カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

GMO-PG、カード決済前の不正を防止する本人確認機能「Verifyサービス」の強みとは？

2024年9月26日8:10

GMOペイメントゲートウェイ（GMO-PG）は、2024年9月24日に記者説明会を開催し、オンライン総合決済サービス「PGマルチペイメントサービス」の新たなオプション機能として、本人確認機能「Verifyサービス」の提供を開始すると発表した。「Verifyサービス」はGMO-PGが独自に開発したエンドユーザー向け多要素認証機能を活用したサービスだ。まずは、電話番号へワンタイムパスワードを通知するSMS認証から開始するが、今後は「デジタル認証アプリ」を介し、マイナンバーカードを使った本人確認（マイナIC認証）への対応も予定している。

池谷貴

不正ログイン対策が重要に
「多要素認証（MFA）/本人確認」サービス提供

当日は、GMOペイメントゲートウェイシステム本部システム企画統括部統括部長鈴木隆志氏とイノベーション・パートナーズ本部 EC営業推進部決済企画課課長財津拓郎氏が「Verifyサービス」の概要について紹介した。

GMOペイメントゲートウェイイノベーション・パートナーズ本部 EC営業推進部決済企画課課長財津拓郎氏

GMO-PGの年間決済処理金額は17兆円を超えており、オンライン総合決済サービスはEC事業者やNHK・国税庁等の公的機関など15万店舗以上の加盟店が導入している。GMO-PGでは、さまざまなセキュリティソリューションのラインナップを用意し、サービスを利用する加盟店のセキュリティ強化を支援している。

加盟店では「EMV 3-Dセキュア（EMV 3-DS）」の導入が進んでおり、カード決済時の認証強化の取り組みが行われている。また、不正検知システムサービスを導入する加盟店も増えてきた。今まで提供してきた不正ソリューションは、カード決済時に対応するサービスが中心だったが、「割賦販売法」、「クレジットカード・セキュリティガイドライン」、「セキュリティ・チェックリスト」それぞれにおいて、不正ログイン対策が求められている。

財津氏は「カード決済前の対策が1つポイントになります。PSP（ペイメント・サービス・プロバイダー）からすると主に加盟店と接点を持ってかかわるのが真ん中の部分（カード決済時）ですが、決済前まで手を入れて提供することはPSPとしても価値があり、加盟店に一元して提供できるものとして『Verifyサービス』をリリースすることとなりました」と説明する。

不正ログイン対策にはさまざまなサービスがあるが、不正ログイン対策に利用する手法の1つが「多要素認証（MFA）/本人確認」となる。MFAとは、ユーザーがシステムやアカウントにアクセスする際に、2つ以上の異なる認証要素を使用して本人確認を行うことで不正なログインを防止するセキュリティ手法を指す。一般的には、知識情報という形でIDとパスワードでログインしているが、今回は所持情報に該当するサービスとなる。利用者は自身のスマートフォンに情報を送り、その情報を使って認証する。「Verifyサービス」が初期にラインナップする認証手段であるSMS認証は所持情報に該当する。

SMS認証から開始、マイナIC対応も
不正ログインやなりすましの防止に有効

「Verifyサービス」では、エンドユーザー向けの多様な認証を、Web上の顧客接点における任意の認証タイミングで実施することができる。高いセキュリティ環境と決済時の承認率向上を両立できるサービスとして提供する。SMS認証では、ユーザーが入力した携帯電話番号宛にSMSを通じてワンタイムパスワードを送付し、入力を求めることで、本人性を確認することが可能だ。2024年10月29日の本番稼働開始に向け、9月25日よりテスト環境での利用申込の受付を開始した。

2025年春頃には、ユーザーが「デジタル認証アプリ（デジタル庁提供）」を介して必要情報の入力、読み取りを行い、認証結果により本人性をより厳密に確認することができる機能の追加も予定している。財津氏は「その他の認証もリリース予定で時代の流れに沿って追加していきます」と話す。

SMS認証のユースケースとして、財津氏は不正ログインやなりすましの防止を挙げた。例えば、既存の会員のクレジットカードの更新時、ログイン時に認証することでカード情報の盗用やなりすましを防ぐ。また、アカウントの複数登録を予防する効果もある。また、複数アカウントを登録し、会員登録クーポンやポイントを複数入手したり、複数アカウントを用いた抽選商品の複数回申し込みが行われるケースもあるが、1電話番号で1アカウントとし、 SMS認証を用いて正しい番号を確認可能だ。

マイナIC認証は転売目的や買い占め防止
OpenAPI方式に対応

さらに、マイナIC認証のユースケースとして、財津氏は2つの構想を述べた。１つは、転売目的や買い占めなどの不正な購入の防止だ。日本国民ごとに一意なマイナンバーにより、購入時やサービス提供時に本人確認を実施する。2つ目は、C2Cプラットフォームにおける利用者間の不正、身元確認が重要なSNSやマッチングアプリにおける匿名性の排除にも活用できるとみている。マイナIC認証は、携帯電話の契約時には義務化するなどの動きがあるが、来年春までに利活用が出てくるが、それに先駆けてサービスを導入していきたいとした。

接続方式は、世界標準の接続仕様によりエンジニアライクな開発環境を提供しているOpenAPI方式に対応しており、「導入企業は簡単に導入できます」と鈴木氏は説明する。また利用料は初期費用や月額固定費が不要な従量課金制で使った分の請求となるため、スタートアップからエンタープライズ企業まで、幅広い事業者に導入してもらいたいとした。