2023年4月10日9:00
十分な情報を収集し判定精度を高めることと
動的パスワードへの切り替えが急務
―3-Dセキュアの導入によって不正利用被害は一定数減少することが期待されますが、これによってイシュアにはイニシャルコストおよびランニングコストがかかります。一方で加盟店にも、導入にともなうコスト負担に加え、イシュアが不正取引の損失を負うことによる承認率の低下という不安材料が残ります。これについてご意見をお聞かせください。ヤフーの平山さん、加盟店の立場からはいかがですか。
平山:繰り返しになりますが、3-Dセキュアは強力な武器になると思っています。しかし義務化といわれると、どこまでが義務なのか気になるところです。導入の義務化、3-Dセキュアを運用できる環境を整えるというところまでは、大いに賛成です。ただ、いくら以上の決済かなど、どの取引を3-Dセキュアに回すかの条件設定はけっこうデリケートな部分だと思っています。少なくとも全件を3-Dセキュアに回すというのは、弊社としては難しいと考えます。
イシュアの承認率の低下というのも気になるところです。加盟店としては、もちろん不正利用は起きてほしくありませんが、売上が損なわれることは避けたい。それと先ほどクックデさんがおっしゃったシステム負荷のところも、非常に気になっています。特に弊社のECは取扱量が多いですので。そもそも障害は起きてほしくないですし、もし起きたときにどうするのか。3-Dセキュアを通ることが義務だとすると、せっかく来てくれたお客様にお買物していただけないという事態は深刻です。
それからもうひとつの懸念材料は、3-Dセキュアのリスクベース認証の精度です。
クックデ:リスクベース認証の精度向上ということは、業界でも課題のひとつとして挙げられています。データの量は増えているのですが、それをどう分析して、どう生かすかということがポイントになってきます。データはあっても、細かいところまで見ていくと、意外と使えないデータが多かったりします。正確な判定のためにぜひほしいデータが、加盟店から収集できていないということもあります。協議会ではガイドラインをつくって重要な項目をラインナップし、周知に努めているのですが、まだ加盟店の十分な理解は得られていません。イシュアとして判定の精度を上げていくには、加盟店により多くのデータの提供を呼び掛けていくことに加えて、ACSベンダーから提供されているツールが適切なものかどうかといったところまで細かく見て、パフォーマンスを最大化する努力をすることが必要です。そこまでやらなければヤフーさんのように不正被害を右肩下がりにしていくことはできないと思いますので、これは来年以降も引き続き課題として取り組んでいかなければならないと思っています。
丸山:イシュアのコストが増えるというのは、ライアビリティシフトのことを指しているのだと思います。非対面取引でも3-Dセキュアを通してきちんとカギを入れておけば、対面取引でのチップと同等のセキュリティ効果が得られる。だからイシュアはチャージバックができなくなる。加盟店としてはやるべき義務を果たしたということで、イシュアにライアビリティがシフトするわけです。それが何を意味するかというと、イシュアにそれだけのセキュリティ対策が求められているということです。
チップの場合は、暗号化されたチップとターミナルさえあればいい。本人確認もPINの入力で完了できます。3-Dセキュアに関しても、弊社でも以前はセキュアコードと呼んでいたように、4桁の暗証番号、PINを入力するという印象がとても強いのですが、固定パスワードを使う運用をしているのは世界中でほぼ日本だけです。海外では、ショートメッセージでワンタイムパスワードが送られてきて、それを入力するのが3-Dセキュアであると認識されています。
海外と日本を比べてもしかたがないかもしれませんが、何を言いたいかといえば、日本のカード会社、ACSベンダーは、3-Dセキュアを20年近く運用してきて、ここへきてリスクベース認証をしてはいるのですが、ハイリスクを除く努力はされているのだけれども、グレーの部分、チャレンジ認証の部分ではまだ固定パスワードに頼っている。その思想から抜け出ていただく必要があります。
動的パスワードには、ワンタイムパスワードもありますし、スマホの認証もあります。また、リスクベース認証に使える項目も非常に増えてきています。国内のイシュア、ACSベンダーには、このあたりの対応を早急に強化していただきたいと思います。また、イシュアと加盟店が連携を深めて、情報交換して、判定の精度を高めていくことも必要だと思います。
―今、Mastercardの取引で、静的パスワードと動的パスワードの比率はどのぐらいなのですか。
