2011年10月4日8:50
JCAとJCCAのリリースが3-Dセキュア普及を後押し
利用者の認知度は3割弱とまだまだ低い
一方、インターネット決済時の本人確認手段として、Visaでは「VISA認証サービス(Verified by VISA)」を展開している。同サービスはインターネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みである。3-Dセキュアの名称で統一化されており、MasterCardやJCBも同技術を採用している。
3‐Dセキュアなどの本人認証技術については、日本クレジット協会(JCA)と日本クレジットカード協会(JCCA)が2010年12月14日に、「本人なりすまし」による不正使用被害を低減するため、「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を策定した。
同ガイドラインは義務ではないが、新規のインターネット加盟店は本人認証技術を導入することが明記されており、「業界団体がガイドラインを出したことに意味があり、カード会社は高い意識でご理解いただけるようになった」とビザ・ワールドワイド・ジャパン 新技術推進部 e-コマース イニシアティブ ディレクター 鈴木章五氏は成果を語る。実際、両協会のガイドラインが出てからは、イシュアやアクワイアラからの問い合わせが増えており、3-Dセキュアに対応したイシュアや加盟店もあったという。
現在の3‐Dセキュアの導入加盟店は、オンラインゲーム、航空会社、チケット販売、バーチャルキャッシュ、大手家電量販店などとなっており、「換金性が高い商品を販売されているサイトに関しては軒並みご導入いただいております」と鈴木氏は話す。
ただ、3-Dセキュアに関しては、利用者の認知度向上が大きな課題となっており、Visaが2011年4月に実施した調査でも消費者への認知度は全体の3割弱にとどまった。
「3-Dセキュアの認知度に関しては、まだまだ伸び代があると考えていますが、これは弊社のようなカードブランドだけではなく、各ステークホルダーで役割が違うため、業界単位で取り組むべき課題となっています」(鈴木氏)
3-Dセキュアのモバイル版を発表
より安全性を高める動的認証も検討へ
Visaでは、世界に先駆け携帯サイト向け3-Dセキュアのパイロットテストを日本で実施するなど、新しい取り組みも積極的に行っている。
ただ、3-Dセキュアのパスワードの場合、ほかの認証用途で利用するパスワードと同一のものが使われるケースも多いため、パスワードそのものが第三者に盗まれるケースも想定される。そのため、「今後はワンタイム・パスワードなどの動的認証の導入も含めて、検討していく必要がある」(鈴木氏)としている。
「例えば、インドでは携帯番号を登録しておくと、EC決済の際に合成音声でパスワードを通知し、利用者はその番号を聞き取ってパスワードを入力します。日本でも動的認証に移行する可能性はありますが、どのタイミングで行うのかも含め、動向を見極めていきたいと考えています」(鈴木氏)
Visaでは、不正の防止のためには、複数のレイヤーによるセキュリティ対策が必要であると考えている。そのため、動的/リスクベースの認証方法を補完するソリューションとして、イシュアと連携した不正取引検知システム「ビザ・アドバンスド・オーソリゼーション(VAA)」やカード会員への取引アラートなどのインテリジェントネットワークをベースとした不正検出ツールの強化も進めている。
