中国式QRコード決済について(1):不便さこそが取引を安定させる

たまたま中国のQRコード決済にかんする書き物にTwitterでツッコミを入れる機会があったので、筆者の考えをまとめておく。

送金は「決済スキーム」と「送金スキーム」の部品にすぎない

ツッコミを入れたのはこちらの記事。

『QRコード”送金”が推進した中国のキャッシュレス事情』(2019/04/02)

決済と送金、「この両者はスキームがまったく異なります」としている。

「取引の当事者以外に債権を引き受ける人(会社)が必要になる」ことで、「決済事業者の理解をとりつけることが商売の壁になってはいけません」としている。

しかし送金のスキームに取引の当事者以外に債権を引き受ける人は必要ない、というのは端的に間違っている。

それが間違いである第一の理由は、送金は単に「決済のスキーム」と「送金のスキーム」の両方を構成する部品に過ぎず、「送金のスキーム」にも取引の当事者以外の人が必要だからだ。

第二の理由は、決済事業者の理解を取り付けるという壁、つまり、決済にかかわる一見ムダと思われるコストが発生するからこそ、あらゆる取引と決済の基礎になる金融システムが安定するからだ。

以下、この点を説明してみる。

まず取引とは、有形のモノ、無形の情報を、お金(貨幣)に換算して交換することだ。

この記事の「決済のスキーム」「送金のスキーム」では情報の流れが無視されているので、それを補ってみる。

わざわざ情報の流れを付け加える理由は、取引を成り立たせるのに必要不可欠な「信用」が情報のやりとりだからだ

【決済のスキーム】
(1)顧客は店舗に、モノを購入しますという情報を送る。
(2)店舗はクレジットカード会社に、顧客から注文を受けたという情報を送る。
(3)クレジットカード会社は店舗に、モノの価値相当の貨幣を送る。
(4)店舗は顧客に、モノを送る。
(5)店舗はクレジットカード会社に、モノを発送したという情報を送る。
(6)顧客は店舗とクレジットカード会社に、モノを受け取ったという情報を送る。
(7)顧客はクレジットカード会社に、モノの価値相当の貨幣を送る。

このうち(3)(7)が送金で、(5)がモノの発送、その他は情報の送信だ。

債権は(2)で店舗がクレジットカード会社に送信する情報の中身のことである。顧客が店舗にいくらの借りがあるかという情報だ。

このように送金は「決済のスキーム」の部品、(3)と(7)にすぎない。

一方、上の記事で「送金のスキーム」とされるものは以下のとおり。

「決済のスキーム」と比べやすいように、番号はそのままにする。

【送金のスキーム】
(1)顧客は店舗に、モノを購入しますという情報を送る。
(2)なし
(3)顧客は店舗に、モノの価値相当の貨幣を送る。
(4)店舗は顧客に、モノを送る。
(5)なし
(6)顧客は店舗に、モノを受け取ったという情報を送る。(必須ではない)
(7)なし

このうち(3)が送金で、(5)がモノの発送、その他は情報の送受信だ。

どちらも、お金を送る、情報を送る、モノを送るの3つの要素からなり、本質的に違いはない。

ここで債権は(1)で顧客が店舗に自ら送信する情報の中身のことだ。

スキームの信用は金融機関が裏付けになっている

じつは上記の2つのスキームでは、重要な関係者が無視されている。それは銀行や郵便局など、主に現金を管理する金融機関だ。

【決済のスキーム】
(1)顧客は店舗に、モノを購入しますという情報を送る。
(2)店舗はクレジットカード会社に、顧客から注文を受けたという情報を送る。
(3-1)クレジットカード会社は店舗の現金管理者(銀行など)に、モノの価値相当の貨幣を送る。
(3-2)店舗の現金管理者は店舗に、いつでも現金を手渡せるようにする。
(4)店舗は顧客に、モノを送る。
(5)店舗はクレジットカード会社に、モノを発送したという情報を送る。
(6)顧客は店舗とクレジットカード会社に、モノを受け取ったという情報を送る。
(7ー1)顧客はクレジットカード会社の現金管理者(銀行など)に、モノの価値相当の貨幣を送る。
(7ー2)クレジットカード会社の所有現金の管理者はクレジットカード会社に、いつでも現金を手渡せるようにする。

先ほど債権が発生するのは(2)の情報送信だと書いたが、この情報が正しく管理されないと正しい取引が成立しない。

そして新たに登場した銀行は、店舗や顧客の現金を管理している。現金が正しく管理されないと正しい取引が成立しない。

クレジットカード会社が債権という情報を、銀行が現金を正しく管理するからこそ、顧客と店舗は安心して決済できる。決済のスキーム全体に対する信用が生まれる。

そして情報の管理、現金の管理には当然コストが発生する。人や情報システムの運用などなど。

そのコストはクレジットカード会社の決済手数料や、銀行の送金・振込手数料として、顧客と店舗が負担する。これは信用の対価だ。信用はタダではない。

【送金のスキーム】
(1)顧客は店舗に、モノを購入しますという情報を送る。
(2)なし
(3ー1)顧客は店舗の現金管理者(銀行など)に、モノの価値相当の貨幣を送る。
(3ー2)店舗の現金管理者は店舗に、いつでも現金を手渡せるようにする。
(4)店舗は顧客に、モノを送る。
(5)なし
(6)顧客は店舗に、モノを受け取ったという情報を送る。
(7)なし

送金のスキームではクレジットカード会社の代わりに、顧客と店舗が自己責任で情報を管理する。

コストをかけて信用を与えてくれる第三者がいないため、顧客と店舗は一対一でだまし合うこともできる。

ただ、現金を管理する銀行はやはり必須だ。現金を手渡しするにしても、全財産をタンス預金にしない限り、取引の準備として銀行に現金の管理を任せることになる。

現金の管理には当然コストが発生する。そのコストは銀行の送金・振込手数料として、顧客か店舗が負担する。これも取引全体の信用を保つための対価だ。信用はタダではない。

そして中国のQRコードによる送金の場合、支付宝やWeChat Payが銀行の役割をはたす。(以下支付宝で代表させる)

「いや、支付宝は銀行口座とひもづける必要があるので現金を管理するのはやはり銀行だ」という反論がありそうだ。

その反論を受け入れるとすれば、支付宝は現金ではなく債権の情報を正しく管理する必要がある。これはクレジットカード会社と同じ役割だ。すると「送金のスキーム」ではなく「決済のスキーム」になってしまう。

だが重要なのは「決済のスキーム」なのか「送金のスキーム」なのかではない。

重要なのは、銀行や郵便局と同じくらい支付宝を信用できるか、できるとしてその信用のコストを誰が負担するのかという点だ。

たとえば銀行のシステムがたびたび不具合で停止するとか、不正アクセスを受けて残高が消えるとか、職員が不正をはたらいて金をくすねるとか・・・。

これでは銀行の信用が成り立たず、決済のスキームも送金のスキームも成立しない。信用はタダではない。

その信用を支えているのは、金融機関を厳しく規制する法律である。厳しい規制をクリアするために、銀行は多額の投資をしてシステムや職員の品質を維持している。

クレジットカード会社も厳しい法規制をクリアすることで正しく情報を管理し、社会的信用を保つことができている。

銀行やクレジットカード会社がコストをかけて社会的信用を維持することで、初めて顧客と店舗は安心して取引ができる。

信用のコストは必ず誰かが負担している

何度でもくり返すが、信用はタダではない。

銀行やクレジットカード会社の場合、顧客や店舗が自ら手数料でそのコストの一部を負担している。

では銀行やクレジットカード会社ほど厳しい規制を受けない支付宝を、どうやって信用すればいいのだろうか。

支付宝はユーザの残高(または残高情報)が突然ゼロになったりしないように、社員がシステムを不正操作して金をくすねたりしないように、十分な投資をしているだろうか。

法的規制なしに誰がそれを保証してくれるのだろうか。

日本のQRコード決済事業者は、顧客向けにも、店舗向けにも、手数料が低いことを売りにしているが、では正しく情報や現金を管理することを保証するコストは、誰が負担しているのか。

事業者が赤字覚悟で手数料を下げているなら、そもそも事業を継続できるのだろうか。

ある日突然QRコード決済事業を停止され、現金として引き出せないとなれば、文字どおり元も子もない。

サービス開始当初こそ、派手なキャンペーンで一部の顧客や店舗は食いつくだろう。

しかし、長期的に安定した社会インフラとして定着するためには、長期的な人やシステムへの投資が必要になり、そのコストは決済サービスの利用者、つまり顧客、店舗がいずれ負担せざるを得なくなる。

非効率さこそ金融システムを安定させる

つまり、冒頭の記事の主張とは逆で、「お金を受け取ることに壁をつくる」からこそ、すべての経済的な取引が成立している。

情報やお金を正しく管理すべき事業者が法的規制を受け、コストを負担する必要があるからこそ、事業者の社会的信用が担保される。

そのコストは顧客や店舗が負担せざるを得ない。信用はタダではないから。

日本はよく現金主義だと言われるが、それは多くの日本人がクレジットカード会社さえ信用していないことになる。

これは、日本では社会的信用の値段が高いということだ。逆の言い方をすれば、手数料というコストを負担してでも安全な取引をしたい社会、ということになる。

決済事業者は「エッチな本を描いて誰かに売る」ような、不健全な取引を拒否するかもしれない。それは機会損失というコストをかけて、社会的信用を維持しているに過ぎない。

ヘンな取引の決済に手を貸す決済事業者は、社会的信用を失うからだ。

このように日本社会では「信用の値段」が高いため、QRコード決済事業者のようなゆるい規制しか受けない事業者がかんたんに信用されないのは言うまでもない。

決済事業者が一万円札で折った折り紙の取引は拒否したのは、その機会損失が社会的信用のために負担すべきコストより小さいからだ。

くり返しになるが、取引を成立させる基盤になる社会的信用のコストはタダではない。誰かが負担しなければならない。

したがって、「送金の手数料で稼ぐビジネスモデルは早々に崩壊する」ということは絶対にない。

送金の手数料こそ、ビジネスを成立させる基盤となる社会的信用の原資だからだ。

「もし銀行が高い手数料をとりつづけたとすれば、ユーザーの資金はあっという間にスマホのウォレットアプリに移されてしまうでしょう」ということも、絶対に起こらない。

仮に人々が銀行の手数料負担を避けるために、ほんとうにQRコード決済事業者に自分の貯金・預金をごっそり移せば、一国の金融システム全体が危機におちいる。

あらゆる事業者の資金繰りが悪化し、QRコード事業者も信用を受けられず、経営状況はまたたく間に悪化する。

金融システムは法規制によってある程度非効率だからこそ、社会的な信用によって維持され、安定している。

規制によって手数料というマイナスのインセンティブが働き、大量の資金の短期的な移動が防げる。

そのおかげで金融システム全体が安定し、その信用が保たれ、あらゆる取引を安心して行うことができる。もちろんこれは日本に限ったことではない。

このことを理解していないとすれば、経済の基礎を理解していないとしか言いようがない。

(なお当然だが、中国人もAliPayやWeChat Payに移しているのは手持ち現金の一部だけだ。かつ、現金を移動するそのインセンティブになっているのは、利便性以外にも、高い利子がつく理財商品がある。ただ、投資リスクが高いため、さすがに中国政府も規制を強め始めているようだ。なぜか。金融システム全体の信用がゆらぎかねないからだ。その信用のコストをそろそろ事業者に負担させようということだ)

これで上記の記事が根本的なところで誤っていることを説明できたと思う。

法的規制という不便さ、非効率性によってはじめて一国の金融システムは安定化し、あらゆる決済の信用が担保される。

規制をなくせばみんなが幸せになるといった、ネオリベラリズム的ユートピアは、地球上のどこにも存在しない。

日本のGDPR十分性認定、個人情報保護委員会が誤解を招く発表

2018/12/26になって日本の個人情報保護委員会が欧州議会(EP)によりGDPRに関する日本の十分性認定が可決されなかった旨、発表があった。

欧州議会の十分性認定否決の決議がなされた2018/12/12からすでに2週間たっており、個人情報保護委員会の情報公開は遅すぎると言わざるを得ない。

日欧の個人データ移転に係る相互認証の時期について

しかしこの発表は欧州側の発表と完全に食い違っている。

まず、最終決定が1月中にずれ込んだ原因は、EDPB(欧州データ保護会議)の事務的な手続きのためではなく、EDPBが採択した日本の十分性認定に関する意見書を、欧州議会(EP)が採択しなかったことだ。

また、この個人情報保護委員会の発表の3点目には「なお、十分性認定については、12 月 11 日に行われた欧州議会(EP)本会議においても、議員から賛成の意見が示されています」とある。

しかし、欧州議会(EP)はEDPBの意見書を採決しなかったことが1月へずれこむ原因であり、本当に欧州議会(EP)の「議員から賛成の意見が示され」たのであれば延期されなかったはずである。

詳細についてはこのブログの直前の記事に欧州議会(EP)の決議を要約してあるので、そちらをご覧いただきたい。

事実関係についてあえて日本政府に有利に読めるように表現するのは典型的な「霞が関文書」だが、GDPRの影響をうける日本企業に対して誤ったメッセージを発することになる。

日本のGDPR十分性、欧州データ保護会議の意見を受けた欧州議会の厳しい決議

恥ずかしながら下記の方のツイートで気づいたのだが、欧州データ保護会議(EDPB)の意見に対して、2018/12/12にすでに欧州議会(European Parliament)で決議がなされていたようだ。その内容がかなり厳しかったので、確認しておく。

日本の十分性認定については、EDPBの意見書をうけて欧州議会(European Parliament)で2018/12/11に、日欧間のEPA、経済的パートナーシップ合意、戦略的パートナシップ合意の決議とともに議論された。

こちらが2018/12/11の議事

議事のうちEPAについては、こちらにあるように2018/12/12に採択されている

日本のGDPR十分性認定については、こちらの文書が採択されている

この文書の結論として、日本のデータ保護の法的枠組みが、欧州のデータ保護の法的枠組みと本質的に同等な十分な保護レベルにあることを示すために、2018/12/05に欧州データ保護会議(EDPB)が指摘した点も含めて、欧州委員会(EC)にさらなるエビデンスと説明を要求している。

要するに、日本のGDPR十分性認定の手続きは、EPAとは別のテーマとして、まだ欧州委員会、欧州議会の間でまだ続くということだ。

エビデンスと説明が不十分だと言っているだけなので、却下されることはないと思われるが、この採択文書の第24項では、こちらの「THE UNTOLD STORY OF JAPAN’S SECRET SPY AGENCY」(The Intercept 2018/05/19)という記事が触れている、NHKの報道、『日本の諜報 スクープ 最高機密ファイル』(NHKスペシャル 2018/05/19初回放送)に対する懸念が含まれていたりする。

日本のGDPR十分性認定の草案に、無差別な大規模監視のことが言及さえされておらず、この大規模監視が欧州司法裁判所の過去の判例の基準を満たさないことについて「seriously worried」非常に懸念していると書かれている。

その他、この採択文書は相当数の論点にふれており、どうやら日本の十分性認定が採択されるまでの道のりは長そうだ。

欧州議会による日本のGDPR十分性認定草案に対するEDPB(欧州データ保護会議)意見書

2018/12/05にEDPB(欧州データ保護会議)がGDPRに関するEC(欧州議会)の日本の十分性認定についての意見書を公開した。41ページにわたる詳細な意見書で、すべて紹介するのは難しいので「EXECUTIVE SUMMARY」の部分だけ要約してみたい。

まず確認しておくべきはEDPBがどれだけECの十分性認定草案に意見をつけても、認定取消になることはないという点だ。改善すべき点が少なくないという意見書であり、十分性認定に反対するという意見書ではない。

では「EXECUTIVE SUMMARY」だけでも全242項目のうち30項目あるが、一つずつ見ていく。

1. 欧州議会が2018/09/05の十分性認定実施の正式な手続きを開始した。

2. 欧州議会が2018/09/25にEDPBに意見を求め、関連資料をEDPBに提出した。

3. 欧州議会がEDPBとの議論の結果、十分性認定草案を2回書き直し、2018/11/13最終版をEDPBに送付、この最終草案に対する意見書である。

4. EDPBが欧州議会の十分性認定の保護レベルにつき分析、検討を行った。
5. EDPBは十分性認定草案の商業的側面、行政的側面の両方を調査、日本の法的枠組みでの個人データ保護の有効性を評価した。

6. EDPBは2018/02の旧第29条作業部会(W29)の十分性認定に関する参照資料を主に参照した。

7. EDPBは日本の法的枠組みが欧州データ保護法制をコピーすることを期待していない。

8. しかし、個人データの正確性、収集データの最少化、保存期間の制限、データのセキュリティ、利用目的の制限、独立した監督機関である個人情報保護委員会など、主要な点でGDPRの原理原則との一致を求める。

9. 加えて、EDPBは日本が追加の補完的ルールによりギャップを埋めている努力を歓迎する。

10. EDPBは欧州議会がEDPBの懸念に応えて十分性認定の決定を強化している努力を歓迎する。

ここまでは事実の確認。いよいよここからがEDPBの意見になる。

全般的な課題

11. しかしながら、EDPBは日本の法体系において以下の重要な領域を強化し、注意深くモニタリングするよう提案する。
12. 第一の課題:既存の法的枠組みに対する「補完的ルール」という、十分性の新たな建付けで、具体的で有効な法執行の問題を生じないことを保証する必要がある。(要は、個人情報保護法そのものを改正するのでなく「補完的ルール」という対応で大丈夫か?ということ)
13. 第二の課題:EDPBは「補完的ルール」の法的強制力について欧州議会と日本は継続してモニタリングするよう繰り返し求めている。

商業利用に特化した課題

14. 十分性合意の商業的側面でEDPBは特定の懸念を持っており、説明を求めたい。

15. EDPBは「補完的ルール」が、APEC越境プライバシールールシステムによるEU個人データの第三国へのさらなる移転を除外していることを歓迎する。

16. 日本の法制度では、第三国への個人情報移転の法的基礎の一つは、日本の保護レベルを十分満たしていることとしているが、第三国の保護レベル評価の際に「補完的ルール」が含まれていないように見える。したがって日本に移転されたEU個人データが、さらに第三国へ移転される場合は、GDPRのデータ保護枠組みと同等とみなすことはできない。

17. 日本からさらに第三国へ移転される場合、EUの個人データ保護レベルが保証されるかどうかのモニタリングは欧州議会が代わって行うべきである。

18. さらに、同意と義務の透明性に懸念がある。日本の法制度でのデータ主体の同意は、同意取り下げの権利を含んでいない。また、データ主体に事前に情報提供がなされるか疑念がある。

19. 日本の補償システムはEUのデータ主体にとって容易にアクセスできるものではない。ヘルプラインは日本語しかない。個人情報法語委員会のウェブサイトの仲裁サービスの情報も英語版がない。FAQなど重要な情報も日本語しかない。EU域内のデータ主体には少なくとも英語のオンラインサービスがあるべき。

20. EDPBは十分性認定の草案のいくつかの点につきさらなる説明による確証を歓迎する。

21. 例えば、GDPRではデータ処理者の一つとみなされる「委託先(trustee)」が個人データ処理の目的や手段を決定、変更できるのか、あいまいである。

22. 民主主義社会においてデータ主体の権利(アクセス権、修正権、拒否権)の制限の必要性と、基本的人権の本質を尊重しているのかどうかに関する文書が不足している。

23. EUに移転された欧州個人データは、日本の法制度では3年間の記録義務を課しているが、「ライフサイクル」全体を通して有効な保護を受けられるのか、欧州議会が注意深くモニタリングするよう期待している。

行政機関によるEU個人データへのアクセスについての課題

24. 法執行や国家安全保障に関するEU個人データの取扱いについて、EDPBは追加説明を求める。

25. 法執行の分野では、EUのルールと同等のように見えるが、いくつかの法律や判例の翻訳が存在しないため、EU法と「本質的に等価」かどうか結論付けられない。

26. 国家安全保障の分野では、日本政府は自由にアクセス可能な情報源、または企業による自発的な情報開示を通じてのみ個人情報を入手するとしているが、EDPBは専門家やメディアがそれに対して懸念を示していることを知っている。行政機関による監督方法についてさらなる説明を歓迎する。

27. データ主体に対する補償方法について日本政府が追加したメカニズムを歓迎するが、新たなメカニズムが日本法における監督や補償の不足を完全に補っていない点を懸念している。新たなメカニズムがその不足を完全に補うよう、さらなる説明を歓迎する。

28. EDPBは今回の十分性認定がGDPR施行後初であり、今後の前例となる点を重視している。EU日本間の十分性認定による保護に何ら不足が無いよう、欧州議会は確保する必要がある。

29. 「補完的ルール」によってなされた改善は重要である。

30. しかしながら、欧州議会の十分性認定と日本の個人データ保護の枠組みについて、EDPBは少なくない懸念を持っており、さらなる説明が必要である。既存の国内法の枠組みに、限定的な規則を追加するという方式にも、法運用上の疑問がある。EDPBは欧州議会にこれら懸念に対するさらなる説明とエビデンスを要求する。また欧州議会が現行の十分性認定の草案にある4年に1回ではなく、2年に1回のレビューを実施するよう求める。

以上が「EXECUTIVE SUMMARY」の部分の要約である。

要するにEDPB(欧州データ保護会議)は以下のような点についてさらなる説明と対応を求めている。

・既存の法制度に対する「補完的ルール」という建付けで、本当に法的な実効性を担保できるのか?
・行政による法執行や国家安全保障に関して、本当に個人の基本的人権をベースにした個人データ保護は担保されるのか?
・少なくとも英語で、必要情報の入手や手続きができるようにすべき。

個人的には、2019/02に日欧EPAが発効する可能性が高いとされているので、同じタイミングで2年に1回のレビューという条件付きでEDPBも十分性認定草案の正式に採択するのではないかと思う。

GDPRの日本の十分性認定、欧州データ保護会議(EDPB)が欧州委員会(EU)に追加改善要請

2018/12/05にEDPB(欧州データ保護会議)が欧州議会から諮問をうけていた日本の十分性認定決定の草案についての意見を採択した。

‘European Data Protection Board – Fifth Plenary session: EU-Japan draft adequacy decision, DPIA lists (DK, HR, LU, and SI), and guidelines on accreditation’ (European Data Protection Board 2018/12/05)

全体が婉曲な表現で一回読んだだけでは理解しづらいが、「相当数の懸念が残っている(a number of concerns remain)」ためすんなり承認とはならなかったようだ。

以下、日本語試訳する。

EDPBメンバーはEDPBが2018年9月に欧州委員会から受領していた、EU~日本の十分性決定草案についての意見を採択した。EDPBは欧州委員会から入手した文書をもとに評価をおこなった。

EDPBの重要な目的は、日本の枠組みにおける個人データ保護の十分性のレベルについて、欧州委員会が十分な保証があることを確認しているかを評価することだ。

EDPBは欧州委員会と日本の個人情報保護委員会が、日本と欧州の法的枠組みを収れんさせるべく行った努力を歓迎する。2つの枠組みの間のいくつかの差異を橋渡しするために、「補完的ルール」を定めることで改善された点については、非常に重要であり、受け入れることができる。

しかしながら、欧州委員会の十分性草案と日本の個人情報保護枠組みについて、その後注意深く分析し、相当数の懸念が残っていることに気づいた。EUから日本に移転された個人情報の保護のライフサイクル全体などである。

EDPBは欧州委員会に対して、EDPBの求める明確な説明に対応するとともに、提起された問題点についてより踏み込んだ証拠と説明を提出するよう、また、実効性をもって実施されるかを注意深く監視するように勧めた。

EDPBはEU~日本の十分性決定が最高度の重要性をもつと考えている。GDPR実施後の最初の十分性決定として、これが前例になるためだ。

最初の1文「The Board Members adopted an opinion on the EU-Japan draft adequacy decision」が紛らわしいが、十分性決定(十分性認定)の草稿を採択した、のではなく、草稿に関する意見を採択しただけだ。

EDPB(欧州データ保護会議)が欧州委員会に対して正式な意見を提出しただけのことで、十分性決定の草稿そのものを採択したわけではない。

EDPBは、「相当数の懸念(a number of concerns)」があるとし、それについて欧州委員会に「より踏み込んだ証拠(further evidence)」や説明を求めている。とくに指摘事項になっているのは、EUから日本に移転された個人データのライフサイクル全体(throught their whole life cycle)での保護である。

EDPBは十分性認定の草稿を却下したわけではないが、日本側に追加対応を求めていることになる。