2023年4月3日9:00
キャッシュレス社会、デジタル社会を実現するためには、安心安全な決済環境の整備が不可欠だ。決済手段の多様化にともない、不正利用対策に進化が求められている今、ビザ・ワールドワイド・ジャパンは、高度なリスクベース認証を実現するEMV 3-Dセキュアと、カード情報の悪用を阻止するVisaトークンの活用を推奨している。ソリューションの概要および活用事例、今後の展開などについて紹介する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)
ビザ・ワールドワイド・ジャパン
データ・ソリューションズ ディレクター 田中 俊一氏
デジタル・ソリューションズ 部長 藤森 貴之氏
リスクベース認証と動的パスワードを駆使して
不正利用の最小化と承認率の最大化を目指す
ビザ・ワールドワイドの田中です。今回は前半、私から、EMV 3-Dセキュアのお話をさせていただき、後半は藤森からトークンについてご説明させていただきます。
非対面取引におけるセキュリティ向上と決済体験の改善は、この数年のEC取引の大幅な増加によって、より重要で緊急性の高い課題となりました。その課題を解決するソリューションの1つとして期待されているEMV 3-Dセキュアは、非対面取引における不正利用の最小化と、承認率の最大化を実現するためのプラットフォームであり、カード会員や加盟店にシームレスかつフリクションレスな決済体験を提供することを目指しています。当社ではVisa Secureというプログラムで、このEMV 3-Dセキュアを提供しています。
EMV 3-Dセキュアと前バージョンの3-Dセキュア1.0との大きな違いは、加盟店からイシュア(カード発行会社)により多くの情報を伝達して、より精度の高いリスクベース認証を実現できることです。加盟店がイシュアに対して多様な情報を届けることによって、イシュアは正しい認証、高い承認率を実現することができるようになります。結果として双方に大きなメリットをもたらす認証技術であるといえます。
3-Dセキュア1.0が登場した時代と比較すると、ネットの環境は大きく変わりました。1.0の時代にはブラウザベースの認証が行われていましたが、今ではモバイル/in APPによる認証最適化および快適なUIが実現されています。1.0では固定パスワードの入力が求められていましたが、現在は生体認証などさまざまな認証が可能になっています。また、EMV 3-Dセキュアは、非決済領域にも認証のカバー範囲を広げています。たとえばデジタルウォレットへのカード登録や、トークンのプロビジョニングなどにも利用が可能です。
取引フローを簡単にご紹介いたします。カード会員が、加盟店から、Visaのダイレクトリーサーバを通って、イシュアのコントロールサーバに取引情報を届けます。そうするとイシュアがリスクベース認証を行って、どういった取引なのかを分析した上で、高リスクであれば追加のチャレンジ認証を実施、低リスクであればフリクションレスで承認するという流れになります。チャレンジ認証を行うことを主眼としていた1.0と違って、リスクベース認証を行うことで、低リスクの取引においてはフリクションレスで承認するという仕組みがとられています。リスクが非常に高い場合には取引を拒否することも可能です。そしてそのあとに加盟店がオーソリゼーションを実施するという二段構えになっているのは、1.0と変わりません。
EMV 3-DSで増加したデータ項目を利用してRBAを高い精度で実行することができます
