2025年3月28日8:30
2025年3月を期限とする加盟店の3-Dセキュア導入の義務化、そしてその後の対策として、業界、日本クレジット協会、イシュア、加盟店はどう動いているのか。セキュリティ対策協議会のメンバーとして3-Dセキュア導入に尽力してきた3人が、カードセキュリティの現状とこれからについて議論を交わした。(2025年2月27日開催「ペイメント・セキュリティフォーラム2025」の講演より)
ゲスト:
クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア タスクフォース座長/三菱UFJニコス株式会社 経営企画本部 フェロー 矢嶋浩明氏
三井住友カード株式会社 カードセキュリティ統括部(東京)渉外グループ クックデ サンジェイタロウ氏
ファシリテーター:丸山 秀幸氏
2025年3月の期限を目前に
3-Dセキュア導入は概ね順調に進行
丸山:ファシリテーターを務めます丸山です。昨年の初めまでMastercardに在籍しており、クレジット取引セキュリティ対策協議会(以下、セキュリティ対策協議会)の委員も務めていました。今日は業界に精通したお二人をゲストとしてお迎えしておりますので、まず自己紹介をお願いしたいと思います。
矢嶋:三菱UFJニコスの矢嶋と申します。セキュリティ対策協議会にも長くかかわっており、過去にはICカードの義務化、直近では3-Dセキュア義務化の流れにおいて、その運用のルールを整備するワーキンググループの議長を務めておりました。本日はどうぞよろしくお願いいたします。
クックデ:クックデと申します。三井住友カードに在籍して4年目、その前はイシュイングの国際ブランドにおり、25年以上、クレジットカードにかかわる業務に携わっております。セキュリティ対策協議会では、矢嶋さんの前任のワーキンググループ議長であり、そのときに3-Dセキュアの義務化が決まったという経緯があります。
丸山:セキュリティ対策協議会の現議長の矢嶋さん、その前の議長のクックデさん、そしてそのメンバーだった私がここに揃っているということになります。今日の立ち位置としては、矢嶋さんには3-Dセキュアの義務化を決めた協議会の立場でお話をいただき、クックデさんには、加盟店やPSPと直接やり取りするアクワイアラの立場からお話をいただきたいと思っております。
丸山:では早速、1つ目の質問です。2025年3月が期限となっているEMV 3-Dセキュア義務化の、現在の状況は、皆さんから見てどのようなものですか。業界がEMV 3-Dセキュア義務化と言い始めてから2年半ほどが経過し、われわれはこれに関してさんざん話を聞いているので当然浸透しているものと思っていますが、実はそうでもないという話もあります。
矢嶋:協議会では3-Dセキュアの推進計画について、一昨年(2022年)11月にロードマップを作成しました。そのロードマップの中では、加盟店とイシュアのそれぞれが、2025年3月に向けて、何をどのように進めていくかを明確化しました。
イシュア側の対応としては、3-Dセキュアのお客様の登録率を上げなければならないということと、日本では固定パスワードが大勢でしたので、これを動的パスワードに変えていくということ、その2つを目標に推進してきました。これらについては業界としてしっかり数値を把握しながら推進しています。直近の数字を見ると、大半のカード会社が動的パスワードのシステムを開発し、既存のカード会員移行対応も進んできています。
加盟店については、アクワイアラが2025年3月を待たずして、先行して働きかけを進めてきました。特にロードマップで高い優先度である、過去に不正があった加盟店に対しての働きかけはひと通り終了しておりまして、概ね大半の加盟店には導入済み、もしくは導入の合意をいただいております。現在はさらに裾野を広げて、過去に不正がなかったところについても予防的に導入することが重要と考え、取り組みを進めているところです。
丸山:イシュアに関しても、加盟店に関しても、導入が“進んでいます”ということですが、それが50%なのか、80%なのか、90%なのかがとても気になります。義務化といっているからには100%でなければいけないのではないか。そのあたり、協会として、どのような把握状況なのでしょうか。
矢嶋:イシュア側の対応については細かな数字まで把握しているのですが、一般公開していない情報なので具体的な情報をお伝えすることができません。ただ、目標として掲げているのは、動的パスワードへの移行が100%。未登録の会員の登録化については、お客様側の能動的なアクションが必要になることなので、100%はなかなか難しい。現実的にそういうことができない法人カードもあるため、目標を80%に設定しています。
2024年5月の運用ガイダンス公表後に
現場で具体的な取り組みが加速
丸山:カード会社にいらっしゃるクックデさんは、決済代行会社(PSP)と協力して加盟店への3-Dセキュアの導入を推進する立ち位置にいると思いますが、その現場でご苦労されていることなどはございますか。
クックデ:私がセキュリティ対策協議会の議長を務めていた2023年に3-Dセキュアの義務化が決まり、そこで私は議長をおりたのですが、義務化が決まったあと、どうやってルールを決めていくかということが、きっといちばん大変だっただろうと思います。それを矢嶋さんがやってくださって、おそらくいろいろ紆余曲折があって、ようやく昨年(2024年)5月に運用ガイダンスが公表されました。
加盟店が3-Dセキュアに対応するにはかなりの労力がかかりますので、本来はもっと早くガイダンスが出ればよかったのですけれども、5月というのは本当にぎりぎりのタイミングだったと思います。これをもとに、私も各加盟店に説明をしました。
加盟店の皆様も、だいたい3-Dセキュア義務化のことはご存じだったので、ある程度の前準備はできていたように思います。ガイダンスが出てから具体的に導入に向けて進み始めて、今の状況としては矢嶋さんがおっしゃったように、概ね順調にきているのかなと。私が知っている中では、「もう間に合いません」と言っている加盟店は数社ぐらいしかありません。少なくともわれわれが当初のターゲットとしていた不正顕在化加盟店の対応はほぼ問題なく進んでおり。そのほかのところを含めてもだいたいは導入が済んでいます。
丸山:もうちょっと苦労話があるかと思っていたのですが、意外と順調に進んでいるのですね。
海外動向も鑑みつつ慎重に運用パターンを設定
パターン①は網羅的な対策の実施が前提に
丸山:では次の質問に進みます。EMV 3-Dセキュアの義務化は「パターン①」と呼ばれる例外があると聞いていますが、実際の状況はどうなのか、という質問です。私もこの1年間あちらこちらで、加盟店やベンダーの方とお話をしているとき、「3-Dセキュアは原則、義務化ですよね?」という言葉が頻繁に聞かれました。「原則」というところにものすごくハイライトが当たっているのです。原則があるなら、例外もあるのか。「パターン①って何?」「例外って何?」と皆さん思っていると思うのですが、ちょっと立ち戻って矢嶋さんにおうかがいします。そもそもパターン①というのはどうして設定されたのでしょうか。背景から現状までを簡単にご説明いただければと思います。
矢嶋:2023年に協議会が作成しているクレジットカード・セキュリティガイドライン(以下、セキュリティガイドライン)が改訂されて、その中で原則義務化が明文化されました。私もカード会社で3-Dセキュアを長く担当していた経験から、すべての取引について3-Dセキュアの認証をするのは現実的ではないということは、常々思っておりました。さらにはヨーロッパで先行してSCA(Strong Customer Authentication)が施行されて、そこでもかなり混乱があったという情報も聞こえておりましたので、そこは慎重にいかなければならないと肝に銘じながら運用ルールをつくっていったわけです。
特に不正の多い加盟店につきましては、すべての取引とはいわないまでも、3-Dセキュアを多用せざるを得ない。一方で、最近は不正検知サービス等を活用して、たとえばいつも同じデバイスからアクセスしているとか、同じアカウントでずっと長く安全に使っているというような管理ができるようになっています。顔が見えているお客様については、毎回3-Dセキュアの認証を行うのは合理的ではない。3-Dセキュアの認証というのは、加盟店にもコストがかかりますし、イシュア側にもコストがかかります。取引全件に適用すれば膨大なコストがかかるため、合理的な考え方も採り入れて運用方法を決めようということになりました。
そこで運用パターンに①②③というのをつくって、導入・運用ガイダンスに盛り込みました。このガイダンスは一般公開されている文書ではないので、ご覧になっていない方もいらっしゃると思いますけれど、アクワイアラやPSPから説明を受けた方はご存じだと思います。来週、セキュリティガイドラインおよび附属文書の公開があり、そこには反映しますので、皆様にご確認いただける予定になっています。
その中の運用パターン①というのは、加盟店に対して責任を委ねるといいますか、3-Dセキュアの認証をするかしないかの判断を加盟店に任せるパターンになりますから、やはりそれなりの条件を満たしていただく必要があります。先ほど申し上げたようにお客様の顔が見えていること、さらには、しっかりした体制をとって網羅的な不正対策がされていること、なおかつその不正対策がイシュアが行う3-Dセキュアのリスクベ―ス認証よりも効果があるということを前提にしています。
これは決して不可能なことではないのです。実際にイシュアが3-Dセキュアのリスクベ―ス認証で取れる情報というのは、残念ながらブラウザなどからとれる情報に毛の生えたくらいのものしかありません。加盟店はお客様の購買履歴や、アカウントの歴史や、いろいろな情報を持っていらっしゃいますから、やろうと思えばさらに高度な認証ができるのです。そういった情報を使って、3-Dセキュアの認証をイシュアがやるよりも加盟店がやったほうが高度で合理的なことができるという場合には、パターン①のような運用を認めようということを、かなり時間をかけて業界、行政で議論をして決めたという背景がございます。そういったことをご理解いただきながら、加盟店のほうでもお考えいただきたいと思っています。
丸山:なるほど。パターン①の対象になっている加盟店は実際に存在しているということですね。
矢嶋:昨年ガイダンスが出てから、パターン①を導入したいという加盟店も出てきています。かなり広範に判断を委ねるかたちになるため、アクワイアラやPSPの合意も必要になりますので、そういった交渉も始まっているところです。
丸山:今度は、それを加盟店に説明する立場のクックデさんにおうかがいします。加盟店に例外があるということを言わないわけにもいかないでしょうし、言えば「それではうちもそうしたい」という加盟店も多いと思うのです。難しいところではないかと思うのですが、いかがでしょうか。
クックデ:まず先に申し上げておきたいのは、パターン①というのは例外という位置付けではありません。あくまでもEMV 3-Dセキュアの運用パターンとして①から③まであるということで、「例外」は別途に規定が設けられています。
そのうえで、パターン①についてですが、矢嶋さんがおっしゃったように、不正対策を自前でしっかりできる加盟店にしか、アクワイアラも導入を認めていません。細かいチェックリストをもとに、本当に不正対策がしっかりできているかを確認できたうえでないと、アクワイアラとして絶対に承認はいたしません。パターン①がいちばん上にきているために誤解が生じやすいのですが、基本的にはパターン②③が原則です。バターン①は相当厳格な不正対策ができているところしか導入できませんよ、というお話をして、ご納得いただいています。
結果として私が知っている限り、当社の加盟店の中でパターン①を導入しているところは両手にも満たないと思います。
丸山:例外という言い方は確かに語弊がありましたね。訂正いたします。失礼いたしました。
チェックリストの項目を細かく設定して、それにしたがっているかどうかを厳しくチェックしているということですね。
承認率低下が大きな課題として浮上
加盟店による対策徹底が改善の糸口に?
