2017年6月12日8:00
■ビザ・ワールドワイド
国際ブランドのビザ・ワールドワイドは、安心・安全な決済サービス提供に努めています。今回は、グローバルな不正使用の傾向、Visaのセキュリティ強化に向けたビジョンと、リスク・ベース認証を実現する「3-D Secure(3-Dセキュア)2.0」の取り組みについて紹介します。
イシュイングは非対面や偽造の不正が増加
加盟店では2016年第2四半期から不正が高まる
日本のカードイシュア(発行会社)の不正の傾向として、非対面の不正の比率が過半数となっています。Visaの取引では、2014年から不正の比率が高まっており、2016年第3四半期で3.2ベーシスポイントとなりましたが、グローバルに比べると日本は低い状況です。非対面や偽造の不正は、特にVisaの取引で増えています。その理由として、米国のIC化の進行によって、不正が日本に移っている点が挙げられます。
また、アクワイアリング不正ですが、日本は2016年の第2四半期から急に高まってきました。イシュイング同様に非対面が増え、かつ偽造カードの不正使用金額が高まっています。これも、米国のIC化により、日本に犯罪の目が向けられているからでしょう。
米国では大型加盟店のPCI DSS対応、ICカード導入が進む
アジア・太平洋地域のPOSのIC化率は60%
米国はVisaの全世界のショッピング取扱高の約4割を占めていますが、世界の不正比率のうち、現状、米国は62%となっています。ただ、情報漏えい事案が1年前は75%の割合で発生していましたが、大型加盟店のPCI DSS対応が進んでおり、現在は6割まで下がりました。
EMV(IC)カード導入はグローバルで進行中で、2016年6月の時点でヨーロッパ、中近東、カナダはPOSのIC化が進んでいます。米国はPOSのIC化率が29%でしたが、2016年12月時点では39%まで比率が高まっています。
アジア・太平洋地域のPOSのIC化率は60%ですが、特に韓国と日本が遅れています。ただ、韓国はIC化の流れが進み、日本もクレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」で2020年3月までに100%を目指していますので、アジア・太平洋地域でも100%に近くなると期待しています。
不正の流れは米国から日本に移行する傾向に
国際取引の不正比率が高まる
Visaの経験上、総額ベースで半分くらいがICチップ取引になると、その地域で発生している不正が他の地域に移ります。そのため、米国からゆっくりと日本に移っている傾向が見受けられます。また、実行計画のスケジュール通りにIC化が進むと、不正は非対面に移行していくと考えられます。非対面では、国際間不正取引も多いため、不正対策はグローバルに展開する必要性があります。
非対面のデータをみると、北米の国内では17ベーシスポイントですが、国際取引は147ベーシスポイントとなります。アジア太平洋地域は、国内が6ベーシスポイント、国際取引が50ベーシスポイントとなり、国際取引の不正比率が高まっています。
Visaのビジョンとして、データを保護し活用可能にするレイヤーとして、4つを掲げています。まずは、「データの無価値化」です。データを無価値化し、仮にデータを盗まれても使えなくします。また、そもそもデータ自体を盗まれないように対応します。2つめは、能動的なリスク管理にカード会員自身の力を活用する「カード会員による不正管理」です。3つめは、ペイメントデータを安全に管理する「データの保護」となります。4つめは、不正取引を発生前で特定し、真正取引を高い信頼性を持って承認する「データの活用」となります。
具体的に、「データの無価値化」として、トークナイゼーションやEMV化が挙げられます。「カード会員による不正管理」には、トランザクションごとにアラートを出したり、カード会員自身によるカード利用管理があります。「データの保護」としては、P2PEの暗号化、データセキュリティ基準の「PCI DSS」が挙げられます。そして、「データの活用」には、リスク・ベース認証、生体認証、ワンタイムパスコード、情報流出対応といった方策といった、多面的・重層的な対応が必要です。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏の講演をベースに加筆を加え、紹介しています。
