2021年3月5日8:00
ペイメントの国際ブランドで構成するEMVCoは、3-Dセキュアのバージョン2となるEMV 3-D Secureの活用を推進している。全取引に対して追加認証を要求するバージョン1は、いわゆる“カゴ落ち”リスクが増大し売り上げ減につながるとの危惧から加盟店での導入が進まなかったが、バージョン2では高リスクの取引にのみ追加認証を要求するリスクベース認証を採用。販売機会ロスを最小限にとどめながら、決済の安全性を最大限に確保する仕組みとした。
3-Dセキュアの仕様を大きく変更
クレジットカード国際ブランドで構成するEMVCoは、2016年10月、3-Dセキュアのバージョン2となるEMV 3-D Secureの仕様を策定・開示した。最初の仕様は、2016年10月24日に、「Protocol and Core Functions Specification Ver2.0.0」として発行された。この1年後、2017年10月に、SDK(Software Development Kit:ソフトウェア開発キット)仕様が公開されている。
オンライン取引の安全性を高める3-Dセキュアの活用が始まったのは、2000年初頭。しかし、すべての取引に対して静的パスワードや動的パスワードなどの追加認証を求めるバージョン1は、決済手続きの煩雑化による購入の途中離脱、いわゆる“カゴ落ち”を多数発生させ、売り上げ減につながるとの懸念から、導入をためらう加盟店が多く、広範な普及には至らなかった。
バージョン2となるEMV 3-D Secureでは、“カゴ落ち”リスクを極力回避するために、危険性の高い取引のみに動的パスワードもしくは生体認証による追加認証を求めるリスクベース認証を採用した。販売機会ロスを最小限にとどめながら、最大限の安全性を確保することを目指している。
高リスクの取引にのみ追加認証を要求
取引の危険度は、イシュア側が設置するACS(アクセス・コントロール・サーバ)が判断する。危険性を感知するために用いられるのは、購入商品、金額、クレジットカード番号、シッピング(送り先)といった取引情報のほか、アクセス元のデバイスやブラウザ情報など。ACSは、加盟店が取得・保持している各種情報を受け取り、また、自らブラウザ接続によりカードホルダーに直接アクセスしてデバイス情報などを取得する。それら多様な情報を活用して総合的に取引の信頼性を検証することによって、追加認証が必要となるケースを平均5%程度にとどめることができるといわれている。
3-Dセキュアのバージョン1はVisa、Mastercard、JCB、アメックスの4ブランドに対応していたが、EMV 3-D SecureはDinersと銀聯を加えた計6ブランドに対応。またバージョン1はブラウザベースの認証のみをサポートしていたが、EMV 3-D Secureでは合わせてアプリに組み込むSDKの仕様を策定しており、加盟店のモバイルアプリ上での本人確認もサポートできるようになった。
イシュア、加盟店、エンドユーザーであるカードホルダーのいずれにとってもメリットが大きいEMV 3-D Secureは、今後普及が拡大すると期待されており、国内でもこれに対応するイシュアおよび加盟店向けソリューションが登場してきている。
日本カードネットワークと協業
大日本印刷(以下、DNP)では2008年から3-Dセキュア バージョン1に対応するACSを提供してきた。2017年にはバージョン2となるEMV 3-D Secure対応において、JCB系列の日本カードネットワーク(以下、CARDNET)との協業を決定。2020年4月よりイシュア向けに「EMV 3-D Secure_ACSサービス」の提供を開始し、同月にいち早くJCBがこのサービスを導入した。
「EMV 3-D Secure_ACSサービス」では、スレットメトリックスのリスクベース認証エンジンを採用。大日本印刷 情報イノベーション事業部 PFサービスセンター デジタルトラストプラットフォーム本部 西野嘉浩氏は「グローバルな経験が豊富で、もともと精度が高かった上に、機械学習を含め日々進化を続けているリスクベース認証エンジンです」と不正検知の精度に自信を見せる。
