2014年2月20日8:15
非対面でのクレジットカード等の不正利用が増加、その対策は?
CNPとはカードを提示しない非対面取引等のことで、「Card Not Present」の略となる。具体的には、PCやスマートフォンによるインターネット加盟店でのオンライン決済、テレフォンオーダーやメールオーダーによる通信販売が挙げられる。
カード犯罪の変遷として、2000年代はカードを提示しない非対面取引での不正が目立っていることを紹介した(関連記事)。リアル加盟店での決済は、EMV ICカード化を中心とした取り組みが欧州などを中心に進められ、2017年以降の世界規模での実現が期待されている。
その一方で、CNPについては、インターネット決済の拡大および国際犯罪組織による大量のID窃盗により、被害が拡大している。海外では、アメリカやカナダの北米、イギリス、フランスといった欧州、オーストラリア、台湾などの国々で増えており、国際ブランドによると日本でもその傾向は高まっているという。
インターネット等、CNPによる取引では、クレジットカード番号と有効期限のみで商品を購入できる。そのため、他人のカードを盗んだり、カード番号が分かれば商品を購入できてしまう。CNP取引の場合、クレジットカード会員が利用代金の決済に同意しない理由がある場合、カード会社に対して取引の取り消しを要求できるが、カード会社が売上の取消処理を行った際、その損害は加盟店が負うケースがほとんどだ。その対策として、Visa、MasterCard、JCBの国際ブランドは「3-Dセキュア」を推奨しており、導入加盟店はチャージバックが起きても加盟店負担とならないケースがある(American Express、Dinersは対象外)。
2013年8月には、国内でのカード取引において、Visaの国際チャージバックルールが導入。これにより、不正利用があった際、カード発行会社(イシュア)からチャージバックを実行できることが認められ(従来は協議の上実行)、チャージバック金額が増加することは間違いない。
加盟店では、3-Dセキュア以外でもセキュリティコードによる認証や独自に不正防止システムを導入して対策を行っている。また、国際ブランドやセキュリティ提供企業では、さまざまなセキュリティソリューションを提供している。
例えば、国際ブランドのVisaでは、①3-DセキュアのVerified by Visa、②カード認証のCard Verification Value 2(CVV2)、③アメリカ、カナダ、イギリスで提供している住所確認サービスのAddress Verification Service (AVS)、④データセキュリティのPCI DSS(Payment Card Industry Data Security Standard)を用いたAccount Information Security(AIS)プログラムを提供している。
テレフォンオーダーは、CVV2、 AVSの2つの予防ツールを提供。メールオーダーの場合AVSのみとなっているが、一部の通販事業者のオーダーフォームにはCVVに対応しているケースもある。
また、Visa子会社のサイバーソースでは、DM(Decision Manager)やManaged Risk Services、Authorize.NetのAFDS(Advanced Fraud Detection Suite)といった不正検出ツールソフトを提供している。
書籍「世界のオンライン決済・不正利用対策市場要覧」では、世界のCNPでの不正利用の状況や対策について紹介している。また、ペイメントナビ編集部では、2014年3月25日に無料セミナー「ペイメントカード・セキュリティフォーラム2014」を開催。CNPの不正利用対策に関連した講演も行われる予定だ。
