2024年11月14日8:00

2025年3月末の“原則”義務化に向けて、EMV 3-Dセキュアの導入推進が急ピッチで進んでいる。その現状は? 今後の方向性は?クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長の矢嶋氏が解説する。(2024年10月25日開催「ペイメント取引セキュリティ対策セミナー2024」クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長/三菱UFJニコス株式会社 経営企画本部 フェロー 矢嶋浩明氏の講演より)

レジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長/三菱UFJニコス株式会社 経営企画本部 フェロー 矢嶋浩明氏

増加し続ける日本の非対面でのカード不正利用
英国やオーストラリアでは増加に歯止め

毎年増加を続けているクレジットカードの不正利用ですが、対策強化については業界レベルでここ進年検討されておりまして、主に2025年4月以降に強化される対策がありますので、そのあたりの現状と今後の方向性についてご説明いたします。私自身はここ数年、3-Dセキュアの検討を中心に担当しておりましたのでこのお話が中心になりますが、それ以外の対策についての議論も進んでおりますので、そちらにも少し触れたいと思います。

国内のクレジットカード決済が順調に拡大する中で、非対面取引におけるクレジットカード不正取引が増加しています。決済額の前年比と不正利用額の前年比を比べてみますと、決済額の伸びが110%台であるのに対し、残念ながら不正利用額は130%台で伸びています。不正利用額の大半は非対面取引における番号盗用によるものです。対面取引の不正利用についてはICカード化の取り組みが奏功して激減しましたが、非対面取引の不正利用は増え続けており、対策が急務となっています。

不正取引の海外の状況については、2024年4月に行われた経済産業省のクレジットセキュリティ官民対策会議の中でも説明がありました。非対面取引での不正利用が多いというのは日本に限らず世界的に共通する傾向です。ただし、SCA(Strong Customer Authentication:強力な顧客認証)を導入している英国やオーストラリアなどでは不正利用が低減に向かっているのに対して、日本は右肩上がりで増加しているという良くない傾向があります。

カード情報保護に脆弱性対策を要請
不正利用対策は「線」の考え方

現状のセキュリティ対策について整理してみましょう。割賦販売法が求めているセキュリティ対策には、不正利用対策とカード情報保護の2つがあります。不正利用対策については対面取引では先ほど申し上げましたようにICカード化によって不正利用が減少し、安定しておりますが、非対面取引には今のところ対策の決定打がありません。現状ではオーソリ、善管注意義務や、4方策といわれる本人認証、券面認証、属性行動分析、配送先情報をリスクに応じて適宜使って対応していますが、決して効果が上がっているとはいえません。一方のカード情報保護につきましては、2020年に情報の非保持化、もしくは保持の場合はPCI DSS準拠ということで舵を切りましたけれども、残念ながら非保持化を完了しているクレジットカード加盟店からも情報を盗まれるケースが出てきています。

情報漏えいについては、カード情報の非保持化が進んだことによってやや減少してきた印象があったものの、直近でまた起きているのも事実であり、対策が求められる事態は継続しています。カード情報を詐取する手口が巧妙化していることを受けて、それまでの対策に加えて2022年秋から試行運用ということで、新規の加盟店に対してシステム脆弱化対策を求め、アクワイアラがそれを確認するという施策を進めています。

今後の不正利用対策の考え方として、「線」の考え方を紹介します。これは2024年3月に改訂されたクレジットカード・セキュリティガイドライン5.0版で示されたものです。カード決済時に行う対策としてEMV 3-Dセキュアがありますが、これを軸として、決済前、決済時、決済後という決済の場面ごとに適切な対策を講じることが必要だという考え方です。

不正利用対策の今後についてまとめますと、対面取引については現状通り。非対面取引の不正利用対策については、EMV 3-Dセキュアを軸として、決済の場面ごとに適切な対策を講じること。それでも不正利用が減少しないケースにおいては、適切な対策を追加で導入していただくことになります。カード情報保護の部分については、ECサイト等の加盟店のシステムの脆弱性対策が求められることとなります。

加盟店におけるEMV 3-Dセキュア導入推進
導入対象外となる要件とは?

ここからは加盟店におけるEMV 3-Dセキュアの導入推進についてお話しします。

2023年11月に、「加盟店におけるEMV 3-Dセキュア導入推進ロードマップ」が作成されました。EMV 3-Dセキュアは原則、2025年3月末までに導入が義務付けられています。既存の加盟店においても優先順位を決めてアクワイアラやPSPが導入を推進しなければならないとされています。Tier1から4までのカテゴリーがあり、過去に不正利用が発生している加盟店はTier1あるいは2にカテゴライズされて優先順位が高くなり、これらに対してはカード会社やPSPでも昨年以降先んじて導入の働きかけをしています。不正利用がない加盟店においても予防の観点から導入していただく必要がありますので、今後働きかけが進んでいくと考えていただければと思います。

加盟店におけるEMV 3-Dセキュアの導入運用ルールとして、2023年11月に「加盟店におけるEMV 3-Dセキュア導入・運用ガイダンス」を作成しました。その中には一部未決の事項がありましたので、5月に改版いたしました。

ガイダンスの中ではEMV 3-Dセキュアの未導入が認められる取引ということで、対象外の定義を示しています。また、具体的な運用方法ということで、3つのパターンと、加盟店起点の取引について説明しています。

まず、EMV 3-Dセキュア導入の対象外について説明いたします。要件は大きく3つあります。1つ目はEMV 3-Dセキュアの導入が技術的にできないもの。電話・FAX・郵便によりクレジットカード番号の通知を受けるいわゆるメールオーダーやテレフォンオーダーや、ECではあるけれども3-Dセキュアに対応できないゲーム機などによる取引がこれに含まれます。

2つ目は、システムにより特定の者とのみ取引が可能な措置が講じられていて、なりすましによる不正が発生する蓋然性が極めて低いもの。具体例としては、法人カード限定のサイトにおけるBtoB取引。これはBtoB取引すべてが該当するわけではなく、クローズドな専用サイトでの取引に限られます。ほかには、イントラネット環境、IPアドレスなどによる外部からの通信制限によって利用者を特定することにより、不特定多数の者が利用できない取引。利用者がホワイトリスト化されていて、それ以外の人はアクセスできないクローズドな環境での取引がこれにあたり、一般的なIDやPWによるログイン制限はこれには該当しません。

3つ目が、取引対象となる本人が特定されていて、なりすましによる不正が発生する蓋然性が極めて低いもの。公共料金、税金、保険料、教育費の支払いなどです。ただこれも一律に対象外とするわけではなく本人が特定されていることが必要となります。たとえばガスを開通するときには担当者が利用者の自宅を訪問して本人確認をするという業界ルールがあるそうですので、そういうケースを対象外と認める。税金などに関しても納付書が届け出の住所に送られていて、それがなければ支払えないようなものは認める。保険でも契約時や保険金の受取時に本人確認をしていれば認める。学校関係については、学生番号などを用いて在籍の確認をするなどの運用がされている場合には対象外と認めるといった運用を行っています。

ただし対象外であっても、不正が発生した場合には導入していただくということと、不正顕在化加盟店の定義にはあたらないまでも緊急性が高い場合にはカード会社からの求めに応じて導入していただくということを、併せて明記しております。

対策に応じて決まる運用の3パターンと
加盟店起点の取引について

次に運用の3つのパターンについてです。パターン①は、加盟店のリスク判断によりEMV 3-Dセキュアによる認証を行うものです。加盟店が相当な投資をされて網羅的に対策が導入されて監視態勢も構築し、EMV 3-Dセキュアと同等以上の不正利用抑止効果があり、「自社のセキュリティ対策は万全である」というケースでは、EMV 3-Dセキュアを導入していただいたうえで、取引毎に3-Dセキュアの認証をするかどうかは加盟店の判断に委ねるということです。この運用は認証の判断を加盟店に委ねるという運用であることから、カード会社も慎重に判断をすることとなり、採用についてはカード会社(アクワイアラ)、PSPの合意が必要になります。

パターン②は、アカウント等の厳格な管理および不正ログイン対策を講じたうえで、カード番号登録時にEMV 3-Dセキュアによる認証を行い、それ以降の取引については加盟店の判断に委ねるというものです。

パターン③は、①や②の運用が難しい加盟店において、登録時においても、決済時においても、その都度EMV 3-Dセキュアによる認証を行っていただくというパターンです。

このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP