay では “画面ロックを解除した状態” にすることでCDCVMが適用されるらしいです (公式なソースは見つけられませんでした)。

Apple Payの場合は標準でこの仕組みに対応しており、Google Payの場合は「画面ロックを解除した状態」にすることでCDCVMが適用される。

出典：クレカのタッチ決済、上限金額の謎【鈴木淳也のPay Attention】-Impress Watch

ガイドライン上は、CVMリミットを超えてもタッチ決済可

ガイドラインによると、CVMリミットを超えたからといって必ずタッチ決済できなくなるという訳ではなさそうです。

所定の方法により本人確認ができれば (適切なCVMを適用すれば) 、決済できることになっています。

CVMリミットを超えた場合に認められている本人確認の方法

①カード型、②モバイル型等、それぞれについて説明があります。

①カード型
・CVM リミット金額超の取引については、非接触 IC 取引から接触 IC 取引に切り替え、オフライン PIN による本人確認を行う。接触 IC 取引への切り替えができないカードの場合に
は、サインによる本人確認を許容する。

②モバイル型等
・CVM リミット金額超の取引については、Consumer Device CVM （モバイル型等のパスワードや指紋認証等の機能）もしくはサインを用いた本人確認を行う。

出典：クレジットカード・セキュリティガイドライン [4.0版]

①のカード型の場合、基本的にタッチ決済でなく接触IC取引 (カード差し込み決済) への切り替えになりますが、一部のカードでは接触IC取引への切り替えができないケースがあるため、サインによる本人確認が許容されています。つまり、サインにより本人確認を行うタッチ決済のオペレーションが、ガイドライン上は一部認められています。

②のモバイル型等の場合、スマホ等のデバイス上での生体認証等を用いたCDCVM、もしくはサインを用いた本人確認を行うこととなっています。つまり、スマホの生体認証等やサインにより本人確認を行うタッチ決済のオペレーションが、ガイドライン上は認められています。

※①のサインについては、接触IC取引への切り替えができない一部のカードのためのものなので、本記事では詳細について言及しません。

しかし、実態として普及していないような…

CVMリミットを超えた場合の扱いが上記②のとおりなら、”じゃあ限度額を気にしなくても本人確認さえできればタッチ決済できるんだし、心配しなくて良いのでは？” と思ってしまいます。

しかし、実態としては上記のガイドラインと乖離があるように思われます。

実際、以下のように決済できなかったので…(再掲)。

CDCVMが普及しづらそうな点についての勝手な考察

前述のとおり、CVMリミットを超えた場合に認められている本人確認方法が、①カード型と②モバイル型等で異なっています。

CDCVMが可能となるのはスマホ等を用いた②モバイル型等での決済のみです (①カード型では基本的に接触IC決済への切り替えで、切り替え不可のカードでのみサイン可)。

しかし、決済システムの実装や、店舗側でのオペレーション (店員さんの操作理解の負担やお客さんの混乱) を考えると、この①と②を区別して決済オペレーションを行うというのは、複雑すぎて現実的に難しいのではないでしょうか。

決済システムの種類も、各カード会社が提供する端末や、加盟店自身が用意するPOS等、お店によって事情は様々なはずです。

…というのは、私の勝手な考察です。ただ、できるだけ早くスマートにCVMリミットを突破できるようになってほしいですね。

なお、サインについては、今後推奨されなくなることを考えると (後述)、あまり積極的に決済オペレーションに組み込みたくはないでしょう。

(参考) サインによる本人確認は推奨されなくなる

本人確認の方法として、サインを取得しないことが今後推奨されるそうです。

①加盟店によるサイン取得の任意化

…　
また、国際ブランドのルールでは、サインを取得するか否かは加盟店による裁量に委ねられており（任意化）、世界的には既に、サインが従来果たしてきた本人確認としての有効性は低下している。

上記に鑑み、本人確認方法としての「サイン」の取得は 2025 年 3 月を目途に加盟店の任意とし、取得しないことを推奨する。なお、「サイン」を取得する場合においても売上票に記載されたサインとの同一性確認は必須とはしない。

出典：クレジットカード・セキュリティガイドライン [4.0版]

CVMリミットが緩和されて1万5千円に？

実は2022年頃に、従来のCVMリミット1万円が緩和されて、1万5千円となっているようです。

さっと見つかった範囲で各国際ブランドの状況を記載しておきます。

Visa、Mastercard (三井住友カード公式サイトより)

三井住友カードのWebサイトにある、加盟店向けの案内です。

VisaとMastercardのブランドルールが変更により、CVMリミットが1万5千円になったようです (Mastercardは非接触ICカード取引が対象)。

Visaブランドルールにおいて、すべてのカード取引における、CVMリミットが、10,000円から15,000円となります。
…
Mastercardブランドルールにおいて、非接触ICカード取引における、CVMリミットが、10,000円から15,000円に変更となります。

出典：ブランドルール改定に伴う端末機設定変更のお知らせ｜ご加盟店契約、アクワイアラーならクレジットカードの三井住友カード

加盟店の端末 (お店にあるクレジットカードの決済機器) の設定を順次変更することで、このCVMリミット変更に対応していくという案内です。

アメリカン・エキスプレス

こちらも、加盟店向けの案内です。

同様にCVMリミットが1万5千円になったようです。

アメリカン・エキスプレスのブランドルール改定に伴い、2022 年10 月14日より順次、アメリカン・エキスプレス・カードの対面取引における本人確認不要取引CVMリミット金額が現行10,000 円から15,000円に引き上げられます。

出典：アメリカン・エキスプレスのブランドルール改定に伴う本人確認不要取引CVMリミット金額引き上げのお知らせ

いつ1万5千円までのタッチ決済が可能になる？

順次、1万5千円までのタッチ決済が可能になると思われますが (という期待をしていますが)、少なくとも本記事作成時点では、まだ対応していないお店がある (むしろほとんど？) ようです。

※例えば、以下のタッチ決済の失敗事例は、1万円～1万5千円の金額を、三井住友カード (Visa) を登録したApple Payで支払おうとしたときの話です。よって、少なくとも対応していないチェーン店はあります。

早く実際のお店の決済システムに反映されてほしいですね。

ウォレットアプリ、プリペイドカード、デビットカード等

上記は全て、クレジットカードに関する話でした。

ウォレットアプリやプリペイドカード、デビットカードについては、扱いが少し異なります。

機会があれば、別記事にまとめます。

まとめ

クレジットカードのタッチ決済の上限額が1万円であるというのがどういう仕様なのか、日本クレジット協会のガイドライン等を参照しながら、CVMリミット等について調べてみた結果をまとめてみました。

早く、普段私たちが使用する決済で、CVMリミット引き上げや、CVMリミット超過時のCDCVMがしっかり普及してくれると嬉しいです。

参考になった記事等

以下、参考になった記事です。

色々なお店の決済システムの状況等についての説明もあります。

• キャッシュレス（バーコード・電子マネー・コンタクトレス）決済限度額一覧

• 「いくらまでタッチだけで決済できるの？」~タッチ決済の上限額と本人確認について~ – 現金いらず.com
  (イオングループのレシートには本人確認済みかどうか記載されるのですね)

• クレカのタッチ決済、上限金額の謎【鈴木淳也のPay Attention】-Impress Watch
  (CDCVMあたりについて本記事の理解と少し相違があるかも…)

参考

• 本記事は、Icons8のアイコンを使用しています(Icons by Icons8)。

ちなみに、私は三井住友カード プラチナプリファードを愛用しています。

活用方法は以下の記事にまとめてありますので、興味がありましたらご覧ください。