2024年、Google Wallet はスマートフォンのロック解除後、数分経過した場合に支払い時の本人確認を必須とする機能を導入しました。今回、この本人確認のタイミングが変更され、支払い時だけでなくアプリ起動時全体に拡大される可能性が報告されました。
これまでの経緯
Google ウォレットはこれまで、スマートフォンのロックを解除してから 3 分以上経過した場合、アプリ上部に「セキュリティのため、支払い前に本人確認が必要です」というメッセージを表示していました。この仕様により、ロック解除から一定時間が経過すると、PIN、パターン、パスワード、指紋認証、顔認証(クラス 3 生体認証)などによる再認証なしにはタッチ決済ができなくなっていました。
これは、Google がセキュリティを重視している姿勢の表れであり、日本のヘルプページでも「お支払いを行うには、セキュリティ保護のためデバイスで画面ロックを設定し、本人確認を行う必要があります」と明記されています。
新たな変更の可能性
9to5Google の報告によれば、最近になって Google ウォレットの挙動が変更されているとしており、ロック解除後 3 分以上経過すると、カードやパスのカルーセルが表示されるアプリのホームページにアクセスするだけでも認証が求められるようになったとのことです。
この際、ウォレットのロゴが表示されたスプラッシュスクリーンと共に、システムレベルの「本人確認」シートが表示され、認証を促します。 以前のカード上部のプロンプトが表示されることもありますが、この新しい全画面での認証表示が増えているようです。 この変更は、Pixel スマートフォンと Samsung の Galaxy スマートフォンの両方で、Google Wallet バージョン 25.18 で確認されています。
セキュリティと利便性のバランスについて
とくに米国や一部の国では、Google ウォレットにクレジットカード情報だけでなく、ID、パスポート、自宅や車の鍵、医療情報など、個人情報を含む多くの機密情報が保存できるようになっています。 そのため、スマートフォンを手にした第三者が、ウォレット内にどのような情報が保存されているかを知ることさえ防ぎたいというニーズがあると考えられます。
一方で、利便性の観点からは、利用時にのみ認証を求める方が良い場合もあります。特に、ポイントカードの提示や、頻繁に利用する交通系 IC カードの残高確認・チャージなど、比較的機密性が低いと考えられる操作のたびに認証が必要になるのは煩わしいと感じるユーザーもいると思われます。
ただ、公共交通機関で Google ウォレットを利用する場合には、「交通機関での本人確認設定をオフにする」という項目があり、ロックされたデバイスでも交通機関での支払いができる設定が存在します。また、この機能はあくまでもクレジットカードまたはデビットカードで支払うときの設定になるため、日本のような交通系 IC カード(Suica など)は別扱いとなっています。
すでに別扱いを受けているため、今回の変更で Suica なども対象になるとは考えにくいですが、もし突然 Suica が反応しなくなったら、一度指紋認証などでロック解除が必要になっているかもしれません。
まとめ
Google ウォレットの認証タイミングに関する今回の変更の可能性は、より機密性の高い情報がウォレットに保存できるようになっているため、安全性を高めるためには仕方のない変更かもしれません。
とはいえ、過去の様々な機能のようにウォレットの変更はグローバルで適用されるかはまだわかりません。基本的には NFC タッチ決済での支払い時に影響があるものと思われますので、今のうちに支払い前にはロック解除するクセをつけておくほうが良いかもしれません。
