2017年11月14日18:20
NTTデータは、ネットショッピングにおける非対面クレジットカード決済の本人認証を行う「3-D Secure本人認証サービス」として提供する「CAFIS BlueGateユーザー認証サービス」に対し、クレジットカード利用者が使用するデバイス情報とクレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインリアルタイムで判定する機能(リスクベース認証)を新たに開発し、2017年11月13日より提供を開始すると発表した。「3-D Secure本人認証サービス」におけるリスクベース認証の導入は、国内では初めてとなるそうだ。同リスクベース認証の導入により、カード利用者の利便性を損なわず、成りすましによる不正使用被害のさらなる抑制が期待される。
現行の3-D Secureは、クレジットカード利用者がクレジットカード会社に事前登録した本人確認用のパスワードを用いることで実現しているが、近年のクレジットカード犯罪の多様化・高度化に対しさらに精度高く本人確認を行う手段が必要とされている。このような中、NTTデータは三井住友カードと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施し、リスク判定スコアリングモデルおよびオンラインリアルタイム処理システムに必要となるアプリケーション開発の検討を進めてきた。その結果、トライアル検証の成果を具現化、反映してサービス提供を行うことになったという。
具体的に、クレジットカード利用者を対象とし、リスクベース認証に必要となるクレジットカード決済利用デバイスの情報を取得し、取得したデバイス情報と決済情報を用いて不正判定のスコアリング処理を行う。デバイスの情報と決済情報は、3D-Secureプロトコルで本人認証処理を行うACS(Access Control Server)が取得している。同機能はNTTデータの「CAFIS BlueGateユーザー認証サービス」として提供している。不正判定のスコアリング処理は、NTTデータの「CAFIS Brain」のルールエンジンを用いて不正判定を行うそうだ。
リスクベース認証では、ACS(CAFIS BlueGateユーザー認証サービス)にて、クレジットカード会員が使用するデバイスの設定情報を取得し、取引情報とあわせて不正リスクを判定し認証を行う。不正リスク判定の処理結果において危険な取引(リスク高)と判定された場合には、決済に入らないよう、3-D Secureの認証失敗の結果を加盟店に返却する。クレジットカード会社では、不正使用取引の実態(ネガティブ/ポジティブデータ)をリスク判定エンジンに登録することにより、運用においてリスク判定スコアリングモデルのチューニングを実施する。
なお、3-D Secureは、2016年10月にEMVCo.より次期バージョン(3-D Secure2.0)の仕様が公開されており、2019年の初頭にグローバルでレギュレーションの導入がスタートする計画となっている。3-D Secure2.0では、今回のサービス提供で用いるリスクベース認証の概念が標準機能として取り入れられ、クレジットカード決済の大多数がパスワードを求めない取引とすることで、カード会員の利便性を向上させることが定義されている。今回の三井住友カードとの取り組みは、3-D Secure2.0への移行を見据えた先行導入の位置付けも有しており、リスクベース認証における不正使用の検知精度向上と運用管理ノウハウを蓄積し、早期に3-D Secure2.0の安定稼動に入ることにより、クレジットカード利用者へより安心・安全な利用環境の提供を進めるという。また、同サービスについて、他のクレジットカード会社への展開を計画している。
さらに、同サービスで蓄積された不正使用情報については、不正検知サービス「CAFIS Brain」との共有を計画しており、クレジットカード取引だけでなく、インターネット取引におけるさまざまな不正使用情報を共有することで、一般消費者にとってインターネット取引が安心して利用できる環境を築いていきたいとしている。