Visaがコロナ禍のカード不正利用傾向を分析し、対抗策の普及を推進。3-Dセキュアの新版はスマホアプリ内決済を介した「対面取引」への効果も期待

世界中で「非接触IC決済」と「非対面決済」を合わせた「非接触決済」のボリュームが急増中の現在。取引が増えれば増えるほど、システムの隙を狙った不正な利用もまた増えるというのはカード決済の歴史が物語っているが、今や日常生活に欠かせない役割を担っている「非接触決済」の安全性をどう守るのか。ビザ・ワールドワイド・ジャパン(以下、Visa)でチーフリスクオフィサーを務めるジョン・クロスリー氏と、同データソリューションズ・ディレクターの田中 俊一氏に聞いた。

急拡大する非対面決済の裏で、カード承認率の低水準が課題に

 コロナ禍を受け、主に感染防止対策として、極力物理的な接触を避けようとする社会的気運の高まりは世界中で継続している。
 Visaによると、本来、消費者の購買パターンや行動は急激に変化しないものだが、今回のコロナ禍は常識を超えた急激な変化を消費者にもたらしているという。事実、Visaが実施した2020年の研究では、消費者の実に78%が安全面への懸念から決済手段を変更したと回答。現金からカード決済をはじめとしたキャッシュレスへの移行や、決済端末にカードやスマートフォンをタッチして支払う非接触IC決済の利用が進んでいる実態が明らかになった。
 他方、店頭に足を運ばずに買い物が済ませられる非対面取引(Eコマース)の利用も、コロナ下で急拡大を続けている。Visaの非対面決済額は、昨年末(2020年10月〜12月)の状況で対前期比30%超の大幅成長を記録。アメリカでは、消費者の45%がオンラインショッピングのことを「生活に必要不可欠なもの」と認識しているという(出典「Retail Systems Research Consumer Report」2020年3月)。
 ところが、良くないことに、これと連動した形で決済の不正利用のほうも増加中である(画面1)。非対面決済の不正利用金額は2024年に過去最高の274億USドル(約3兆円、1USドル=110円換算)に達する見通しだ。さらに問題なのは、増加する不正利用に対して各所での引き締めが行われた結果として、決済の承認率が低いレートにとどまっていること。Visaによれば、リアル店舗における対面決済の承認率が98%であるのに対して、何と非対面決済の承認率は80%と、実に18ポイント差の低水準が続く。また、セキュリティが強化された結果、消費者の使い勝手は下がり、消費者のカゴ落ち率(商品をECカートまでは入れるが購入しない率)は世界平均で77.7%と高止まりしているのが実情だ(2019年)。

画面1 コロナ禍による生活様式の変化を衝いた不正手口が増えているという

不正取引排除と使い勝手向上の「いいとこ取り」狙うEMV 3-Dセキュア

 Visa・チーフリスクオフィサーのジョン・クロスリー氏(写真1)は、非対面決済の承認率が低い原因を「そもそもカードイシュア(カード発行会社)から見える、不正利用かどうか判断できるデータが限られていること」と指摘する。「例えば16桁のカード番号だけで決済できてしまうような場合、イシュアから見てその取引が正しいもののか不正なのか、判定することは難しい」という。 
 この問題を技術で解決しようというのがVisaのアプローチだ。そこで活躍が期待されているのが、決済業界の標準規格であるEMV 3-Dセキュア(EMV 3DS)に準拠した「Visaセキュア」と、「Visaトークンサービス(VTS)」である。
「EMV 3DSとトークナイゼーション、これら2つのサービスを用いることで(下げ止まっている)承認率を向上できるものと期待している」(クロスリー氏)

写真1 ビザ・ワールドワイド・ジャパン・チーフリスクオフィサーのジョン・クロスリー氏

 そもそもEMV 3-Dセキュアは、かつて「3-Dセキュア2.0」と呼ばれていた規格。その前身である「3-Dセキュア(1.0)」は、日本のオンラインショッピングサイトなどでも広く導入が進んでおり、おなじみかもしれない。これに対応するECサイトでは、オンラインでカード決済を行う場合に、カード番号や有効期限などの情報に加えて、別途カードイシュア(カード発行会社)に登録しておいたID・パスワードを、別に表示されるサイト画面から入力することを求める。それによってカード利用者の追加認証を行う仕組みだが、この「別途ID・パスワードを登録」しておいて、「買い物ごとにそのID・パスワードを正確に入力する」という手順がカード利用者側の手数を増やしてしまうこともあって、使い勝手の面では課題もあった。
 これに対して「Visaセキュア」(画面2)が準拠するEMV 3-Dセキュアは、利用者がアクセスしてきたネット環境などの情報(接続デバイスの情報やIPアドレスなど)を補完的に使用することで、真正な取引がどうかをその場で機械的に判断。その上で、取引の真正性が疑われる場合に限って、取引を拒否したり、追加の認証をカード利用者に求めることができる。このような認証は「リスクベース認証」と呼ばれるが、不正取引の排除と、カード利用者の使い勝手向上の「いいとこ取り」を狙った仕組みといえる。

画面2 Visaセキュアでは追加認証を「ステップアップ認証」と表現

Apple PayのVisa対応で採用されたVisaトークン、今後はEC店舗にも

 もう1つの「Visaトークンサービス(VTS)」は、決済の際にカード番号をそのまま利用するのではなく、カード番号に紐付けて生成された別の番号を利用する方法。1枚の決済カードから生成する別番号は1つに限られず、端末ごとや利用店舗ごとなど、複数の番号を用いることができるのも特徴だ(画面3)。仮にトークン番号が事故により情報漏えいしたとしても本当のカード番号まで流出しない利点があるほか、トークンの発行時には追加の本人認証が求められるため、カード番号に比べて安全性が高いといわれる。
「日本でも(先月発表した)Apple Payへの対応で同じような仕組みを採用しており、日本のカードイシュアさんへの導入もだいぶ進んでいる」(クロスリー氏)

画面3 モバイルウォレットに限らず、オンライン上のEC加盟店でもトークンの利用が想定されている。なお、上から4段目の「ウォレットアプリ1」が、Apple PayのVisa対応を指しているように見える

 すでにVisaは過去5年間で14億のトークンを発行済みだが、さらに直近の10カ月で20億を超えたというから、ここへ来て導入の勢いが増していることがわかる。Visaトークンに対応するには、カードイシュア(カード発行会社)と加盟店の両側でシステム対応が必要だが、すでに世界193の国と地域で導入され、対応するカードイシュアは8,600以上、採用する加盟店は61万を超えるという。
「不正を減らそうとすると、どうしても購買体験の門戸を狭め、お客様のユーザー体験は下がり、真性取引の阻害につながる可能性がある。大切なのは正しいバランスを取ることであり、Visaのツールを使ってぜひ承認精度を上げてほしい」(Visa・データソリューションズ・ディレクターの田中 俊一氏/写真2

写真2 ビザ・ワールドワイド・ジャパン・データソリューションズ ディレクターの田中 俊一氏

 Visaでは他に、世界34億枚のVisaカードが通過するグローバルなネットワーク「VisaNet」の取引データから、不正を予測するためのリスクスコアを算出して提供する「Visaアドバンスドオーソリゼーション(VAA)」(画面4)や、オーソリ判断のためのWebツール「Visaリスクマネージャー(VRM)」なども提供し、カード決済取引における認証率の向上に努めている。

画面4 圧倒的な国際ブランドシェアを持つVisaの取引データをリスク分析に活用

スマホアプリを使った「対面取引」にも3-Dセキュアを実装

 なお、Visaでは前述の「Visaセキュア」(EMV 3DS)、ならびに「Visaトークンサービス(VTS)」について、日本市場への導入スケジュールを画面5のように想定している。
 EMV 3DSについては、本年中にまず既存の「3-Dセキュア(1.0)」を導入済みの加盟店とアクワイアラ(カード加盟店管理会社)に対して、EMV 3DSへの移行を呼びかける。その後、カードイシュア(カード発行会社)側のシステムである「ACS」の認証方法について、2022年に動的認証に対応できるようにし、翌2023年には既存の静的パスワード(常に同一内容に固定されたパスワード)を廃止する計画だ。
 またVisaトークンについては、カードイシュア側の対応を本年中に行い、来年の2022年には大規模な加盟店に対するトークン対応を進めたい意向だ。

画面5 2023年には現行の3-Dセキュア(1.0)に用いられている静的パスワードを廃止したい意向

 ところで、最近では「モバイルオーダー」の例のように、スマホアプリにあらかじめカード番号を登録しておいて決済自体は非対面で済ませ、商品やサービスの引き取りだけ対面のお店に出向いて行うサービスが増えている。「非対面取引」と聞くと、一般的にはECサイトでのショッピングに代表されるEコマースを想像してしまうが、こうした対面で利用される「アプリ内決済」のようなものにも、EMV 3DSの導入は進んでいくのだろうか。
「まさにそうしたサービスにも導入していきたいと考えている。EMV 3DSと従来の3DS(1.0)の違いとして、スマホアプリ内で3-Dセキュアを実現できることがあり、より多くの情報を用いたリスクベース認証が(スマホアプリ内でも)可能になる」(田中氏)
 その場合の動作イメージとしては、最初に決済カードを登録する際にのみリスクベース認証が行われ、アプリ決済を利用する都度には3-Dセキュアは実行されないイメージだろうか。
「決済カードのアプリへの登録時については、新しく実装した『支払いに紐付かない3-Dセキュア』がお使いいただける。また、より精度を高度化する意味では、都度のお支払いの際にも3-Dセキュアを導入してもらえれば、よりセキュリティは上がるだろう」(田中氏)

 「Visaトークンサービス(VTS)」の日本市場での展開では、先月から始まったApple PayのVisa対応が採用事例として紹介されている。この例が象徴するように、従来はリアル店舗かEコマースかを分けてきた「対面」「非対面」の区別と、決済の仕組みとして提供される「対面」「非対面」の区別が、両者混在して用いられるのが当たり前になってきた。
 その意味では、今回Visaが提案したあまたのカード不正対策ツールは、今後「対面」か「非対面」かを問わずに広く適用されていくことになりそうだ。

 

About Author

多田羅 政和 / Masakazu Tatara

電子決済マガジン編集長。新しい電子決済サービスが登場すると自分で試してみたくなるタイプ。日々の支払いではできるだけ現金を使わないように心掛けています。

Comments are closed.