料金体系は認証コードの送信件数に応じた従量制
GMOペイメントゲートウェイ(以下、「GMO-PG」)は9月24日、同社がEC事業者向けに提供しているオンライン総合決済「PGマルチペイメントサービス」のオプション機能として、カード決済『前』の本人確認に多要素認証を適用できる「Verifyサービス」の提供を開始すると発表した(画面1)。
第1弾として利用者の電話番号にワンタイムパスワードを通知する「SMS認証」を提供する(画面2)。SMS認証の導入により、不正ログインやなりすましを予防する効果が見込まれるほか、アカウントの複数登録を予防することなどが期待できる。10月29日からの本番稼働に向けて、9月25日よりテスト環境での利用申込受付を開始した。
画面1 Verifyサービスの概要(出典:GMOペイメントゲートウェイ)
画面2 SMS認証の流れ(出典:GMOペイメントゲートウェイ)
PGマルチペイメントサービスを利用中の企業は現在の接続方式に関わらず、Verifyサービスを利用できる。初期費用・月額固定費は不要で、実際の認証コード送信件数に応じた従量制でSMS処理料金(SMS通信料を除く)がかかる。
これとは別にEC事業者側には開発が必要になるが、接続方式に「OpenAPIタイプ」を採用している企業であれば初期コストを抑えた導入が可能だという。そのほか、PGマルチペイメントサービスを利用していないEC事業者であっても、Verifyサービスだけを単体で契約することも可能とした(別途、開発導入が必要)。
当初開始するSMS認証は利用者の記憶や知識に頼る「知識認証」に当たるが、より強固な「所持認証」(利用者の持ち物による認証)にも対応できるように、2025年春からは「マイナIC認証」の提供も予定する。デジタル庁が今年6月から提供を始めた「デジタル認証アプリ」を利用する方向で調整を進めている。マイナンバーカードの読み取りと連動した本人認証機能が利用できるため、転売目的や買い占めなど不正な購入の予防であったり、匿名性を利用した悪質な取引や不正行為を予防することなどが期待できる。
GMO-PGではPGマルチペイメントサービス単体の導入店舗数を公表していないが、連結稼働店舗数全体が15万5,671店舗に上る(2024年6月末時点。GMOペイメントゲートウェイとGMOイプシロン提供サービスの連結数)規模にある中で、PGマルチペイメントサービスは同社の主力サービスとなっている。
セキュリティガイドラインが指摘した「カード決済前」の脅威とは?
GMO-PGではこれまでも、情報漏洩や不正利用、クレジットマスターなどへのセキュリティ対策となるサービス群を提供してきたが、今回、このタイミングで新たにVerifyサービスの提供を開始する背景には、例年クレジットカード業界から発表されている「クレジットカード・セキュリティガイドライン」の指摘事項があるという(画面3)。
画面3 多要素認証/本人確認が求められる背景(出典:GMOペイメントゲートウェイ)
近年、カード決済のセキュリティとして「EMV 3-Dセキュア」に代表される新技術の導入が進んでいるが、ことEC加盟店にあってはカード決済前の「会員登録」「会員ログイン」「属性変更」「商品選択」の場面での不正ログイン、つまり「なりすまし」についても脅威となっている。
これらは処理としては「カード決済『前』」には当たるが、実際には会員情報とクレジットカード情報とは密接な関係にあるし、なりすましに遭った際の原因が加盟店、アクワイアラ、イシュア、そして利用者本人のいずれにあったのかによっても責任範囲は異なってくる。
EC事業者にとってはVerifyサービスの導入が、決済の入口のところでのリスク低減につながることは間違いなさそうだ。
