2023年3月27日8:00
今後、不正対策を検討する上で重要となるクレジットカード決済認証サービス「EMV 3Dセキュア」(3Dセキュア2.0)。先行している欧州の状況、導入のメリット、課題、ベストプラクティスについて解説する。また合わせて、高精度な取引をリアルタイムに自動判定し、高精度に不正行為を検知するForterソリューションを活用して3Dセキュアの効果を最大限に引き出している国内外の事例を紹介する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)
Forter Pte Ltd カントリーマネージャー 野田 陽介氏
欧州で3DSが実施されているのはわずか1割
そのうち6割超が追加認証を要求されている
Forterはイスラエルで創業した、SaaSを提供する会社です。主にEC事業者向けに、クレジットカード不正利用検知のソリューションを提供しています。2年ほど前に日本にオフィスを開設して、日本のユーザーへのサービス提供も開始しました。グローバルで過去1年間に取り扱った取引データの額は約3,500億ドル(約45兆円)。22万社以上の事業者にソリューションを採用していただいており、解約率は1%以下です。現在、国内においては多数のEC加盟店で採用いただいているのに加えて複数のPSPと業務提携をさせていただいております。
今日はヨーロッパのPSD2での取り組みをご紹介しながら、3Dセキュアについてご説明します。3Dセキュアは昨今、義務化の流れにあり、皆様の注目度も高いと思います。3Dセキュアのバージョン1.0ではすべての取引に本人認証が必要でしたが、バージョン2.0であるEMV 3Dセキュアでは、先にリスクベース認証が入り、低リスクであればそのままフリクションレスで認証される仕組みになりました。これにより、かご落ち率を軽減できます。これが1.0から2.0への大きなアップデートの部分で、国内の加盟店の導入意欲も高まっているといわれています。
バージョン2.0 EMV 3Dセキュアにてポイントとなるのは、リスクベース認証を行うのがイシュアということです。イシュアが承認しなければ、3Dセキュアの本人認証が必要となり、成功するもの、しないものに分かれます。そして、成功したものに対して、さらにオーソリが入ることになります。この順番がもうひとつのポイントです。
では、ヨーロッパのPSD2の話に移っていきたいと思います。PSD2では、オンライン取引に関して、「本人確認を行いなさい」という規制が入っています。PSD2が施行された背景には、オンラインバンキングのAPI公開等様々な理由がありましたが、その中の1つとしてクレジットカードの不正利用が増えていたことがありました。不正を防止するために、原則としてすべてのオンライン取引に3Dセキュア、正しくはSCA(Strong Customer Authentication)を義務化しています。今日本でも、経済産業省が主導して同じことが議論されています。但し、PSD2には、Exemption(免除)、あるいはExclusion(対象外)という除外事項、特例事項が定められています。免除の代表例として、トランザクションリスク分析(TRA)というのがあります。トランザクションリスクを分析して、リスク度合いによってはSCAが免除される。ほかにもB2B取引やサブスクリプションなどが免除の対象になっています。
その結果、ヨーロッパの主要5カ国(イギリス、ドイツ、フランス、イタリア、スペイン)では、フランス(約7割SCAを導入)を除いて、約9割の取引がSCAを免除され、3Dセキュアを通っていません。これは加盟店の、かご落ちリスクを避けたい、販売機会ロスを避けたいという意向によるものです。加盟店はチャージバックのリスクを自分たちで引き受けてでも、除外事項を適用しています。「ヨーロッパではPSD2によってEMV 3Dセキュアが義務化されている」というとらえ方はもちろん正しいのですが、その実態は約9割の取引が免除されて、3Dセキュアを導入していないのが現状です。
ヨーロッパでは現在、ほぼ100%が、EMV 3Dセキュア 2.0以上のバージョンで運用されています。2.0では、本人認証が必要なくなり、リスクベース認証のところだけの数値で、成功率は50%から75%へと改善されましたが、逆にいえば、25%は認証に失敗しています。失敗の要因としては、そもそも認証に進めない、パスワードがエラーになる、テクニカルなエラーが起きることなどが挙げられています。また、2021年から2023年1月までの認証成功率の推移を見ると、75%前後でほぼ横ばいで、大きく改善されているとはいえない状況です。
リスクの度合いはダイナミックに変化する
加盟店の柔軟なルーティングが成功のカギ
EC事業者、つまり加盟店の視点からのEMV 3Dセキュアを活用するメリットと課題をまとめますと、メリットの1つ目としては、イシュアへライアビリティシフトすることにより、不正利用被害が発生した場合のチャージバックのリスクがなくなることです。これは加盟店にとって、非常に大きなメリットとなります。2つ目は、1.0と比較してかご落ちリスクが軽減することです。3つ目は、グローバル標準の規格なため、これひとつに対応するだけでグローバルな対応ができるということです。
一方、課題としては、フリクションによるかご落ちが依然として残ること、そして、イシュアのオーソリ承認率の低下が挙げられます。3Dセキュアの本人認証でかご落ちするリスクがある上に、オーソリではねられるリスクも拡大するということです。
ユーザーはEC事業者、決済代行事業者、アクワイアラ、カードブランド、イシュアといろいろなフィルタリングを通って、決済を完了するわけですが、今後3Dセキュアによる取引が増えていく中で、イシュアの不正対策に関わる負担は増加すると見られます。イシュアは、ユーザーから一番遠いところにいて、ユーザーがよく見えない状況下で、限られた情報で取引判定をしなければなりません。しかも、これまではチャージバックが発生した場合、損失は加盟店が負いましたが、3Dセキュアの取引ではイシュアが全面的にリスクを負います。例えば1万円の決済でチャージバックになった場合、1万円の損失を負うことになります。当然慎重にならざるを得ませんので、これが3Dセキュアのチャレンジ認証やオーソリの承認度の低下につながっていきます。また、金銭的、経済的な負担に加え、イシュアには、ルール設定、メンテナンスなど、新しいEMV 3Dセキュアの仕様に対応するための運用負荷ものしかかります。
ではEC事業者として、どのようにすれば良いか。3Dセキュアに取引を流すか流さないかの判断は、加盟店であるEC事業者に委ねられています。まず、そもそも不正確率が高い取引は、加盟店側でブロックすべきです。チャージバック率や不正判定率が高くなると、イシュアでフラグが立ったり、マーチャントIDでルールが更新されたりしてオーソリ承認率が下がりますので、そうならないようにあらかじめ加盟店側でブロックする必要があります。また、逆にリスクの低い取引は、かご落ちリスクを回避するために、3Dセキュアに流さないようにします。
残りの判断が難しい取引については、リスクだけでなく、イシュアの動きなども含めた多様な情報を用いて精査した上で、ダイナミックに、3Dセキュアを実施するか/しないかのルーティングを行うことが重要です。これこそが、加盟店が取り得る最善の策だと考えます。
Forterでは、日々変わる状況に対して加盟店側がダイナミックなアクションをとれるようサポートしています。
■問い合わせ先
Forter Pte Ltd
https://www.forter.com/ja/contact-us/