2016年3月15日8:00
ソフトトークン型のスマホアプリ「One Time Pass」でモバイル決済を安全に
三井住友カードは、インターネットショッピング認証サービスにおける本人認証用パスワードとして、ワンタイムパスワードを導入した。クレジットカード決済では国内初となる、スマートフォンのアプリを用いたサービス「One Time Pass(ワンタイムパス)」を新たに開発。三井住友カード会員を対象に、2015年11月16日より提供を開始している。
カード番号盗用による非対面取引での不正が増加の一途
三井住友カード会員は3-Dセキュアパスワード高比率
ECサイトでは未だに、一度登録したカード情報とID・パスワードのみで決済を行えるケースが多い。「カード情報漏洩に加えて、お客様が色々なサイトで使い回しているID・パスワードが漏れることに起因する不正も増えています」と、三井住友カード セキュリティー管理部グループマネージャー田添裕嗣氏は指摘する。日本クレジット協会(JCA)の統計によると、2014年の国内のクレジットカード不正使用被害額は113.9億円に上るが、そのうち「番号盗用被害額」が約66.7億円、構成比58.6%を占める。
JCAでは2007年、インターネット決済の売上高上位100店に対し、本人認証技術である3-Dセキュア等の推進を実施。2011年3月には新規インターネット加盟店への導入を原則とした。しかしながら、売上機会損失の懸念から普及は進んでいない。同協会は2012年策定の「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」で、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式も認めている。
「3-Dセキュア導入で、加盟店様にはチャージバックリスクが低減されますが、一方で3-Dセキュアのパスワード忘れによりショッピングができず、お客様に不便な思いをさせてしまう可能性もある。そういった購買離脱の懸念が、導入に慎重になる一番のネックになっています」と、田添氏は問題点を挙げる。加盟店への普及が進まなければカード会社も本腰を入れにくいという現状があり、ユーザーの認知度も低いままだ。カード会社、加盟店、ユーザー三位一体の推進が肝要だが、こうした悪循環により普及速度が鈍重となっている。
三井住友カードでは、会員向けインターネットサービス「Vpass(ブイパス)」のパスワードと3-Dセキュアのパスワードが共通であるため、3-Dセキュアパスワードのユーザー比率は他社に比べ高くなっている。ただし昨今、Vpassのパスワードを他サイトと同じもので登録しているケースで「なりすまし」が発生しており、一歩先の方策を講じるべき時が来ているという。
8桁のパスワード入力・コピーで認証が完了
業界におけるワンタイムパスワード普及が加盟店の導入を後押し
そこで同社は2015年11月、Visa・MasterCard提供のインターネットショッピング認証サービスのパスワードに、60秒ごとに変わる使い捨てパスワード(ワンタイムパスワード)を導入し、無料スマートフォンアプリ「One Time Pass」にて提供を開始した。自分で設定したパスワードを憶える必要がなくなるうえ、一度使用したものは無効となるため「なりすまし」被害防止に役立つ。
さまざまなトークンがあるなか、国内のクレジットカード決済分野で初めて、専用デバイスが不要なソフトトークンを採用した。同部 部長代理 植木晋也氏は、「キーホルダー型のハードトークンはデバイスに費用がかかり、紛失すれば再発行の手間も要します。また、メール型はメールアドレスを乗っ取られると不正使用リスクが高まります」と語る。スマートフォンさえあれば買い物が完結し、再発行や機種変更にも迅速に対応できるなど、スマホアプリの顧客利便性が高いと考えたという。
利用率向上には快適な使い勝手やデザインの簡潔性が重要と考え、設計に細心の注意を払った。決済時に同アプリを立ち上げればすぐにワンタイムパスワードの画面になり、表示された8桁のパスワードを直接入力するか、コピーして認証画面に貼り付けるだけで認証が完了する。なお、同サービスは「Vpass」に登録している三井住友カード会員であれば無料で利用可能で、Vpassサイトから申し込める。
初動は順調だが、さらなる認知度アップのために「Vpass」トップページに視認性の高いバナーを置いて誘導するほか、会員向け情報誌『VISA』などの各種媒体や郵送物、メール等での周知も行っている。植木氏は「お客様に利便性や安全性を感じていただき、他のカード会社も含めワンタイムパスワードが業界で一般的になり、ひいては、加盟店様も3-Dセキュアを積極的に導入していただける状況にまで波及させることを目的にしています」と展望を口にする。