2016年7月28日10:20
「トークナイゼーション」「暗号化」「リスクベース認証」「動的認証」が重要に
ビザ・ワールドワイド(Visa)は、2016年7月27日、国内や海外におけるペイメントセキュリティの現状とVisaのビジョンについて記者説明会を行った。2015年10月からのEMVライアビリティシフト・ルールの適用により、米国等での偽造被害の減少が期待されるが、その一方で、非対面のカード不正が顕在化している。Visaでは、非対面のセキュリティのロードマップとして、トークナイゼーション、P2PE(Point-to-Point Encryption)暗号化、リスクベース認証、動的データ認証への対応を進めていきたいとした。
CNPと偽造による不正被害が全体の8割以上を占める
全世界の61%の不正使用が米国で発生
2020年オリンピック・パラリンピック東京大会の開催等に向けて、キャッシュレス決済の普及によるインバウンド需要の確実な取り込み、さらに、その前提となる安全・安心なクレジットカード使用環境を実現することは、「日本再興戦略」にも掲げられた重要な課題だ。
国内では、2020年に向け、世界最高水準のセキュリティ環境を整備することを目的として、幅広い関係業界の協同による「クレジット取引セキュリティ対策協議会」が設立された。2016年2月には、同協議会から実行計画が発表され、偽造対策では、2020年までに加盟店およびカードイシュアのクレジットカードの100%IC化が発表された。
グローバルでの過去60年の不正使用の数値を見ると、カード不正は大幅に減少した。ただし、データ流出事件などにより、ここ5年は不正被害が増加傾向にあるという。
2011年は5.2bp(basis point=0.01%)程だったが、2015年は6.9bpになった。つまり1万円の消費額のうち6.9円程が不正となる。特にカードを提示しないCNP(Card Not Present)とカウンターフェイク(偽造)による被害が全体の8割以上を占める。
世界の不正の構成比をみると、全世界の61%の不正が米国で発生。また、Visaの取り引きをみると39%の不正が米国で行われた。その理由として、米国では磁気カードからEMV ICカードへの切り替えが遅れている点が挙げられる。また、偽造カードを作るためのデータ流出事案の7割以上が米国で発生しているそうだ。
米国でも急ピッチでICカード化が進む
ICカード導入はグローバルで進行しており、2015年のデータを見ると、ヨーロッパではPOSとATMで99%の対応を完了。アジア・太平洋は66%、ATMで35%が進んでいる。米国では、POSが22%、ATMが17%であるが、「2015年3月時点では5%未満でしたが、2016年6月時点では28%に伸びています」と、ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏は説明する。現在、米国の消費額の約4分1はチップ取引となっており、急ピッチでIC化が進んでいる。
その理由として、EMVライアビリティシフト・ルールの適用が挙げられる。2015年9月以前は、偽造カードによる不正被害が発生した場合、その損失は原則としてイシュア(カード発行)サイドが負担していた。ライアビリティ・シフトでは、カードがIC化される一方、端末側がIC化されていなかった場合、偽造被害の責任はイシュアからアクワイアラ(加盟店)にシフトするという考え方である。同ルールは欧州では2005年から、CEMEA(中央ヨーロッパ、中東、東欧、アフリカ)では2006年、ブラジル・メキシコでは2008年からスタートしていたが、米国や日本の国内取引については適用されていなかった。今回のグローバルなライアビリティ・シフトの実施により、特に米国でのEMV化は加速している。
非対面では国際取引の不正が顕在化
今後は、EMV対応の進捗により、不正使用は対面から非対面へ移行していくとみている。2015年のオンラインでの不正被害をみると、国内が6.9bp、北米が17bp、ヨーロッパが13bpとなっており、平均の6bpを上回った。また、国際取引の不正が顕在化しており、国内は57bp、北米は156bp、ヨーロッパが35bpとなっている。国際間不正取引に対応するため、不正対策はグローバルに展開する必要がある。
「グローバルレベルでいうと、非対面取引の15%が拒否されています。その中には(不正ではない)正規の取り引きも入っていますので、各当事者(消費者や加盟店)にとって大きな影響があります」(クロスリー氏)
2020年に向けたセキュリティ対策のロードマップ
データ保護に関する4つのレイヤーとは?
Visaでは、さまざまなセキュリティ対策ソリューションを展開しているが、今後は「トークナイゼーション」「暗号化」「リスクベース認証」「(非対面取引)での動的認証」が重要になるとした。また、データ保護に関する4つのレイヤーとして、「データの無価値化」「データの保護」「カード会員による不正管理」「データの活用」を挙げた。
「データの無価値化」は、例えカード番号が第三者に盗まれても情報に価値がないようにする方法論だ。例えば、動的な番号が生成されるEMVチップはデータの無価値化として効果があるが、非対面取引では「トークナイゼーション」が有効であるとしている。トークナイゼーションは、カード番号をまったく別の識別子であるトークン番号に置き換え、この番号を加盟店からプロバイダ、イシュアへカード情報の代わりに使ってもらう仕組みだ。
「データの保護」に関しては、ペイメントカードの国際セキュリティ基準である「PCI DSS」への対応、カード情報伝送時の入り口から出口まで暗号化する「P2PE(Point-to-Point Encryption)暗号化」も非常に有効である。
「カード会員の不正管理」については、利用者のスマートフォンにリードタイムに決済した情報を通知したり、使用するシーンによって取引を制限するといった対策が挙げられる。
「データの活用」に関しては、取引内容等の高リスク取引のみ本人認証を行う等の制御する方法などにより、不正を抑制することが可能だ。これは、生体認証やワンタイムパスワードの導入、EMVCoで検討中の3-Dセキュア2.0へのバージョンアップなどが挙げられる。
このような取り組みはカード業界全体で取り組む課題でもあるが、Visaでは継続して同分野において、リーダーシップを発揮していきたいとしている。
