2023年4月5日8:30
EMV 3-Dセキュアの普及がイシュアや加盟店のセキュリティ強化につながる
アメリカン・エキスプレスは、オンライン・ショッピング本人認証サービス「American Express SafeKey(セーフキー)」の加盟店への導入を推進しており、3-Dセキュア1.0の時代から動的パスワードを採用している。「EMV 3-Dセキュア(3-Dセキュア2.0)」への移行もスムーズに進んだが、加盟店の導入が広がることで、さらに安心・安全なネットショッピングの取引が実現すると見ている。(「決済セキュリティ2.0」より)
動的パスワードを1.0時代から活用
不正利用を抑えることに成功
アメリカン・エキスプレスでは、イシュイング(カード発行)、アクワイアリング(加盟店開拓)、国際ブランドの3つの事業を提供している。自社ですべてを完結できるクローズド・ループの強みを生かし、ルールベースと、AI(機械学習)に基づくスコアリングを実施。全世界の取引を確認したうえで、各取引のリスクレベルを判定している。また、SafeKeyによるIPアドレスなどの追加情報、カード会員属性、発行カードのリスク分析、カード利用のパターン異常検知、加盟店売り上げのパターン異常検知、加盟店ごとのリスク分析、加盟店属性などを組み合わせて不正を判別でしている。
SafeKeyに関しては、2022年10月に3-Dセキュア1.0が予定通りに終了。一部では駆け込み的な動きもあったものの、事前の準備や加盟店の協力もあり、大きな問題なく2.0に移行することができたという。
アメリカン・エキスプレスのフロードリスク・マネジメントチームの朝比奈孝弘氏は「弊社では、1.0時代から動的パスワードを採用し、欧州では10年前から対応しています。その運用の知識と経験があったため、日本での2.0スタート後も問題はありませんでした」と説明する。
クレジット業界では不正利用の被害額は右肩上がりとなっており、日本クレジット協会(JCA)の集計による2022年度の被害額は436.7億円と発表された。同社の国内の不正利用の状況は、JCAの集計結果同様に、ほぼ90%が非対面の悪用だという。コロナ禍の影響もあり、非対面取引が増加する中、「SafeKeyの認証はここ2年の間で急増したのは事実です」と朝比奈氏は話す。しかし、同社の直近3年とその前の3年を比べると、全トランザクションに対するカード不正利用比率は増えていない。朝比奈氏は「SafeKey導入直後は半減の勢いで被害額が減少した例もあり、弊社での不正利用は抑えられています」と成果を口にする。
ウォレットサービスの悪用が低下
義務化には概ね賛成
例えば、国内ではウォレット決済を提供する企業が登録時にSafeKeyの認証を導入したことにより、3カ月右肩上がりだった悪用が(導入後は)直ちに止まったという。また、カゴ落ちリスクの軽減という観点からも動的なパスワードを採用することで、利用者がパスワードを覚える必要がないメリットを挙げた。
政府の方針として、EC加盟店では2025年3月末までにEMV 3-Dセキュアの導入が義務化される。これにともない導入を検討する加盟店が増えているという。EMV 3-Dセキュアの義務化への見解については、「イシュアの立場としては賛成」と朝比奈氏は述べる。また、アクワイアラとしても、加盟店がEMV 3-Dセキュアを導入することで、よりサイトの安全性が高まるため、チャージバックのリスクを軽減できる面からもプラスに働くと見ている。
