はじめに
2025年3月までに3Dセキュアへの対応が義務化されたというニュースを見たため、内容をざっくり把握しておこうという思いから、経産省が出しているクレジットカード・ガイドラインを見ています。ここではクレジットカードの3Dセキュアにフォーカスしてまとめていきます。
政府がキャッシュレス化を推し進めて早数年が経ちます。2022年時点でのキャッシュレスの割合は36.0%と増加しているようです。そして多数のキャッシュレスの手段の中でもクレジットカードが高い割合を占めています(84.5%)。しかし、クレジットカード情報が盗まれて悪用される被害も高い水準で推移しています。これらの原因はフィッシングや膨大な数のカード情報の入力による突破など、多岐にわたります。こういった状況のため、不正利用を防止する動きが出てきています。この資料はこの状況を踏まえ、実効性のあるセキュリティ対策をガイドラインとしてまとめたものです。大まかに「カード情報の保護対策」「不正利用対策」「周知・啓発」の対策が記載されています。
EMV 3-Dセキュア
EMV 3-Dセキュアとは、オンラインショッピングなどの非対面でのクレジットカード利用をより安全にするための技術で、VisaやMasterCardなどのカードブランドが推奨する本人認証のサービスです。よく「3Dセキュア2.0」とも呼ばれています。
具体的な仕組みは以下の通りです:
- お客様がオンラインで買い物をしてクレジットカード情報を入力する
- システムが取引のリスクを瞬時に分析する
- リスクが高いと判断された場合、追加の認証(例:スマートフォンへのワンタイムパスワード送信)を要求する
- 低リスクの場合は、スムーズに取引を完了させる
システムがリスクが高いと判断した場合にワンタイムパスワードなどの追加の認証を行うフローによって、よりセキュアになります。ちなみに、リスクが非常に高いと判断された場合は認証自体が拒否されることもあります。
「3Dセキュア2.0」はその名の通りバージョン2なので、1.0もあります。1.0では毎回のパスワード要求に加え、ワンタイムパスワードではなかったため、2.0ではユーザー体験もセキュリティ面でも大幅に向上しています。
経産省の資料では、2025年3月末時点でEC利用会員ベースで80%の登録率を目指すという目標が掲げられています(p.21)。
リスクベース認証とワンタイムパスワードが肝となるこの技術ですが、認証精度の向上やワンタイムパスワードの登録を促すことが求められています。
EMV 3-Dセキュア導入のメリット
EMV 3-Dセキュアの導入は、オンラインショッピングに関わる全ての関係者にとって様々なメリットがあります。ここでは、主要な3者(加盟店、消費者、カード会社)それぞれの視点からメリットを見ていきましょう。
加盟店(ECサイト)にとってのメリット
a) 不正利用の減少: EMV 3-Dセキュアを導入することで、なりすましや不正なカード利用を効果的に防ぐことができます。これにより、チャージバック(返金要求)のリスクが低減し、経済的損失を抑えることができます。
b) 売上の向上: セキュリティが強化されることで、消費者の信頼が高まり、結果として取引数や売上の増加につながる可能性があります。
c) 責任転嫁: EMV 3-Dセキュアを適切に実装している場合、不正利用が発生した際の金銭的責任がカード会社側に移るため、加盟店のリスクが軽減されます。
消費者にとってのメリット
a) セキュリティの向上: 追加の認証プロセスにより、自身のカード情報が不正に利用されるリスクが大幅に低下します。
b) 利便性の向上: 従来の3Dセキュアと比べ、リスクベースの認証により、低リスクと判断された取引では追加認証が不要になるため、スムーズな決済体験が可能になります。
c) 安心感: オンラインショッピングの安全性が高まることで、より安心してECサイトを利用できるようになります。
カード会社にとってのメリット
a) 不正利用の減少: 高度な認証プロセスにより、カード情報の不正利用が減少し、それに伴う損失を抑えることができます。
b) リスク管理の向上: 取引ごとのリスク評価により、より精緻なリスク管理が可能になります。これにより、真の不正取引をより効果的に検出できるようになります。
c) ブランド価値の向上: 安全性の高いサービスを提供することで、カードブランドの信頼性と価値が向上します。
まとめ
最近、カード会社を装う詐欺メールが頻繁に届くようになり、被害件数が増えていることにも大きく頷ける状況ですが、こういった対策を進めていくことで多くの詐欺被害は減らせるでしょう。2025年に義務化されることもあり、最近ではカードでオンラインショッピングをする際にワンタイムパスワードを求められることが増えたので、着実に導入が進められていると実感しています。
詐欺師が巧妙にワンタイムパスワードを盗むことも皆無ではないので完璧な対策とは言えないかもしれませんが、対策技術も日々進歩しているはずなので、まずは導入が進んでいくことを望むばかりです。
また、海外のショッピングサイトを利用する機会も増えてきていますし、利用する側にもリテラシーが求められる時代だと思うので、自分自身も信用できるドメインのサイトしか利用しないなど、個人での対策意識を高めていきたいと思います。
参考
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_5.0_published.pdf