2013年1月18日8:06
Visaのリスクマネージメントとセキュリティ戦略(下)
PCI DSSや非保持化などカード情報の保護を呼びかける
次に、「保護」としては、カード情報を如何に安全に守っていくのかがセキュリティの基本となりますが、必要のないカード情報を持たなくする「非保持化」を推奨しています。また、カード番号を別の乱数に置き換える「トークナイゼーション」や暗号化も推進しています。さらに、保管・処理・伝送されるカード情報の管理基準として、PCI DSSへの遵守を勧めています。全世界的にみると、大型加盟店の80%がすでにPCI DSSへの対応を行っています。PCI DSSへの準拠は、米国では進んでいますが、日本における本格的な普及はまだまだこれからといえるでしょう。
最後の「対策」としては、発生した不正を如何に発見して被害を最小限に食い止めるか。そして、犯人を検挙することが重要となります。Visaでは、カード犯罪防止のために世界中の法的執行機関と協力しています。日本では警察庁、警視庁をはじめ、各都道府県警と連携しています。また、情報流出が起きた際に、次の不正が発生しないよう、いち早くカード発行会社と連携して、イシュア側で予防措置がが行えるように努めています。
現状、カード犯罪の約半数はEコマースで起きていますので、本人認証強化に向けて取り組んでいます。Visaでは、年に1回、20歳~59歳のユーザーを対象に「eコマース取引に関する消費者意識調査」を実施しています。その結果、インターネットショッピングでカード番号を入力することに不安を感じていらっしゃる方は全体の35.8%、携帯電話でのネットショッピングに不安を感じている方は42.5%となりました。また、「VISA認証サービス」については、75.6%の方がご理解されていませんでした。一方、サービス内容を説明した後に本人認証サービスの利用意向について尋ねると、「ぜひ使いたい」や「使いたい」と回答した方が74.6%に達しました。EC市場はまだまだ規模が拡大すると思われますが、お客様の安心・安全に対する意識を変えていくことが、結果的にカード決済を成長させるファクターになると感じています。
「動的認証」と「リスクベース認証」の普及に期待
モバイルPOSのリスク管理にも着手
今後の展望としては、「動的認証」と「リスクベース認証」の普及に期待しています。パスワードや認証コードが第三者に盗まれると簡単になりすまされてしまう危険性がありますが、動的認証はその都度、パスワードや認証コードが変わります。また、仮にカード情報が盗まれても不正に利用されることはありません。インフラとの絡みもありますが、有益なソリューションであることは間違いないため、PCI DSSや非保持化・暗号化とのバランスを取りながら推進していきたいです。
また、リスクベース認証は、オーソリゼーションごとに電文の中で属性情報によりスコアを算出します。不正取引の可能性が高い取引についてはパスワード認証を行い、それ以外はそのまま決済していただきます。例えば、ある国では、不正のリスクスコアで80ポイント以上はパスワード認証を行いましたが、スコアが発生したのは全体の5%程度でした。リスクベース認証は安心・安全であると同時に簡易・快適にカード決済ができるためのソリューションとして、今後 積極的に取り組んでまいります。また、モバイル決済については、2012年3月に従来のフィーチャーフォン(ガラパゴス携帯端末)対応のVISA認証サービスを正式に導入しました。本対応は、100%インターネット・ベースで稼動する世界初の携帯端末向けVISA認証サービスです。また、スマートフォンなどのモバイル端末をカード決済端末の代わりに利用するソリューションも登場しています。2011年6月に米国でこのスキームがスタートし、現在、200万加盟店が利用しています。個人事業主を中心に加盟店数が急増しました。今後は日本でも同スキームが本格的に展開される予定であり、米国の事例を教訓にしながら安全・健全に普及するように努めていきたいです。具体的には、デバイスのセキュリティ向上はもちろん、盗難・紛失も含めたデバイスの管理、加盟店審査・管理、法令遵守などを踏まえながら、カード会社などの関係者と取り組んでいきたいです。
最後に、Visaでは、誰でも、どこでも、世界で最も安全な決済方法を選択し、また、選択される手段となることを目指しています。2020年に向けてのビジョンとしては、動的認証の普及、強力なセキュリティ施策の展開、インテリジェンスの高い対策、消費者へのセキュリティに対しての啓蒙など、関係者と協力して取り組んでいきたいです。
※本記事は2012年11月15日に開催された「ペイメントカード・セキュリティフォーラム」のビザ・ワールドワイド・ジャパンリスクマネジメント/カントリーリスクダイレクター 井原亮二氏の講演をベースに加筆を加え、紹介しています。