2021年3月25日13:26
日本クレジットカード協会(JCCA)は、被害額が増加し続けている非対面取引の不正使用について、中長期的な視点に立った不正使用防止策の普及促進策を検討する必要があると考え、エヌ・ティ・ティ・データ経営研究所の協力を得て、国内・海外での先端的取組事例等の調査により、日本での実装・普及に向けた課題の抽出、解決策の調査及び研究を実施した。同調査及び研究を踏まえ「非対面クレジットカード取引のセキュリティ向上に向けた取り組み」~本人認証技術の非対面取引への普及促進にむけて~と題した調査報告書を取りまとめた。
~本人認証技術の非対面取引への普及促進にむけて~
調査報告書「公表版」(JCCA)
JCCAは「安全・安心・簡単・便利」なクレジットカード取引のため、健全なキャッシュレス業界の発展のため不正使用防止にむけ取り組んでいる。同調査では、今後非対面取引の不正使用被害防止に効果が期待できる方策として、3方策を選定し、分野を問わない国内外の本人認証活用事例調査も加えた計4方策の調査を行った。
非対面取引におけるスマートフォンの生体認証機能の活用では、実現性の高さより、指紋、静脈、虹彩、顔、音声の5種類のスマートフォン搭載本人認証方法に絞って考察、評価を行った。
SMSやプッシュ通知等によるカード利用時の利用確認では、「利用前」に「利用確認」として活用可能なスキームとして、セキュリティコード等、既存の何らかのユニークキーを可変化し、ワンタイムトークンとして認証する方法を主軸とした考察、評価を行った。
イシュア等の提供情報による加盟店での対策は、fdecの課題を把握、解決し、サービスレベル向上させ、活用するための考察、評価を行った。
その他、本人認証等についての国内外成功事例では、不正利用防止につながる国内外の事例を調査し、活用するための考察、評価を行った。
また、各種対策手法を発展させ、より効果が期待できるものと考えられる手法の考察、評価を行った。
調査結果として、生体認証はスマートフォンでも使われており一般に使い慣れたものとなっていることから、カード決済時の本人認証方法として期待できるものと考えられる。なお、カード会員の利便性等の観点から、パスワードレス認証の国際規格であるFIDO・FIDO2の仕様を活用した3つの方法を整理している。
Aのオーソリ電文に生体認証結果を付加する方法では、加盟店の決済画面で生体認証を行い、加盟店は認証結果を付加し、カード会社へ送る。カード会社は、予め登録した情報で(生体)認証結果が解読できたら、加盟店に結果を返す。
Bのスマートフォンアプリから生体認証結果をカード会社に送る方法では、スマートフォンから決済画面に生体認証結果を連携できない場合に、直接カード会社に生体認証結果(+オーソリに必要な情報)を送り、その結果を加盟店に通知する。
Cのスマートフォンからカード会社に生体認証結果を送る方法では、カード会社の自社サービス(会員ポータル等)にログインし、そこからEC加盟店へアクセス~決済する場合、
自社サイトへのログインにより、真正本人であることを確認(認証)する。この認証結果を加盟店にも連携し、加盟店は認証結果を付加してカード会社に送ることで、本人利用を確認する。
その結果、より実現性の高い方法としてCが期待できるとした。
SMS/プッシュ通知では、「利用前」に「利用確認」としてSMS、プッシュ通知等を活用し本人に直接通知することがカード決済時の本人認証方法として期待できるものと考えられる。そのため、加盟店でのシステム的な対応が不要な点も踏まえ、スマートフォンアプリやカード本体で可変化したセキュリティコードを表示する2つの方法を考察。
Aはスマートフォンに可変セキュリティコード及び生体認証を搭載する方法となり、動的セキュリティコードを発行する「OTP(ワンタイムパス)アプリ」をダウンロードし、(本人認証と)利用登録を行う。決済時はアプリで通知されるセキュリティコードを使用し決済を行う。
Bは、カードに可変セキュリティコード及び生体認証を搭載する方法となり、OTP搭載カードにより、決済時は、真正本人がカード券面上で指紋認証を行い、認証結果OKの場合に表示されるOTPで決済する。
その結果、スマートフォンアプリやカードに生体認証機能を付加することで強固な本人認証が可能になるためSMS、プッシュ通知等を「利用前」に活用する方法としてA.B共に期待できるとした。
イシュア共同では、fdecの情報量の拡充と精度、機能向上として他サービスの取込や新たな情報提供先との協業、加盟店に負荷が少ないリスト照合の自動化による加盟店での利便性向上による効果拡大が期待できるための3つの方法を考察。
Aの他サービスの取込では、複数項目によるチェック機能を搭載し、その条件に合致した取引を検知する。
Bの機能性向上では、情報提供先の拡大、データ項目の追加により機能向上を図る。
CのBPR(自動化)では、データ照合の自動化による業務負荷軽減及びサービス品質の強化を図る。
その結果、fdecの効果を更に高める方法として、いずれも効果を高めることが期待できるとした。
その他、国内外事例や上記考察を組み合わせるなどして、これまでの検討の中から発想を得た対策手法を考察、検討。アプリでのカード会員自身でのカード機能コントロール、スマートフォン自体のIDとカード情報の紐付け等の効果が期待できるため、2つの方法を考察した。
Aのカード会員自身によるカード機能のコントロールでは、会員自身が、オンライン決済可否や1回あたりの決済限度額等を設定可能とすることで、会員にとって想定外の取引が発生することを防止する。
Bのスマートフォン等のIDとカード番号の紐付けでは、カード番号とスマートフォンのデバイスID等を紐づけ、認証要素として利用する。これにより、決済に使われたスマートフォンが日頃使われているものか、真正本人のものか等を把握し、状況に応じてカード会社によるカード制御を行う。
その結果、会員自身によるコントロールができるAが期待できるとした。
各機能の発展形として、これまでの検討の中から発想を得た対策手法を発展させ、より効果が期待できるものと考えられる2つの方法を考察。
Aは、高機能アプリの開発(多数の要素をもつアプリ開発により更に効果が期待)。カード会員とカード発行会社のコミュニケーションをいかに負担なく簡単に行えるかが重要であり、その実現にあたっては会員サービス面の機能をベースにセキュリティ面の各種の機能も備えたカード会員向けのアプリ(高機能アプリ)を作成し普及させることが必要だと考えられる。
主な機能として、OTPの表示機能、カード会社からの本人利用確認問合せ機能、使用スマートフォン端末のID取得機能、生体認証必要情報の取得機能を挙げた。
Bのタッチ決済機能付きクレジットカードのスマートフォンでの読取では、NFC取引では、カードが本物であることを瞬時に確認できる技術(EMV)が使われており、また、カード上で指紋による生体認証機能を有するカード(実用化済み)を採用すれば 、「真正なカードが真正な本人により利用された」ことが確認できることとなり、極めて安全性の高い取引が実現できることから、非対面取引での不正使用防止効果は極めて大きいものになると考えられるとした。
