2021年1月8日8:00
トークン化と3-Dセキュアのセットを非対面取引のスタンダードに
海外の不正対策の取組状況についてご説明します。グローバルでは非対面取引の不正に注目点が移ってきています。EMVというのは、ISOとは別の、業界の標準仕様を作っている団体です。もともとは対面決済のチップの仕様を作っていました。非接触決済になると、コンタクトレスですとかNFCですとか、最近国内ではタッチ決済という言葉を使ってなんとか浸透させようとしています。非対面決済でもチップと同等のセキュリティを提供しようということで作られた仕組みが3-Dセキュアです。EMVで使用を定義しているのですが、なかなかチップのレベルまで浸透しないこともあって、何年か前の2.0のときからEMV 3-D セキュアと呼ぶようになりました。
1.0と2.0の話をすると、1.0の仕様が作られたのはほぼ20年前、2000年より少し前です。当時のインターネットは、電話回線を通じて、FAXモデムというものを使ってつながっていました。それが今では回線も増えましたし、接続デバイスも増えました。20年前は家の中で1台のPCがインターネットにつながっているという状況でしたが、今は家の中に何台ものPCやタブレットやスマホがあり、そのすべてがインターネットにつながっています。その状態で20年前の3-Dセキュアでセキュリティが担保できるかということで、2.0が登場することになりました。ようやく重い腰を上げて仕様の変更を行ったというところです。
接続環境が違うので、1.0では10項目ぐらいのデータしかやり取りできなかったものが、今の時代に合わせて200項目以上のデータがやり取りできるようになりました。そのため互換性がないといった不都合も生じてはいるのですが、この変更を推奨していこうということになっています。Mastercardとしては、2022年10月に1.0の終了を予定してします。今使っている加盟店やカード会社には、速やかに2.0に移行していただきたいと考えています。
加盟店・デバイスごとのカード番号のトークン化・暗号化というところでは、国内でもいわゆるPSP(ペイメントサービス・プロバイダ)が提供しているものもありますが、いわゆるEMVレベルのトークン化というものがあります。国際ブランドが提供しているトークン化というものもあります。
国際ブランドとしてはトークン化と3-Dセキュアを、非対面決済のスタンダードにしたいと考えています。簡単に言うと、カード会社が提供している16桁のクレジットカード番号だけで決済させないということですね。EMV 3-Dセキュアで認証が成立したときにはそれに伴う鍵情報がチェック後に付いてきますし、トークンではそもそもカード番号ではない番号で決済するようになっています。
例えば私が会社のスマホと個人のスマホ、両方にカード番号を登録したとしても、デバイスごとに違うトークン番号が入ります。そのデバイスでは、デバイス固有のトークン番号とセットでなければ使うことができません。つまりそのデバイスがなければ決済できないということになります。それがブランドが提供しているトークンです。
国際ブランドが提供しているトークンとPSPが提供しているトークンとの違いということではもう1つ、元のカード番号を管理する必要がないということです。デバイスでスキャンしてカード番号を登録し、トークン番号を保管すると、参照できるように一部の情報は残っていますが、元の番号は消去されてトークン情報しか残りません。
これと同じようにブランドとして進めていきたいのが、デバイスだけでなく、例えば国内の大手ECサイトでいうと楽天やAmazonやYahoo!JAPANのサイトでユーザーはカード番号を登録して決済すると思いますが、そのカード番号をトークン化しませんか、ということです。元のカード番号を消してしまって、トークンと固有の加盟店番号とセットで、その加盟店でしか使えない番号にしましょう、ということを推奨していく予定です。
国際ブランドのトークンは、PSPで使われているトークンとはまったく競合せずに、共存できると考えています。PSPが提供しているサービスでは、元の番号と暗号化された番号を両方保管していて、最終的にはオーソリですとか、請求時に元の番号に変換してカード会社に送るという作業が発生するので、これをする必要がなくなる。場合によっては二重のトークンということも可能で、PSPで保管しているトークン番号をそのままブランドネットワークに載せてもらっても、元のカード番号に置き換えることができるので、いずれにしても元のカード番号を保管する必要がなくなります。トークン化したものをもう一度トークン化して保管することができる。PSPが使っているトークン、暗号化とセットにして、二重のセキュリティにすることも可能です。グローバルでは以上のようなことを推進しております。
EUではPSD2(Payment Service Directive:決済指導書)が2019年から有効になっています。簡単にいうと、ストロング・カスタマー・オーセンティケーションを非対面決済には必須にするということです。したがってヨーロッパ域内の加盟店とイシュアには3-DセキュアのPSD2対応を必須にしていました。しかしそこまでしてもなかなか浸透していないというのが事実です。
本来であれば2019年4月時点でPSD2対応が完了して、9月には2.0まで必須となるというのがEUのPSD2に合わせて出されていたブランドのスケジュールでした。しかし2019年7月の時点で、ヨーロッパの実際の取引ベースで3-Dセキュアの取引が全体の25%、2.0に関しては1%だったと聞いています。認知・浸透にはもっと時間が必要だということで、導入完了のスケジュールを2021年3月に設定し直しています。ヨーロッパはセキュリティ対策が進んでいたはずなのですが、スケジュールの遅れが出ているというところです。
ブランドに対しても、3-Dセキュアのグローバルの要件だけでなく、細かな要件を要求しています。3-Dセキュアの認証をとるということは、加盟店に手間をとらせることなので、とはいえ加盟店としては「この人は絶対大丈夫」という取引を除くようなホワイトリストですとか、一定金額以下であれば加盟店がリスクをとるから3-Dセキュアを免除してほしいという申請ができるといった個別仕様を作っています。こういったところがヨーロッパの状況です。
インドに関しては不正が多いという話をしましたが、首相が代わって突然高額紙幣が廃止になったとか、かなり大胆な施策をされています。インドも3-Dセキュアではなく、ストロング・カスタマー・オーセンティケーションを、3段階認証ということで、法律によって義務化したと聞いています。インド専用の3-Dセキュア対応を行っているそうです。2段階認証というのはカード裏面のセキュリティコードと3-Dセキュアなのですが、インドの場合はそれにスマホのワンタイムパスワードをプラスした3段階認証が行われています。
それができるのはインドならではというところもあります。インドではiPhoneの利用率は1%以下で、大半はAndroidだそうです。スマホ本体はほとんどが中国製だそうです。よって、それに対応するソフトウェアを開発すれば、99%を網羅できたということです。
GAFAと呼ばれるプラットフォーマーの協力を得られないとなかなか難しい面があるのですが、インドの場合は1つにフォーカスすれば済んだ。特殊事情だという気もします。
オーストラリアでは2019年7月、AusPayNet requirementsというものが発表されたそうです。日本でいう日本クレジット協会のようなところが、法律対応ではないのですが不正が増えていることに対応して自主規制というようなかたちで、PSD2(2段階認証)の対応を呼び掛けているようです。
法律要件ではなく業界団体が出したものなので、強制力があるものではないのですが、啓蒙活動の1つとして影響力を持っているものと思われます。
米国には、セキュリティ対策をしている加盟店が情報交換をするMRC(Merchant Risk Council)というグループがあって、年に何度か全米レベルの会合を開いて、そこに決済事業者も参加して情報を提供しています。日本でも同じような取り組みができるといいと思うのですが、なかなか業界の垣根を越えられず大きな取り組みに発展していかないのが残念です。
非接触決済を推進
NFC TypeA/Bで対応
この後はいくつか興味深い資料をご紹介していこうと思います。先ほど3-Dセキュアの本人認証という話をしました。日本でも本人認証の重要性についてはよく語られるのですが何か違和感があって、今カード会社でできる認証や、3-Dセキュアでできる認証は、正確に言うと本人認証ではないと思っています。今まで使っていたのと同じ人が使っているから同じ取引と見るということです。
Mastercardが行っているものに、行動生体認証(NuData/NuDetect)というものがあります。同じ人が同じようにパスワードを入力していれば、画面上に同じ波形が描かれます。そのデータが盗まれて別の人がアクセスすると、違う波形になります。それが本人認証なのかというとそうではない。過去にアクセスした人と同じ人かどうかを確認しているだけだと思います。これはちょっと、余談として説明させていただきました。
「3-Dセキュアは本当に効果があるの?」「やる意味があるの?」と時々聞かれることがあるのですが、その効果を示すデータがあります。ヨーロッパ、A/P(アジア・パシフィック)、インドで3-Dセキュアを導入した場合の承認率と不正の割合のデータです。特にインドでは、49.6%だった承認率が、3-Dセキュア導入により90.7%まで向上しました。不正の割合は、0.6872%だったものが0.016%と大きく低減しています。
ストロング・カスタマー・オーセンティケーションを導入すると、これだけ顕著に値が下がるということなので、日本も早くこういう環境にしたいものだと思っています。
日本は3-Dセキュアの導入が遅れていると言われています。2年前の3-Dセキュアの利用率を見ると、シンガポールなど特段に利用が進んでいる国を含むAP地域でも25%、中東地域で22%です。カナダで2%、南米で0.5%。アメリカは4%で、ヨーロッパでも当時は18%でした。では急速に3-Dセキュアの導入が進んでいるのかというと、まだまだです。その最中に2.0がリリースされ、日本も多少遅れ遅れということにはなりますが、ゆっくり確実に進んでいると認識しています。
不正が非対面にシフトしてきている以上は、打てる対策は打つべきだと思います。国内のコード決済は、セキュリティより利便性を重視しがちですが、順次導入していっていただきたいと思っています。
いくつか参考になるサイトの紹介をいたしますと、先ほどオーストラリアの事例を紹介しましたが、より詳しく知りたい方はオーストラリアのペイメントネットワークのサイトをご覧いただければと思います。また、MRCの米国の事例を紹介するサイトがあって、かなり深い情報が掲載されていますので、興味のある方はご覧になってください。海外の事情を知る参考になると思います。
最後にMastercardの今後の非接触決済対応、特にNFC TypeA/B対応について触れておきます。
少し大きなところからいいますと、Mastercardもそうですし、Visaさんもそうだと思いますが、グローバルのロードマップを出しています。2023年、2025年に向けて、接触、非接触の端末、カード発行に切り替えていくスケジュールを発表しています。
日本のMastercardはこのタイムラインからいったん外してもらっています。その理由は、日本の非接触決済は、TypeFといわれるインターフェース、iD、QUICPayによりApplePayが国内仕様で作られていますが、Suicaなどの利用があるので、それとどのように歩調を合わせるかという問題があるのです。さらにそれにコード決済も加わっています。ユーザーの混乱を起こしてはいけないので、ブランドが一方的にスケジュールを決めるのは望ましくないという考えから、いったん除外にしました。もう1つには、経済産業省が改正割販法のもとで2020年3月を目指してICチップ化を推進していたので、それに加えて非接触を進めると混乱を招きかねないということもあり、先送りしてきました。
非接触決済対応はもちろん推進していきますので、どこかでグローバルのマップに立ち返ることになるのだと思います。その時期を今申し上げることはできないのですが、いずれはグローバルの大きな流れに乗っていくことになると思います。
コロナ禍でインバウンド消費がかなり落ち込んでいますが、今後カードには必ず非接触決済機能が付いてきます。TypeFは残念ながら付いていません。コード決済は登録が必要だったりしますので、どうしてもTypeA/Bのニーズは高くなり、それに合わせたロードマップなり情報提供をしていこうと考えています。義務化するかどうかについては議論が必要ですが、検討がされていないわけではなく、コロナ禍の状況を見ながら引き続き検討を進めていきます。
※本記事は2020年11月13日に開催された「ペイメントカー
