開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2014/08/01

クレジットカード業界にワンタイムパスワードの3-Dセキュア認証は普及するか

ジャパンネット銀行が国内初採用:

スマートフォンを通じたさまざまな決済技術が生まれるのに伴って、これまでインターネット決済で主導的な役割を担ってきたクレジットカード業界も危機意識を高めている。ネット通販をはじめ、インターネットでの決済市場は毎年10%以上の成長があると言われているが、ネットでのクレジットカード決済はカードを提示しない非対面取引「CNP(Card Not Present:カードを加盟店に提示しない支払い)」が基本となる。そのため、国内外で“なりすまし”による不正取引も増加している。こうした不正利用に対応するべく、ジャパンネット銀行の発行する「JNB Visaデビット」では、国内で初めて「ワンタイムパスワード」による「3-Dセキュア」の認証方式を導入する。なぜクレジットカードのセキュリティ対策が問題になっているのか、3-Dセキュアとは何か、ワンタイムパスワードとの関係についても解説する。

TIプランニング代表取締役 池谷 貴

TIプランニング代表取締役 池谷 貴

編集などの仕事を経て、カード業界誌の版元において、雑誌編集、プランニング、セミナー、展示会などの運営に携わる。電子決済、PCI DSS/カードセキュリティ、ICカード、ICタグなどのガイドブック制作を統括。2009年11月にマーケティング、カード・電子決済、IT・通信サービスなどのコンサルティング、調査レポート・書籍の発行、セミナー運営、ポータルサイト「payment navi(ペイメントナビ)」「PAYMENT WORLD(ペイメントワールド)」などのサービスを手掛けるTIプランニングを設立した。

「3-Dセキュア」とは何か?なぜ普及してこなかったのか

 ワンタイムパスワードを利用した3-Dセキュアはこれまで国内で採用されてこなかったが、10月からいよいよジャパンネット銀行(JNB)の「JNB Visaデビット」による決済で採用される。

 3-Dセキュアとは、加盟店ドメインとカード発行会社ドメイン、そしてカードブランドドメインという3つの「D」を結んだ認証方法のこと。クレジットカードに記載されている情報(クレジットカード番号や有効期限)に加えて、あらかじめ設定したパスワードなどの「自分しか知らない情報」を使って、利用者本人とカードブランドが直接認証を行う仕組みにより、高い安全性が確保できる。

photo
通常のクレジットカード決済と3-Dセキュアによる決済の違い

関連記事
 国際ブランドのVisaが開発した技術で、MasterCardとJCBは技術供与を受けて採用。Visaでは「VISA 認証サービス」、MasterCardでは「SecureCode(セキュア・コード)」、JCBでは「J/Secure(ジェイセキュア)」の名称で展開されている。

 クレジットカードは本来、店頭で署名とともに利用されることを前提としてきた。しかし、ネット上では署名が行えないため、クレジットカード番号と有効期限というカードに記載されている情報だけで決済が行える仕組みを採用してきた経緯がある。しかし、こうしたCNP(Card Not Present:カードを加盟店に提示しない支払い)による不正利用がいま、大きな問題となっている。

 CNPによる不正は日本だけの問題ではなく、イギリスや米国、オーストラリア、台湾などでも急増している。たとえば、欧州ではSEPA(Single Euro Payments Area)によるEMV ICカード化の取り組みにより、カードのIC化、ATMやPOSのIC対応が進められ、リアル店舗の不正抑制に大きな成果を挙げた一方で、CNPによる不正には悩まされ続けている。

 日本でも、業界団体の日本クレジット協会が2007年にインターネット決済の売上高上位100店に対し、本人認証技術「3-Dセキュア」や「セキュリティコード」などの推進を実施。2011年3月に、「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を制定し、同ガイドラインでは新規のインターネット加盟店に対し、3-Dセキュアなどの導入を義務付けた。

 しかし、同ガイドラインは大手ショッピングモールや決済処理事業者などが大反発。その理由として、ある決済処理事業者の代表者は、「ユーザビリティの大幅な低下」を挙げている。実際、3-Dセキュアを導入したある店舗では、その前月に比べ売り上げが20~30%低下しているとの報告もある。また、システム対応にかかるコスト負担もある。

 そこでその後、日本クレジット協会は同ガイドラインを改定。2012年4月に「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を策定し、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式を認めている。

 また、経済産業省が2014年7月11日に発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告でも3-Dセキュアの導入促進を図るとされており、万が 一導入しない事業者についても3-Dセキュアと同等以上の対策を講じるよう要請していくと記載されている。

 反発を招いた3-D セキュアだが、導入しているECサイト加盟店で発生した不正被害については、基本的にカード会社側が被害額を負担してくれるメリットもある。実際、業界をあげて3-Dセキュアを導入した日本オンラインゲーム協会では、不正利用の抑制に大きな成果を上げている。また、同業界の場合は、いったんは売り上げは低下したというが、2カ月目以降は回復したという。

 こうした事例もあるが、3-Dセキュアは現在、オンラインゲームを中心としたごく一部のサイトの利用に限られるのが実情だ。そもそも3-Dセキュアの認知度自体が、過去のVisaの調査を見ても20~30%とかなり低い。

 その原因として、まず、楽天やAmazonといった大手ショッピングモールは、一度登録したIDとパスワードのみで決済可能な“ワンクリック決済”が主流となっている点が挙げられる。一方、3-Dセキュアでは、カード所有者はあらかじめカード会社のWebサイトでパスワードを登録する必要があり、決済時に入力項目が増えることになる。

 さらに、3-Dセキュアのパスワードそのものが盗まれたケースもあり、その対策として大文字・小文字、数字、記号、過去の番号の使い回しを禁止しているため、覚えにくいという面がある。しかし、この覚えにくさの面はワンタイムパスワードが解決してくれそうだ。

【次ページ】世界で徐々に普及するディスプレイカード

金融業IT ジャンルのトピックス

金融業IT ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!