2024年11月14日8:00
2025年3月末の“原則”義務化に向けて、EMV 3-Dセキュアの導入推進が急ピッチで進んでいる。その現状は? 今後の方向性は?クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長の矢嶋氏が解説する。(2024年10月25日開催「ペイメント取引セキュリティ対策セミナー2024」クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長/三菱UFJニコス株式会社 経営企画本部 フェロー 矢嶋浩明氏の講演より)
増加し続ける日本の非対面でのカード不正利用
英国やオーストラリアでは増加に歯止め
毎年増加を続けているクレジットカードの不正利用ですが、対策強化については業界レベルでここ進年検討されておりまして、主に2025年4月以降に強化される対策がありますので、そのあたりの現状と今後の方向性についてご説明いたします。私自身はここ数年、3-Dセキュアの検討を中心に担当しておりましたのでこのお話が中心になりますが、それ以外の対策についての議論も進んでおりますので、そちらにも少し触れたいと思います。
国内のクレジットカード決済が順調に拡大する中で、非対面取引におけるクレジットカード不正取引が増加しています。決済額の前年比と不正利用額の前年比を比べてみますと、決済額の伸びが110%台であるのに対し、残念ながら不正利用額は130%台で伸びています。不正利用額の大半は非対面取引における番号盗用によるものです。対面取引の不正利用についてはICカード化の取り組みが奏功して激減しましたが、非対面取引の不正利用は増え続けており、対策が急務となっています。
不正取引の海外の状況については、2024年4月に行われた経済産業省のクレジットセキュリティ官民対策会議の中でも説明がありました。非対面取引での不正利用が多いというのは日本に限らず世界的に共通する傾向です。ただし、SCA(Strong Customer Authentication:強力な顧客認証)を導入している英国やオーストラリアなどでは不正利用が低減に向かっているのに対して、日本は右肩上がりで増加しているという良くない傾向があります。
カード情報保護に脆弱性対策を要請
不正利用対策は「線」の考え方
現状のセキュリティ対策について整理してみましょう。割賦販売法が求めているセキュリティ対策には、不正利用対策とカード情報保護の2つがあります。不正利用対策については対面取引では先ほど申し上げましたようにICカード化によって不正利用が減少し、安定しておりますが、非対面取引には今のところ対策の決定打がありません。現状ではオーソリ、善管注意義務や、4方策といわれる本人認証、券面認証、属性行動分析、配送先情報をリスクに応じて適宜使って対応していますが、決して効果が上がっているとはいえません。一方のカード情報保護につきましては、2020年に情報の非保持化、もしくは保持の場合はPCI DSS準拠ということで舵を切りましたけれども、残念ながら非保持化を完了しているクレジットカード加盟店からも情報を盗まれるケースが出てきています。
情報漏えいについては、カード情報の非保持化が進んだことによってやや減少してきた印象があったものの、直近でまた起きているのも事実であり、対策が求められる事態は継続しています。カード情報を詐取する手口が巧妙化していることを受けて、それまでの対策に加えて2022年秋から試行運用ということで、新規の加盟店に対してシステム脆弱化対策を求め、アクワイアラがそれを確認するという施策を進めています。
今後の不正利用対策の考え方として、「線」の考え方を紹介します。これは2024年3月に改訂されたクレジットカード・セキュリティガイドライン5.0版で示されたものです。カード決済時に行う対策としてEMV 3-Dセキュアがありますが、これを軸として、決済前、決済時、決済後という決済の場面ごとに適切な対策を講じることが必要だという考え方です。
不正利用対策の今後についてまとめますと、対面取引については現状通り。非対面取引の不正利用対策については、EMV 3-Dセキュアを軸として、決済の場面ごとに適切な対策を講じること。それでも不正利用が減少しないケースにおいては、適切な対策を追加で導入していただくことになります。カード情報保護の部分については、ECサイト等の加盟店のシステムの脆弱性対策が求められることとなります。
加盟店におけるEMV 3-Dセキュア導入推進
導入対象外となる要件とは?
ここからは加盟店におけるEMV 3-Dセキュアの導入推進についてお話しします。
2023年11月に、「加盟店におけるEMV 3-Dセキュア導入推進ロードマップ」が作成されました。EMV 3-Dセキュアは原則、2025年3月末までに導入が義務付けられています。既存の加盟店においても優先順位を決めてアクワイアラやPSPが導入を推進しなければならないとされています。Tier1から4までのカテゴリーがあり、過去に不正利用が発生している加盟店はTier1あるいは2にカテゴライズされて優先順位が高くなり、これらに対してはカード会社やPSPでも昨年以降先んじて導入の働きかけをしています。不正利用がない加盟店においても予防の観点から導入していただく必要がありますので、今後働きかけが進んでいくと考えていただければと思います。
加盟店におけるEMV 3-Dセキュアの導入運用ルールとして、2023年11月に「加盟店におけるEMV 3-Dセキュア導入・運用ガイダンス」を作成しました。その中には一部未決の事項がありましたので、5月に改版いたしました。
ガイダンスの中ではEMV 3-Dセキュアの未導入が認められる取引ということで、対象外の定義を示しています。また、具体的な運用方法ということで、3つのパターンと、加盟店起点の取引について説明しています。
まず、EMV 3-Dセキュア導入の対象外について説明いたします。要件は大きく3つあります。1つ目はEMV 3-Dセキュアの導入が技術的にできないもの。電話・FAX・郵便によりクレジットカード番号の通知を受けるいわゆるメールオーダーやテレフォンオーダーや、ECではあるけれども3-Dセキュアに対応できないゲーム機などによる取引がこれに含まれます。
2つ目は、システムにより特定の者とのみ取引が可能な措置が講じられていて、なりすましによる不正が発生する蓋然性が極めて低いもの。具体例としては、法人カード限定のサイトにおけるBtoB取引。これはBtoB取引すべてが該当するわけではなく、クローズドな専用サイトでの取引に限られます。ほかには、イントラネット環境、IPアドレスなどによる外部からの通信制限によって利用者を特定することにより、不特定多数の者が利用できない取引。利用者がホワイトリスト化されていて、それ以外の人はアクセスできないクローズドな環境での取引がこれにあたり、一般的なIDやPWによるログイン制限はこれには該当しません。
3つ目が、取引対象となる本人が特定されていて、なりすましによる不正が発生する蓋然性が極めて低いもの。公共料金、税金、保険料、教育費の支払いなどです。ただこれも一律に対象外とするわけではなく本人が特定されていることが必要となります。たとえばガスを開通するときには担当者が利用者の自宅を訪問して本人確認をするという業界ルールがあるそうですので、そういうケースを対象外と認める。税金などに関しても納付書が届け出の住所に送られていて、それがなければ支払えないようなものは認める。保険でも契約時や保険金の受取時に本人確認をしていれば認める。学校関係については、学生番号などを用いて在籍の確認をするなどの運用がされている場合には対象外と認めるといった運用を行っています。
ただし対象外であっても、不正が発生した場合には導入していただくということと、不正顕在化加盟店の定義にはあたらないまでも緊急性が高い場合にはカード会社からの求めに応じて導入していただくということを、併せて明記しております。
対策に応じて決まる運用の3パターンと
加盟店起点の取引について
次に運用の3つのパターンについてです。パターン①は、加盟店のリスク判断によりEMV 3-Dセキュアによる認証を行うものです。加盟店が相当な投資をされて網羅的に対策が導入されて監視態勢も構築し、EMV 3-Dセキュアと同等以上の不正利用抑止効果があり、「自社のセキュリティ対策は万全である」というケースでは、EMV 3-Dセキュアを導入していただいたうえで、取引毎に3-Dセキュアの認証をするかどうかは加盟店の判断に委ねるということです。この運用は認証の判断を加盟店に委ねるという運用であることから、カード会社も慎重に判断をすることとなり、採用についてはカード会社(アクワイアラ)、PSPの合意が必要になります。
パターン②は、アカウント等の厳格な管理および不正ログイン対策を講じたうえで、カード番号登録時にEMV 3-Dセキュアによる認証を行い、それ以降の取引については加盟店の判断に委ねるというものです。
パターン③は、①や②の運用が難しい加盟店において、登録時においても、決済時においても、その都度EMV 3-Dセキュアによる認証を行っていただくというパターンです。
