2020/10/13

本人認証サービスとは、クレジットカード決済の際にカード情報に加えて「認証コード」を入力することで、不正利用やなりすましを防ぐ仕組みです。本記事では本人認証サービスの仕組みや導入するメリット、注意点やその他の不正利用対策を紹介します。
本人認証サービスの世界標準「3Dセキュア」
クレジットカードの本人認証サービスと言えば、一般的に「3Dセキュア」を指します。これはビザ・インターナショナル社が開発した技術です。ユーザーがあらかじめ登録したパスワードを決済時に入力、照合することで不正利用を防ぐ仕組みです。
現在はVISAだけでなく、MasterCard、JCB、American Expressの4大国際ブランドで採用されており、世界標準の本人認証方法といえます。なお、各社とも本人認証の仕組みは同じですが呼称は異なり、VISAは「Visa Secure」、MasterCardは「Mastercard ID Check™」、JCBは「J/Secure™」、AMEXは「American Express SafeKey©」と呼ばれています。
2020年現在、主に利用されている3Dセキュアは、「3Dセキュア 1.0」というバージョンです。認証コードは、固定パスワードの他、カード会社と事前に共有した合言葉「パーソナルメッセージ」を表示することで、認証コードの入力画面が正しいものかどうか確認できるサービスもあります。
出典:
Visa Inc.『安全なネットショッピング』
Mastercard『Mastercard ID Check™ のご紹介』
株式会社ジェーシービー『本人認証サービス「J/Secure™」』
American Express International, Inc.『American Express SafeKey』
3Dセキュアは1.0→2.0への移行が進んでいる
「3Dセキュア 1.0」には以下のような課題があり、これまで普及の妨げになっていました。
- 認証フローが煩わしいため離脱の一因となり、コンバージョン率(購入率)が低下する。
- iOSやAndroidのアプリ課金に対応していない。
- 第三者にカード情報を抜かれてしまうフィッシングのリスクがある。
- カード決済のたびに入力が必要となり、ユーザーがパスワードを覚えておく必要がある。
そのような状況の中、2016年6月に3Dセキュアの新バージョンである「3Dセキュア 2.0」の仕様が発表されました。American Express、Discover、JCB、MasterCard、銀聯、Visaの国際ブランド6社で構成され、カード決済の安全と普及促進を図る機関である「EMVco」により規格が定められています。3Dセキュア 1.0の継続利用は可能ですが、今後3Dセキュア 2.0へ切り替わっていくと予測されています。
新バージョンの3Dセキュアは、ワンタイムパスワードや生体認証などを取り入れており、3Dセキュア 1.0のようにポップアップウインドウや別画面に遷移させないことや、固定のパスワード管理が必要ないため、スムーズな本人認証が実現します。
また、加盟店と共有する付加情報をもとにリスクベース認証を行うので、リスクのない9割強のユーザーは3Dセキュアの認証を挟まずに決済ができ、カート離脱率の低下や支払いの時間短縮が見込めます。もし不正の疑いがある決済の場合でも、ユーザーに対して本人確認のための追加情報を入力させることで安全性を確保できるようになっています。
3Dセキュア 2.0では、3Dセキュア1.0では不可能だったiOSやAndroidのアプリ内でも認証ができるようになります。モバイルアプリ用のSDK(ソフトウェア開発キット)が用意されており、加盟店は簡単にモバイルアプリに実装可能です。
このように次世代規格の3Dセキュア 2.0では、ユーザーと事業者双方の利便性を高めるとともに、クレジットカードの不正利用を防止する機能も改善されており、今後の普及が期待されています。
本人認証サービスの必要性が高まっている理由
本人認証サービスは、クレジットカードの不正利用防止に高い効果を発揮します。
一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は年々増加しており、2019年は約273.8億円でした。最も被害額が大きかったのは、番号盗用によるものです。この番号盗用被害額とは、クレジットカード番号などの情報だけを用いて不正に決済された金額で、典型例としてはネットショッピングでのなりすまし利用が挙げられます。
■カード不正利用被害の発生状況(単位:億円)
出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』
『クレジットカード・セキュリティガイドライン』でも、不正利用対策の具体的な方策として、本人認証サービスの導入が推進されています。
クレジットカード・セキュリティガイドラインとは、安全安心なクレジットカードの利用環境の整備を進めるため、クレジット取引セキュリティ対策協議会がカード会社や加盟店などのセキュリティ対策やその取組事項を取りまとめたものです。安全・安心なクレジットカード決済の普及を促進するため、すべての加盟店に対応が求められています。
本人認証サービスを導入するメリット
本人認証サービスを導入するメリットは、不正防止効果が高いことで顧客の安心感を高められる点と、実際に事業者のリスクを軽減できる点です。
顧客に対して安心感を与えられる
国内のBtoC-ECの市場規模は、2019年時点で約19.3兆円でした。
出典:経済産業省『令和元年度 電子商取引に関する市場調査)』
また、総務省の「通信利用動向調査」によると、インターネットで購入する際の決済方法は、クレジットカード払いが74.7%と圧倒的なシェアを占めています。
■インターネットで購入する際の決済方法
2018年(複数回答)
出典:総務省『令和元年版 情報通信白書|インターネットの利用状況』
一方で、前述の通り不正利用の被害額は年々増加傾向にあります。2018年度の「通信利用動向調査」では、インターネット利用時に感じる不安要素として、「電子決済の信頼性」を挙げた人は37.8%と前年(33.2%)よりも増加していました。
■インターネット利用における不安の内容
こういった背景から、4大国際ブランドが採用する国際標準の本人認証サービス「3Dセキュア」を自社ECサイトに導入することは、顧客に対する信頼性のアピールにもなります。
不正利用およびチャージバックのリスクを軽減できる
本人認証サービスは、不正利用やチャージバックのリスクを減少させます。
チャージバックとは、不正利用、商品の未発送、届いた商品の破損といった理由で利用者が決済に対して同意しない場合に、クレジットカード会社が売上を取り消して、利用者に返金する仕組みです。
これはカードの利用者を守るための仕組みですが、チャージバックが発生すると事業者は商品・サービスを提供しているにもかかわらず入金されないため損失を被ります。不正利用の場合は、カード会社の調査への協力や警察へ被害届の提出といった労力もかかってしまうデメリットもあります。
チャージバックによる損失を回避するためには、3Dセキュアの導入が重要です。不正利用の発生が完全になくなるわけではありませんが、3Dセキュアを導入していればチャージバックが発生しても取り消された売上を加盟店が負担する事態避けられる場合があります。
このように、本人認証サービスの導入は不正利用のリスクを軽減し、顧客はもちろん事業者の利益を守ることにもつながります。
本人認証サービスの注意点
本人認証サービスはセキュリティに優れている一方で、注意点もあります。
まず、利用者が本人認証サービスの設定をしていないと意味がないため、顧客に設定を促すように周知を徹底することが必要です。また、設定が完了していても、IDやパスワードの使いまわしによるセキュリティリスクや、利用者がIDやパスワードを忘れてしまうことで販売機会を逸失するリスクは残ります。
3Dセキュア 1.0の最大の課題のひとつは、前述した通り、ECサイトで顧客が商品をカートに入れたまま離脱してしまう、いわゆる「かご落ち」でした。3Dセキュア 2.0では、決済ごとに発行されるワンタイムパスワードや生体認証を利用することで固定のパスワードを覚える手間を減らすので、かご落ちリスクが減少することが期待されています。
まだまだある!クレジットカード・セキュリティガイドラインで推奨される不正利用を防ぐ対策
「クレジットカード・セキュリティガイドライン」では、不正利用対策として本人認証以外にもさまざまな方法が推奨されています。ここでは3つの対策を紹介します。
券面認証(セキュリティコード)
クレジットカードには、裏面または表面に3桁または4桁のセキュリティコードが印字されています。券面認証とは、決済時にこのセキュリティコードとカード番号のどちらも入力させる方法です。この仕組みを導入すれば不正利用を防止する効果が一定程度期待できます。
券面認証は100%普及しており、パスワードのように利用者が失念する懸念はありません。しかし、「バックドア※」を使って不正にアクセスをされればカード情報とともに盗まれてしまう恐れもあるため、3Dセキュアや以下で紹介するその他の不正利用対策と組み合わせて利用するのがおすすめです。
※悪意のある攻撃者が、コンピュータやサーバに不正アクセスするために仕込む侵入経路。
なお、以下の表の通り、コードの名称や印字箇所はカード会社によって異なります。
ブランド | 名称 | 印字箇所 | 桁数 |
---|---|---|---|
VISA | CVV2(Card Verification Value) | 裏面 | 3桁 |
Mastercard | CVC2(Card Validation Code) | 裏面 | 3桁 |
JCB | セキュリティコード | 裏面 | 3桁 |
American Express | CID(Card Identification Number) | 表面 | 4桁 |
ダイナース | セキュリティコード | 裏面 | 3桁 |
不正検知システム(属性・行動分析)
不正検知システムとは、氏名、クレジットカード番号、メールアドレス、利用者のデバイス情報、IPアドレス、過去の取引情報、取引頻度といった情報を多面的に検証して不正利用リスクを事前に検知する仕組みで、不正検知サービスとして各社から提供されています。
不正利用の手口や傾向は、業種や商材によって異なり日々変化しています。そのため、事業者に合わせて細かく条件を設定した上で、できる限りリアルタイムで調整し続けることが大切です。
配送先情報
不正利用時の配送先情報を蓄積し、取引成立後であっても商品などの配送を事前に止めることで不正利用被害を防止する手法もあります。自社のみのデータでは情報量が足りないため、クレジットカード・セキュリティガイドラインでは外部の実績あるサービスを利用することが有効とされています。なお、ベリトランスでもオプションとしてご提供しています。
ベリトランスでは金融機関並みのセキュリティを提供
ベリトランスは、金融機関に求められる高度なセキュリティ環境・管理体制のもと、事業者様へ決済サービスを提供しています。
「VeriTrans4G」は、クレジットカードを含め、ECに必要な決済手段を一括導入できるマルチ決済サービスです。この決済システムではクレジットカード決済のセキュリティオプションとして本人認証サービスの「3Dセキュア」と「セキュリティコード認証」を標準提供しております。
また、ベリトランスの不正検知サービスは、事業者の業種・商材や、不正利用の発生状況、予算などに応じて5種類から選択でき、不正被害やチャージバックのリスクを高い確率で抑止します。クレジットカード決済の安全性と利便性を高めたい事業者様は導入を検討されてはいかがでしょうか。