2012年4月24日8:00
ペイメントカードの国際ブランドであるビザ・ワールドワイド(Visa)は、2012年4月19日、同社のセキュリティ戦略に関するカンファレンスを開催した。
Visaでは、グローバルにサービスを提供しているが、利便性、信頼性と共に「セキュリティ」を重要視している。同社では、不正を防止するための技術開発に力を注いでおり、1992年から2011年の約20年にかけて、グローバルな売り上げに対しての不正比率は、約3分の2まで低下したという。マスコミの報道などでは、国内外で大規模なデータ侵害のニュースを目にすることも少なくないが、「ここ10年間は、安定的なレベルに落ち着いており、特に直近の2~3年は不正利用の比率が下がってきています」とVisa Inc.チーフ・エンタープライズ・リスク・オフィサー エレン・リッチー氏は説明する。
不正を防止する手法としては、ペイメントシステム内の不正を最小限に留める「予防」、脆弱なカードデータを保護する「保護」、不正を監視・管理する「対策」といったように、階層的なアプローチを行っている。
まず予防としては、世界標準「EMV」に則ったICカードを発行。現在、世界では13億枚、そのうちアジア・太平洋地域で3億3,600万枚のカードを発行している。カード大国の米国では、EMV対応が遅れていたが、2012年10月1日から、Visa取引の75%以上をICカード決済端末で処理している加盟店においては、その年度についてペイメントカードの国際セキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」の審査が不要となる「テクノロジー・イノベーション・プログラム(TIP)」を米国内に展開することを発表している(海外では2011年2月から適用済み)。このような背景もあり、米国でも徐々にICカードに対する意識は高まっており、すでに100万枚のEMVカードが発行されている。また、米国で一番の大型加盟店であるウォルマートにおいて、EMV端末の設置がスタートした。
一方で、ICチップを導入済の市場では、非対面取引(CNP)における不正が増加傾向にある。その対策としては、インターネットショッピングにおいて、独自のパスワード認証を取り入れることにより本人確認を行う「VISA認証サービス(Verified by VISA)」を展開している。
「例えばインドでは、VISA認証サービスをほぼ全土で導入したことにより、非対面での取引は3年間で80%減少しました。これにより、eコマースに対する信頼性が向上し、同期間で売り上げが80%増加しました」(リッチー氏)
国内では、VISA認証サービスの認知度は決して高くはないが、従来の携帯電話での公式運用を3月23日から開始するなど、Visaでは普及に努めている。今回のサービススタートは、従来の携帯電話が普及している国内のみの「ガラパゴス対応」(ビザ・ワールドワイド・ジャパン 新技術推進部 e-コマース イニシアティブ ディレクター 鈴木章五氏)となる。
他にもリアルタイムで取得するリスクスコアを用いてカードからネットワークまでの不正をいち早く検知する「Visa Advanced Authorization(ビザ ・アドバンスド・オーソリゼーション)」、200を超えるグローバルバリデーションテストとサービスを行うサイバーソース(CyberSource)を2010年に傘下に入れたことにより、不正を瀬戸際で防止する体制を整えている。
保護の部分では、犯罪者がハッキングを行っても特定のデータにアクセスできないような形で格納、暗号する「トークナイゼーションと暗号化」の推進を実施。また、加盟店がデータを持たず、保管しない「データ非保持」を提案している。
データを保持しなければならない事業者の保護施策としては、ペイメントカード業界の国際セキュリティ基準である「PCI DSS」の策定を進めてきた。これまでに大手加盟店の8割以上が基準に遵守しており、特に米国では97%が対応を果たしている。
ビザ・ワールドワイド・ジャパン リスクマネジメント/カントリーリスクダイレクター 井原亮二氏は、「日本においても加盟店、カード会社などのPCI DSSに対する理解が進んでいます。JCA(日本クレジット協会)など、業界レベルでの取り組みがスタートしており、ここ1~2年で本格的な普及が進むと理解しています」と期待を寄せる。
最後の対策としては、「法の抜け穴」を狙った犯罪防止のため、各国の法執行機関と協力し、対策を行っている。また、データセキュリティの動向、トレンドを加盟店と共有することにより、自ら保護対策が実施できるように努めている。カード会員に対しては、リアルタイムでアラートを発信する技術も提供している。
Visaでは今後、VAAによるリスクのスコア化、EMVなどのデバイス情報に加え、動的な分析と認証により、さらなるセキュリティのさらなる強化を図る方針だ。
ビザ・ワールドワイド・ジャパン 代表取締役社長 岡本和彦氏によると、日本の消費支出に占める非現金決済の割合は約14%で、韓国の53%やオーストラリアの54%には遠く及ばないという。国内においては、デビット、プリペイド、法人カードといった新たな市場を開拓するとともに、不正利用についての階層的なセキュリティ対策のアプローチを行うことで、ステークホルダーのVisaに対する信頼を維持し、高めていきたいとしている。
