2024年3月27日8:10
ビザ・ワールドワイド・ジャパンは、3月21日に都内で、セキュリティをテーマとしたメディア・ブリーフィングを開催。グローバルな視点から見た日本のクレジットカード不正利用の特徴や、現行のセキュリティ対策の弱点、それらを踏まえたVisaのセキュリティへの取り組みについて、リスクマネジメント部長のジョン・クロスリー氏とコア・プラットフォームソリューションズ部長の田中俊一氏が解説した。
IC化が功を奏し対面被害は54%減少
不正利用の96%が非対面取引で発生
強固なセキュリティなしに、健全な決済エコシステムは存在し得ない。Visaは、セキュリティはすべての中心であり、あらゆる業務の根幹であるという考えのもと、過去5年間にグローバルで100億ドルを、セキュリティ関連に投資している。そしてビザ・ワールドワイド・ジャパンは、5年後の目標として、「日本の決済システムが世界で最もスマートでパーソナルなものとなり、消費者の日常生活の主役となること」を掲げている。
日本のクレジットカード不正利用は、対面取引においては2018年から2023年までに54%減少した。特に2019年から2020年にかけての減少が著しい。これは言うまでもなく、割賦販売法の改正による、2020年3月を期限とした、加盟店のクレジットカード決済端末IC化義務化の影響である。
一方で増加を続けているのが非対面取引における不正取引。同じく2018年から2023年までの推移では、13%増加している。その結果、不正利用の全体額に占める非対面チャネルによる取引の割合が、2018年には90%だったものが、2023年には96%に拡大した。
ビザ・ワールドワイド・ジャパン リスクマネジメント 部長 ジョン・クロスリー氏は、「グローバルではここ数年、不正利用全体に占める非対面取引の比率に変化はありませんので、この増加傾向は日本の特徴と言えます」と説明する。
日本の不正利用は国内取引にシフト
イシュアのみならず加盟店での対策が必須
もうひとつ、ここ数年の日本における不正利用の特徴として挙げられるのは、国内取引へのシフトだ。2023年に、日本国内のイシュアが発行したクレジットカードによる不正利用のうち、国内加盟店で発生したものが70%。2018年は50%で、残りの50%は海外の加盟店で発生していた。ちなみに日本を除くアジア太平洋地域では、国内加盟店での不正利用の発生は4分の1程度で、海外からの不正アクセスが大半を占める。
日本国内のEC加盟店で不正利用が多発している要因について、クロスリー氏は、「まず有力なEC加盟店が多いこと。次に、そこで取り扱われている商品の換金性が高いこと。典型例は化粧品です」。品質が良く評判が高いため、海外での売れ行きが非常に良いのだという。
「不正利用の傾向を振り返ってみると、まず、海外のクレジットカードが日本の加盟店で不正に利用され始めた。これについては、海外のカードに厳しいルールを適用するなど、抑止対策がとりやすかったのです。そうすると不正犯は、日本のクレジットカードを利用するようになった。日本のカードが日本の加盟店で利用されるのはごく普通のことですから、日本の加盟店、イシュアにとって、これを止めるのは決して容易ではない」(クロスリー氏)。対策をとっては不正が巧妙化するいたちごっこが続いており、クロスリー氏は、不正を止めるには「イシュアだけでなく、加盟店での対策が必須」と強調した。
非対面不正防止のカギは3DSと強固な認証
日本は動的パスワードや生体認証の活用に出遅れ
Visaではマーケットごとの取り組みの指標を表したセキュリティ・ロードマップを作成。日本向けにも2019年から適用を開始し、2023年9月に最新版がリリースされている。
この中で特に重要なのが、日本で拡大を続ける非対面取引における不正の抑止策。まずは3DSの導入が急務だ。すべてのEC加盟店には、2025年3月までにEMV 3-Dセキュアの導入が義務付けられているが、不正顕在化加盟店においては、その期限を待たずに、できる限り早急な対応が求められる。クロスリー氏は、それによって不正利用は確実に減少するはずだと述べる。
EMV 3-Dセキュアは、加盟店からイシュアに、バージョン1.0の約10倍のデータ項目を送信可能。これによって、確度の高いリスクベース認証を、スピーディに実行。1.0に比べ、決済にかかる時間を85%削減、カゴ落ち率を70%削減できるという。
ただし現状、日本では海外と比較してEMV 3-Dセキュアに固定パスワードを用いているケースが多く、導入の効果を最大限に発揮できていないとクロスリー氏は指摘。ワンタイムパスワードや生体認証などより強い認証方法を採用すべきと提言する。
