2020年4月8日13:00
大日本印刷(DNP)と日本カードネットワーク(CARDNET)は、ネットショッピングなど非対面でのクレジットカード決済の安全性を高める本人認証「EMV 3-D Secure」をクレジットカード会社(イシュア)が導入するための認証サーバー「ACS(Access Control Server)」サービスの本格的な提供を開始すると発表した。なお、ジェーシービー(JCB)が2020年4月1日に本サービスの対応を開始した。
一般社団法人日本クレジット協会が発表した「クレジットカード不正利用被害額の発生状況」によると、2018年度の被害額は235.4億円で、そのうち187.6億円が、ネットショッピング(EC)など非対面での決済における番号盗用被害によるものだ。また、5年連続で被害額が増加するなど、非対面のオンライン決済での不正利用の被害が拡大している。
2018年に施行された改正割賦販売法を受け、クレジット取引セキュリティ対策協議会が発表した「実行計画2019」では、非対面取引での多面的・重層的な不正利用被害抑制策として、なりすましなどを防止する「3-D Secure」が紹介されている。
従来の「3-D Secure」は、ネットショッピング時に、クレジットカードの番号と有効期限のほか、イシュアのサイトで利用者が事前登録したパスワードを入力することで決済者本人を認証するサービスの規格となる。しかし、認証画面の表示による利用者の取引離脱や、パスワード忘れによる認証不可といった課題があり、クレジットカードの加盟店が導入をためらうケースがあった。
こうした課題に対して、カード決済の安全と普及を促進する国際ブランド6社による技術団体EMVCoが規格化する「EMV 3-D Secure」 は、不正使用のリスク度合いを利用者の端末の情報や購買履歴等からオンラインで即時に判定する「リスクベース認証」を導入し、リスクが低い取引については、追加のパスワード入力を省略可能にすることで、取引離脱の低減を図っている。イシュアが高リスクと判定した場合のみ、ワンタイムパスワードなど、取引ごとに異なる情報を用いる“動的認証”を行うことで、セキュリティを向上させている。また、ACSから利用者の端末にワンタイムパスワードを送信することで、利便性を向上している。
このほかに、SDKを利用した加盟店アプリ内での決済における本人認証や、サービス等の使用量に応じて継続的に課金されるリカーリング取引におけるクレジットカード決済時の本人認証などにも、活用シーンが拡大している。
今回、DNPと CARDNET が本格提供を開始する「EMV 3-D Secure_ACSサービス」は、高精度なリスクベース認証機能を備えているという。不正を検知する精度が高いため、カード会員の利便性を損なわず、なりすましによる不正使用被害の抑制効果が期待される。
今回、サービスの提供にあたり、カード会員の利便性の向上と、市場へのサービスの浸透を図るため、DNPとCARDNETの共同出資によるJ&D有限責任事業組合(LLP)を設立した。同サービスのシステム開発と運用はLLPが行い、イシュアとの営業窓口はDNPとCARDNETが行う。