2016年7月28日10:20

「トークナイゼーション」「暗号化」「リスクベース認証」「動的認証」が重要に

ビザ・ワールドワイド(Visa)は、2016年7月27日、国内や海外におけるペイメントセキュリティの現状とVisaのビジョンについて記者説明会を行った。2015年10月からのEMVライアビリティシフト・ルールの適用により、米国等での偽造被害の減少が期待されるが、その一方で、非対面のカード不正が顕在化している。Visaでは、非対面のセキュリティのロードマップとして、トークナイゼーション、P2PE(Point-to-Point Encryption)暗号化、リスクベース認証、動的データ認証への対応を進めていきたいとした。

CNPと偽造による不正被害が全体の8割以上を占める
全世界の61%の不正使用が米国で発生

2020年オリンピック・パラリンピック東京大会の開催等に向けて、キャッシュレス決済の普及によるインバウンド需要の確実な取り込み、さらに、その前提となる安全・安心なクレジットカード使用環境を実現することは、「日本再興戦略」にも掲げられた重要な課題だ。

ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏
ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏

国内では、2020年に向け、世界最高水準のセキュリティ環境を整備することを目的として、幅広い関係業界の協同による「クレジット取引セキュリティ対策協議会」が設立された。2016年2月には、同協議会から実行計画が発表され、偽造対策では、2020年までに加盟店およびカードイシュアのクレジットカードの100%IC化が発表された。

グローバルでの過去60年の不正使用の数値を見ると、カード不正は大幅に減少した。ただし、データ流出事件などにより、ここ5年は不正被害が増加傾向にあるという。

過去5年の不正
過去5年の不正

2011年は5.2bp(basis point=0.01%)程だったが、2015年は6.9bpになった。つまり1万円の消費額のうち6.9円程が不正となる。特にカードを提示しないCNP(Card Not Present)とカウンターフェイク(偽造)による被害が全体の8割以上を占める。

世界の不正の構成比をみると、全世界の61%の不正が米国で発生。また、Visaの取り引きをみると39%の不正が米国で行われた。その理由として、米国では磁気カードからEMV ICカードへの切り替えが遅れている点が挙げられる。また、偽造カードを作るためのデータ流出事案の7割以上が米国で発生しているそうだ。

visa3
世界の不正構成比

米国でも急ピッチでICカード化が進む

ICカード導入はグローバルで進行しており、2015年のデータを見ると、ヨーロッパではPOSとATMで99%の対応を完了。アジア・太平洋は66%、ATMで35%が進んでいる。米国では、POSが22%、ATMが17%であるが、「2015年3月時点では5%未満でしたが、2016年6月時点では28%に伸びています」と、ビザ・ワールドワイド・ジャパン リスクマネージメント チーフリスクオフィサー ジョン・クロスリー氏は説明する。現在、米国の消費額の約4分1はチップ取引となっており、急ピッチでIC化が進んでいる。

visa4
EMV ICカード化の進行状況

その理由として、EMVライアビリティシフト・ルールの適用が挙げられる。2015年9月以前は、偽造カードによる不正被害が発生した場合、その損失は原則としてイシュア(カード発行)サイドが負担していた。ライアビリティ・シフトでは、カードがIC化される一方、端末側がIC化されていなかった場合、偽造被害の責任はイシュアからアクワイアラ(加盟店)にシフトするという考え方である。同ルールは欧州では2005年から、CEMEA(中央ヨーロッパ、中東、東欧、アフリカ)では2006年、ブラジル・メキシコでは2008年からスタートしていたが、米国や日本の国内取引については適用されていなかった。今回のグローバルなライアビリティ・シフトの実施により、特に米国でのEMV化は加速している。

visa5
EMVへのロードマップ

非対面では国際取引の不正が顕在化

今後は、EMV対応の進捗により、不正使用は対面から非対面へ移行していくとみている。2015年のオンラインでの不正被害をみると、国内が6.9bp、北米が17bp、ヨーロッパが13bpとなっており、平均の6bpを上回った。また、国際取引の不正が顕在化しており、国内は57bp、北米は156bp、ヨーロッパが35bpとなっている。国際間不正取引に対応するため、不正対策はグローバルに展開する必要がある。

visa6
オンラインでの不正(国内取引および海外取引)

「グローバルレベルでいうと、非対面取引の15%が拒否されています。その中には(不正ではない)正規の取り引きも入っていますので、各当事者(消費者や加盟店)にとって大きな影響があります」(クロスリー氏)

2020年に向けたセキュリティ対策のロードマップ
データ保護に関する4つのレイヤーとは?

Visaでは、さまざまなセキュリティ対策ソリューションを展開しているが、今後は「トークナイゼーション」「暗号化」「リスクベース認証」「(非対面取引)での動的認証」が重要になるとした。また、データ保護に関する4つのレイヤーとして、「データの無価値化」「データの保護」「カード会員による不正管理」「データの活用」を挙げた。

「データの無価値化」は、例えカード番号が第三者に盗まれても情報に価値がないようにする方法論だ。例えば、動的な番号が生成されるEMVチップはデータの無価値化として効果があるが、非対面取引では「トークナイゼーション」が有効であるとしている。トークナイゼーションは、カード番号をまったく別の識別子であるトークン番号に置き換え、この番号を加盟店からプロバイダ、イシュアへカード情報の代わりに使ってもらう仕組みだ。

「データの保護」に関しては、ペイメントカードの国際セキュリティ基準である「PCI DSS」への対応、カード情報伝送時の入り口から出口まで暗号化する「P2PE(Point-to-Point Encryption)暗号化」も非常に有効である。

「カード会員の不正管理」については、利用者のスマートフォンにリードタイムに決済した情報を通知したり、使用するシーンによって取引を制限するといった対策が挙げられる。

「データの活用」に関しては、取引内容等の高リスク取引のみ本人認証を行う等の制御する方法などにより、不正を抑制することが可能だ。これは、生体認証やワンタイムパスワードの導入、EMVCoで検討中の3-Dセキュア2.0へのバージョンアップなどが挙げられる。

visa1
グローバルロードマップの設定

このような取り組みはカード業界全体で取り組む課題でもあるが、Visaでは継続して同分野において、リーダーシップを発揮していきたいとしている。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP