• 会員限定
  • 2017/08/23 掲載

「3-Dセキュア2.0」とは何か? 非対面決済におけるセキュリティ対策の切り札になるか

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
2017年5月24、25日に韓国・ソウルのグランド ハイアット ソウルで開催された「Visa Security Summit」に参加した。同サミットでは、今後の不正使用対策の切り札になり得るソリューションとして、リスク・ベース認証を実現する「3-Dセキュア(3-D Secure)2.0」が紹介された。3-Dセキュア2.0での加盟店での取引は、イシュア側でリスク・ベース認証を利用して、リスクの高い5%ほどの取引のみに対して承認を要求する。また、動的なワンタイム・パスワードは複数の方式をサポートするなど、利便性とセキュリティを両立させたサービスとなるようだ。

TIプランニング代表取締役 池谷 貴

TIプランニング代表取締役 池谷 貴

編集などの仕事を経て、カード業界誌の版元において、雑誌編集、プランニング、セミナー、展示会などの運営に携わる。電子決済、PCI DSS/カードセキュリティ、ICカード、ICタグなどのガイドブック制作を統括。2009年11月にマーケティング、カード・電子決済、IT・通信サービスなどのコンサルティング、調査レポート・書籍の発行、セミナー運営、ポータルサイト「payment navi(ペイメントナビ)」「PAYMENT WORLD(ペイメントワールド)」などのサービスを手掛けるTIプランニングを設立した。

画像
非対面決済における認証の重要性は増している
(© chombosan – Fotolia)


現在はこれといった決め手がない非対面決済の本人認証対策

 「Visa Security Summit」は、2017年で13回目の開催。今回のサミットでのトピックの1つとなったのは、非対面の不正使用対策の強化だ。

画像
Visa Security Summitの様子

関連記事
 リアル店舗での不正使用対策は、これまで不正の温床だった米国でのICカード対応(EMV ICカード化)が進行。カードへのEMVチップの搭載に加え、加盟店の対応端末も200万台まで増加している。

 現在は、米国における42%の取引、10億トランザクションはEMV取引になったという。これにより、EMVチップは、58%の偽造被害が減り、加盟店全体で39%の不正被害率の減少につながっている。

 日本でも、経済産業省がリアルの加盟店に対し、ICクレジットカードに対応した決済端末の導入の義務化を目指しており、第192回臨時国会において、2016年12月2日に可決・成立し、12月9日に公布された。

 また、発行カードでも、業界挙げての100%IC化を目指している。日本クレジットカード協会によると、2016年12月末現在で、クレジットカードのIC化率は75.4%。また、カード会社各社の集計によると、2020年3月には100%近い数値になる予定だ。日本でもICカード化が進むことにより、対面加盟店での不正使用対策は進むと期待されている。

 一方で、今後、不正使用対策強化が求められているのは、CNP(Card Not Present)といわれる非対面取引だ。Visa Inc. ヴァイスチェアマン&チーフ・リスク・オフィサー エレン・リッチー氏は、「米国での非対面の不正はフラットです。不正検知対策が高度化されており、いい対応ができています」としたが、デジタル化への移行が進む中、今後5年間で世界の不正使用は125%まで増えるという懸念を示した。

画像
3-D Secureの進化
(出典:ペイメントカード・セキュリティフォーラム2017)

 国内の非対面取引については、日本クレジット協会や経済産業省が主導する「クレジット取引セキュリティ対策協議会」の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の1つの柱、ネットでのなりすまし等による不正利用防止(本人認証等)においても「多面的・重層的な取り組みが必要」とされているが、現状「完全な決め手となるサービスがない」と業界関係者は語る。

 非対面取引では、近年は、ブランド品や、パソコン、デジタルカメラなどの電化製品といった、換金性のある商品を販売している物販事業者、デジタルコンテンツだけではなく、アパレル商品、おむつや粉ミルクなどの日用品での不正使用被害も目立つ。その対策の1つとして、決済時にクレジットカード番号、有効期限に加え、カード裏面などに記載された「セキュリティコード」による認証があるが、カードを盗まれてしまっては意味が無い。

カード業界の期待通りに広がらなかった3-Dセキュア

 カード業界では、非対面の認証強化策として、「3-Dセキュア」を推奨している。3-Dセキュアは、決済時にクレジットカード番号や有効期限に加えて、あらかじめ設定したパスワードなどの情報を使って、利用者本人とカードブランドが直接認証を行う仕組みにより、安全性を確保するものだ。

 日本でもオンラインゲーム業界などでは採用が広がっているが、必ずしもカード業界の期待通りに導入が広がっていない状態だ。これは日本だけの問題ではなく、国によっては日本同様の地域もある。

 Visa リスク& データ・プロダクツ SVP & Global Headのマーク・ネルソン氏によると、「Visaでは、3-Dセキュア 1.0を16年間展開してきましたが、現在、10%のコマースが活用しています」と説明したように、9割の加盟店は導入していないことが課題だ。

 3-Dセキュアがこれまで普及してこなかった理由として、まずユーザー体験が理想通りではなく、離脱が起こることが挙げられる。サイトによっては、20~30%の売上減になったケースもある。

 実際、日本では、日本クレジット協会が2007年、インターネット決済の売上高上位100店に対して3-Dセキュア等の推進を実施。2011年3月に「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を制定した際、新規のインターネット加盟店に対し、3-Dセキュアなどの導入を義務付けたが、大手ショッピングモールやECサイト、決済代行事業者などが猛反発。その後、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式を認めることとなった。

【次ページ】3-Dセキュアの反省を踏まえて開発された「3-Dセキュア2.0」

関連タグ

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます