クレジット取引セキュリティ対策協議会は3月15日、安全なクレジットカード利用環境を実現するため、「クレジットカード・セキュリティガイドライン【5.0版】」を策定したと発表した。クレジットカード情報の盗用による非対面取引における不正利用被害が高止まりしている背景を踏まえ、従前の【4.0 版】の内容を基に、割賦販売法やカードビジネスの実務に精通していない事業者でも、自身がどの事業者に該当し、どのような対策を講じる必要があるのかを理解し、必要なセキュリティ対策を自らが適切に講じることを目的とした構成の変更が行われた。【5.0 版】では主にEC加盟店のセキュリティ対策を強化し、EMV 3-Dセキュアの導入や情報保護対策の重要性が強調された。
Browsing: 3Dセキュア
大日本印刷(DNP)と日本カードネットワーク(CARDNET)は3月12日、オンラインでのクレジットカード決済のセキュリティ向上を目指し、「3Dセキュア」の新しい本人認証方式として、OOB(Out of Band)認証サービスを提供すると発表した。また、同日、ジェーシービーは同サービスの運用を開始すると発表した。DNPとCARDNETは、「3Dセキュア」をカード発行会社(イシュア)が導入するための認証サーバー「EMV-3D Secure ACSサービス」を共同で提供している。今回追加するOOB認証サービスは、カード会社が会員向けに提供するスマートフォン用アプリ等を使って本人認証する方式で、カード会社が提供するアプリの画面に表示される認証ボタンを押すだけで、スムーズに決済できる。利用者は自分しか知らないパスワードや送付されるワンタイムパスワードを入力する必要がなく、利便性向上と不正利用の軽減が図れる。また、カード会社は「カゴ落ち」リスクの軽減が期待できるという。
クレジット取引セキュリティ対策協議会は3月15日、「クレジットカード・セキュリティガイドライン【4.0 版】」を発表した。クレジットカード情報の盗用による非対面取引における不正利用被害は依然として高い水準で推移している。その原因としては、EC加盟店の既知の脆弱性を悪用した不正アクセス、大量かつ連続する不正アタックによるクレジットカード番号の有効性確認、フィッシングメール等によりクレジットカード情報や静的(固定)パスワードが不正に窃取され、これらのクレジットカード情報等がコード決済のチャージやEC加盟店での決済で悪用されていることが考えられる。これらの状況を鑑み、クレジットカード情報の窃取及び不正利用を防止するために、EC加盟店におけるカード情報保護対策及び非対面取引における不正利用防止対策のための取り組みを盛り込んだガイドラインを取りまとめた。
経済産業省は2月2日、クレジットカード決済システムのセキュリティ対策強化検討会での議論を踏まえ報告書を取りまとめたと発表した。キャッシュレス決済及びEC取引の普及に伴い、クレジットカード決済市場の規模が増加する一方、サイバー攻撃やフィッシング詐欺の増加等を背景に、クレジットカードの不正利用被害額は増加傾向にある。こうした中で、非対面取引におけるクレジットカード決済の更なるセキュリティ対策強化を図るため、クレジットカード決済網に関わる多様なプレーヤーによる多面的・重層的なセキュリティ対策の取組について整理した。報告書は、(1)クレジットカード番号等を安全に管理する(漏えい防止)、(2)クレジットカード番号等を不正に利用させない(不正利用防止)、(3)クレジットの安全・安心な利用に関する周知・犯罪の抑止の3本柱に沿って、検討会での議論を踏まえ、クレジットカード決済システムのセキュリティ対策強化に向けた具体的な取組と今後の課題について取りまとめている。なかでも(2)では、国際的な本人認証手法「EMV 3DS」に関して、「2024年度末(2025年3月)を期限として、原則、すべてのEC加盟店に導入を求めていくべき」との考え方が示されている。
アプリから誰でもすぐに発行できるプリペイドカード「バンドルカード」を提供するカンムは6月21日、同アプリを通して発行される全てのカードがEMV 3-Dセキュアに対応したと発表した。EMV 3-Dセキュアは、EMVCoで規定された、次世代のオンライン本人認証技術で、ウェブのみではなく、スマートフォン等のコネクテッドデバイス上での認証をサポートする。リスクベースの認証を、カード利用者の決済情報等を基に、取引の大半は追加認証なしに認証が完了、高リスクと判断される取引にのみ、ワンタイムパスワード等の追加認証を実施するもの。
大日本印刷は4月14日、ネットワーク上でクレジット決済の不正利用を検知・判定するリスクベース認証において、不正使用された機器の情報を複数のクレジットカード会社間で共同活用し、セキュリティ強化につなげており、今回このサービスに新たにトヨタファイナンスが参画したことを発表した。同サービスは2019年10月に三菱UFJニコス、ジェーシービー、エポスカードの3社への提供でスタートし、2020年4月にはエムアイカードが参画している。今回提供先が5社になることで、さらに参画企業間での情報共有を進め、なりすましなどによるクレジットカードの不正使用の抑止効果拡大につなげていく。2024年度には10社の参画を目指し、各社のセキュリティ強化支援に取り組んでいくという。
Eストアーは2月18日、不正利用によるチャージバック被害を回避することを目的として、同社が提供するSaaS型ECサイト構築システム「ショップサーブ」に2021年5月、「3Dセキュア 2.0」を開始すると発表した。「3Dセキュア 2.0」は、購入者のIPアドレスや利用ブラウザ、行動パターンと購入情報を照らし合わせ、不正利用のリスクを判定。リスクが高いと判断された取引のみ、毎回パスワードが変化する「ワンタイムパスワード認証」やスマートフォンに搭載された「生体認証」を要求する。同サービスの開始により、認証された注文は不正利用によるチャージバックが発生した場合でも、カード会社が負担するため、EC事業者は不正利用によるチャージバックを回避し、安心して運営できるようになる。なお、同サービスの実装に関する発表は国内ECベンダーとして初だという。
Kyashとビザ・ワールドワイド・ジャパン(Visa)は11月17日、Kyashがユーザー向けにVisa Consumer Authentication Service(VCAS)を用いたVisa Secureへの対応を、同日より開始すると発表した。今回Kyashは、Visaが提供するイシュア向け3-DセキュアサービスであるVCASを採用することで、Visa Secureのすべての有効なバージョン(3-Dセキュア バージョン1.0、EMV 3-Dセキュア バージョン2.1および2.2)に対応することになり、Kyashユーザーに対して、安心・安全なeコマース取引を提供する。また、Visaの不正取引情報を活用したリスクエンジンによる「独自のスコアリング(VCASスコア)」と「リスクベース認証」により、シームレスなユーザー体験も同時に実現する。なお、国内においてVCASの採用はKyashが初となる。
大日本印刷(DNP)と日本カードネットワーク(CARDNET)は4月8日、ネットショッピングなど非対面でのクレジットカード決済の安全性を高める本人認証「EMV 3-D Secure」をクレジットカード会社(イシュア)が導入するための認証サーバー「ACS(Access Control Server)」サービスの本格的な提供を開始したと発表した。また、同1日から、ジェーシービーが同サービスの対応を開始したことを明らかにした。従来の「3-D Secure」は、ネットショッピング時に、クレジットカードの番号と有効期限のほか、イシュアのサイトで利用者が事前登録したパスワードを入力することで決済者本人を認証するサービスの規格で多くのイシュアに導入されてきた。一方で、認証画面の表示による利用者の取引離脱や、パスワード忘れによる認証不可といった課題があり、クレジットカードの加盟店が導入をためらうケースがあった。
ICカードの供給で業界トップを走るジェムアルト(Gemalto)。プラスチックカードを主力媒体に世界の180カ国以上で事業展開を進めてきた同社が2019年に注目するのは、生体認証やDynamic Codeといった高セキュリティ機能を組み込んだICカードの商用導入だ。そこでジェムアルトが鍵になると見るのは、「決済プラス『何か』」。その『何か』を追いかけて、同社を直撃した。
NTTデータはネットショッピングにおける非対面クレジットカード決済の本人認証を行う「3-D Secure本人認証サービス」として提供する「CAFIS BlueGateユーザー認証サービス」に対し、クレジットカード利用者が使用するデバイス情報とクレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインリアルタイムで判定する機能(リスクベース認証)を新たに開発し、11月13日より提供を開始したと発表した。