2013年1月17日8:06
Visaのリスクマネージメントとセキュリティ戦略
ビザ・ワールドワイド
決済ネットワークを提供する事業者であるビザ・ワールドワイド(Visa)は、世界中の金融機関・カード会社や加盟店に対して、具体的にどのような方法でペイメントカードの不正を感知し、消費者にとって堅牢な認証サービスを提供していくべきか、統括する立場にあります。Visaでは、ICカードのEMV化、インターネット加盟店に対しての本人認証の推進や、PCI DSS準拠およびカード情報の非保持に向けて、関連プレイヤーと協力して取り組んでいます。
グローバルな不正比率は減少
カード不正被害の5割強はインターネットのなりすまし
Visaでは、「アクセプタンス」「信頼性」「利便性」「よりよい決済手段」とともに、「セキュリティ」を柱にしています。現金でお支払いいただくよりもカードでお支払いいただくほうが、より安心・安全をお届けできると考えています。また、セキュリティについては、Visaのネットワークに接続しているカード会社のイシュア・アクワイアラ、加盟店、プロセッサー、カード会員などが担うべき役割があると考えています。
カード犯罪の傾向としては、1992年から2011年にかけて、売上に占めるカード犯罪比率は右肩下がりになっています。その都度、いろいろな課題がありましたが、いろいろな方々と協力して不正利用の防止に取り組んできました。例えば、1990年代には偽造カードが問題になりましたが、ICカード化を推進してきました。2000年代以降は、EC決済が普及してきましたが、その中でなりすましがクローズアップされています。その対策として「VISA認証サービス(ベリファイド バイ ビザ)」を開発し、そのプラットホームである「3-Dセキュア」の普及に他ブランドと連携し取り組んできました。また、ここ数年、不正アクセスなどによるカード情報の漏えいが顕著になっていますが、ペイメントカードの国際セキュリティ基準である「PCI DSS」を他ブランドとともに普及させていく取り組みを行っています。
全世界レベルで全体の不正比率は、カード決済ボリュームの成長に比べ低く抑えることができています。不正の種類別では、盗難紛失については、カード会員のカードの管理やセキュリテイに対する意識の向上など教育・啓蒙活動が重要です。また、偽造被害の増加も抑制できています。一方、カード不正被害の5割強はインターネットのなりすましとなっており、その点は課題として挙げられます。
「予防」「保護」「対策」で不正をコントロール
10億枚以上のEMVカードを発行
Visaのリスク戦略では取引の水際で不正を検知し食い止める「予防」、脆弱なカードデータを保護する「保護」、起きてしまった不正取引に対し法執行機関の犯罪摘発への協力と被害を最小化するための「対策」の3つの階層で捉えています。これを機能的にまわしながら問題の解決を目指しています。
まず、予防としては、「本人認証の強化」が挙げられます。カード決済の際に、本当に本人なのか、本物のカードが利用されているのかを確認するプロセスを如何に定着させられるかが重要です。
対面取引については、ICカード化の推進、普及を軸に取り組んでいます。世界的にはICカードの国際仕様である「EMV」に則ったICカードの発行や対応端末の普及が加速しています。全世界でEMVに対応した決済端末が1,540万台、EMVチップ搭載のVisaカードが10億830万枚発行されています。現状、全世界で19億枚のVisaカードが発行されていますので、2枚に1枚はICチップを搭載していることになります。
ただ、国ベースでみると必ずしも普及は一様ではありません。ヨーロッパではICカード化が完了していますが、米国のように対応が遅れている国もあります。偽造被害は国際的な組織が動いており、ICカードに対応していない国がターゲットの矛先になります。そのため、米国でもトップ11イシュアは、磁気カードからICカードへの置き換えを徐々に進めており、ここ1~2年の間に本格的に進んでいくと思われます。Visaでは、加盟店に対してICカード化とPCI DSS対応をお願いしていますが、2011 年2月にTIP(テクノロジー・イノベーション・プログラム)を発表し、対面加盟店のPOS端末がIC化が一定以上進めばPCI DSSのレビューが免除される制度を制定し加盟店の負担軽減をめざす取り組みも行っています。
また、Visaでは、イシュア(カード発行会社)と連携し、「ビザ・アドバンスト・オーソリゼーション」というリアルタイムで取得するリスクスコアをオーソリ電文に搭載しイシュアのより効果的な不正を検知を支援するシステムを提供しています。さらに、子会社のサイバーソースでは、IP検索と所在地検索、デバイス識別などにより、EC加盟店のカード取引がリスクを評価するシステムを提供しています。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のビザ・ワールドワイド・ジャパンリスクマネジメント/カントリーリスクダイレクター 井原亮二氏の講演をベースに加筆を加え、紹介しています。
