ビザ・ワールドワイド・ジャパン(Visa)は、オンラインショッピングなどの非対面決済におけるクレジットカードのセキュリティ技術「EMV 3-Dセキュア」や「トークナイゼーション」に関する説明会を開催。どういったメリットがあるのかを解説しました。
2025年3月までにすべてのEC加盟店がEMV 3DS対応へ
EMV 3-Dセキュアは、クレジットカードの業界団体であるEMVcoが策定しているセキュリティ仕様です。3Dセキュア1.0からスタートし、現在はバージョン2.0となって「EMV 3-Dセキュア」(EMV 3DS)という名称になっています(最新バージョンは2.3.1.0)。その名の通り、クレジットカードの業界団体であるEMVcoが策定した標準仕様です。
EC市場は2021年度には23兆円規模でしたが、2026年度には39兆円規模に成長すると見込まれており、拡大の一途をたどっています。しかし、それに伴ってクレジットカードの不正利用被害額も増加を続け、2022年度にはとうとう初めて被害額が400億円を突破しました。
-
EC市場の拡大に伴い、カード不正利用の被害額も大幅に増加。2022年は初めて被害額が400億円に達しました
こうしたことから、経済産業省は今年2月に「クレジットカード決済システムのセキュリティ対策強化検討会 報告書」を取りまとめ、その中で「すべてのEC加盟店」に対してEMV 3DSを2025年3月までに導入することを求めています。
これまでも既存の3Dセキュア1.0からの移行やEMV 3DS導入は求められていたのですが、改めて期限を決めて必須とされたことで、今後急速にEMV 3DS導入が拡大することが想定されます。
EMV 3-Dセキュアのメリットとは
そんなEMV 3DSは、どういった技術でしょうか。
EC加盟店で買い物をする場合、利用者はカード番号を入力するか保存したカード情報を使って決済を行います。その際、加盟店からVisaの3DSサーバー(Visa Directory Server)に対して認証要求が行われます。その情報がイシュア側に送られて、さまざまな情報を組み合わせてイシュアがリスク判定(リスクベース認証)を行います。
リスク判定の結果、低リスクと判断されれば追加認証なしにオーソリゼーション(オーソリ)となり、与信や利用可能枠の確認が行われます。高リスク判定になると、追加のパスワード入力などが求められます。通常の取引であれば低リスクとして判定されてそのままオーソリとなって決済が完了するため、利用者にとっては手間がかからない(フリクションレス)取引が実現できます。
-
EMV 3DSのフロー図
これまでの3Dセキュア1.0の場合、基本的にカード決済において固定のパスワードを常に入力する必要があり、利用者が普段使わないので忘れてしまったり、面倒になったりして買い物を諦める(カゴ落ち)リスクが高い仕組みでした。
これに対してEMV 3DSでは、低リスクと判定されれば追加の認証が不要となり、カゴ落ち率が低下。高リスクと判定された場合は固定パスワードではなく、ワンタイムパスワード(OTP)のような動的な認証方法を採用しています。OTPであれば、専用アプリのインストールなど事前準備が必要ですが、パスワード忘れは避けられることに加え、パスワード漏えいによる不正対策にもなります。
また、スマートフォンの生体認証もサポート。実際の導入事例は多くはありませんが、OTPよりも手軽に安全に認証できる仕組みもあるため、フリクションレスという点ではさらに改善できます。
-
EMV 3DS導入のメリット。今までPC向けに固定パスワードでカゴ落ち率が高く、オーソリ承認率の低下が発生していたのですが、モバイル対応が進んで売上も拡大し、EMV 3DSによるカゴ落ち率も低下
Visaの調査では、リスクベース認証によって追加認証が不要になったことで、決済時間は約85%短縮化。カゴ落ち率も70%削減されたということです。
例えば中東地域でのイシュアの例では、EMV 3DSの導入によって不正取引が40%減少。承認率が13%増の97%となり、トータルの決済時間も大幅に低下したそうです。カゴ落ち率も66%の改善となっており、カード会員からの問い合わせも減少するなど多くのメリットがあったとしています。
-
中東地域におけるEMV 3DSの実例
EMV 3DSは25年3月までの導入が義務化されたことで、EC加盟店は早急な対応が求められます。同社によれば、Visaブランドを提供する国内イシュアのほぼ全てはEMV 3DSをサポート。EC加盟店はいつでも導入できる状況で、大手を中心に導入事例も増えており、実際の効果が出ているという報告もあります。
とはいえ、同社側も「正直、事実としてあまり広がっていない」と話すとおり、まだ普及は進んでいません。3Dセキュア1.0の時は、特にカゴ落ち率を懸念する声が多かったといいます。3Dセキュア1.0では、技術的にVisaがカゴ落ち率を判定できなかったそうですが、調査では10~15%のカゴ落ちがあり、2~3割のカゴ落ち率という加盟店もあったそうです。
EMV 3DSでは、このカゴ落ち率をVisaでも測定可能になり、これを5%以下にすることが目標だと言います。より適切なデータを使い、データを蓄積することでより適切なリスクベース認証ができて、追加認証を求めずに安全に決済できるようにして、カゴ落ち率をさらに低下させたい考えです。
カゴ落ち率という懸念を解消しつつ、もう1つの問題であるシステム利用料の追加というコスト増の課題に関しては、実装方法がより改善されている点や、リスクの削減や不正発生時のコストの兼ね合いでのメリットを訴求することで利用に繋げたい考えです。
カード番号を変換して漏えいに強いトークナイゼーション
もう1つのセキュリティ技術が「トークナイゼーション」です。これは、クレジットカード番号、有効期限、セキュリティコードという決済に必要な数字情報を、全く異なる番号(トークン)に変換して送信することで、トークンが漏えいしても不正利用されづらいという技術です。加盟店を経由してイシュアに送信されたトークンは、その経路上でイシュアなどが実際のカード番号に変換し、カード決済が行われます。
-
トークナイゼーションの仕組み。手入力したカード番号やセキュリティコードが漏えいしている昨今の現状に対し、より安全性が向上します
昨今のクレジットカード情報の漏えいでは、ECサイトが改ざんされて、利用者が入力したクレジットカード情報がそのまま漏えいする事例が多くなっています。トークナイゼーションであれば、入力されるのがトークンなので、これ自体が漏えいしてもカード情報は保護されます。
-
同社が提供するVTS
トークン自体は固有の番号なのですが、加盟店ごとに固有の番号が使われ、1回ごとに異なる動的な認証を使うため、トークンを別の加盟店で使い回すことができず、安全性が高められています。
さらに、トークンとクレジットカード情報は紐付いてイシュアが保持しているため、有効期限によってカード番号が変更される、いわゆる「洗い替え」の際にも、トークンを変更する必要がなく、そのままのトークンが利用できます。実際の利用時にはイシュアなどが新カード番号として処理するため、例えば月額課金でもカード番号の変更をする必要がありません。
トークナイゼーション自体はEMVcoによる標準仕様で、同社ではVisa Token Service(VTS)を提供。同社が提供するVisaNetにおいてトークンを発行し、決済時のトークンをカード番号に変換してイシュアに送信するという役割を担います。
-
従来、PAN(カード番号と有効期限などの数字)は加盟店(もしくは決済代行業者)に登録され、カード利用時はPANがそのまま加盟店からVisaNetを経由してイシュアに送信されていました。カード情報が変更になった洗い替えの場合は、カード会員自体が変更する必要があります
-
Visaトークンでは、PAN登録時にトークン発行が要求され、加盟店(決済代行業者)にはトークンが保存されます。利用時はトークンがVisaNetでPANに変換されてイシュアに送信されます。洗い替え時は、新しいPANがVisaNetに通知され、保管されたトークンと紐付けされます
VTSによってカード番号漏えいのリスクが低減し、同じ加盟店でしか使えないドメインコントロールと動的認証によって、不正が28%削減されたそうです。加えて、不正利用時にコールセンターなどでの対応するためのコストや、不正調査、返金などの事務処理コストといったコスト削減にも繋がるとVisaでは指摘します。
-
Visaトークン導入のメリット
-
オーソリ承認率の向上やコスト削減といったメリットもあるとしています
日本のECサイトでは、VTSはほとんど導入されていないと同社。海外ではすでに189の国と地域で提供されているそうで、8500のイシュア、120万のEC加盟店が対応しており、40億のトークンが発行されています。これは物理カードの発行枚数以上の数になっているとのこと。
-
多くの国で採用が進んでいるVisaトークン
すでに多くの人が利用するトークナイゼーション、今後はカードアプリから決済へ
EC加盟店での導入が遅れている日本ですが、実はトークナイゼーション自体は、すでに多くのカード保有者が利用しています。Apple Pay、Google Payでは、クレジットカード情報を登録するとトークン化され、決済時にはトークンが送信されています。とはいえ、Apple Pay / Google Payでの決済に対応したEC加盟店はまだ多くないのが現状です。
さらに、Apple / Google Payにカード情報を登録する際に、カード会社のアプリから「Apple(Google) Payに登録」ボタンを押すと1クリックでカード情報が登録できる機能はよく見られますが、実はこの機能は、Payへの登録だけでなく、決済時にEC加盟店にトークンを送信するという場合にも使えるのだそうです。
この仕組みは、海外でもまだECサイト向けの試験的なサービスにとどまっているそうですが、日本でも大手加盟店、決済代行業者などとかなり密に対応に向けた議論をしているそうです。2023年中には本番サービスを開始したい考えで、順次拡大を図る計画です。
-
デバイスに紐付けられたトークン化されたカード情報をクリックで選択できる、というのはApple Pay / Google Payが代表的な例でしょう。カード会社のアプリからも、対応加盟店に1クリックでカード情報が登録できるという仕組みも今後提供されるようです
こうした取り組みでトークナイゼーションが普及したあとは、さらに「2階建て」のソリューションも準備しています。米国ではClick To Payとも呼ばれているサービスで、EMVcoによって策定されている「EMV SRC(Secure Remote Commerce)」技術です。
これは、トークンをオンラインのウォレットサービスに登録し、1クリックでEC加盟店に入力して支払をすることができるというもので、カード情報を加盟店などに登録する必要もなく、安全にトークンを使った決済ができるようになります。
前述のカードアプリを使った仕組みでは、使うカードごとにアプリを変えて利用する必要がありますが、EMV SRCの場合、ウォレットに複数のカードをトークン化して保管し、決済時に任意のカードを選択できます。
すでに米国など一部の国では提供されていますが、VTSのインフラが活用できるため、まずはトークナイゼーションが普及したのちに、国内でも提供を検討したいとしています。
Visaでは、このEMV 3DSとVTSという2つの技術を提供することで、なりすまし、カード除法の漏えいといった不正利用の削減を図り、カゴ落ちやオーソリ承認率の向上も図れるというメリットをアピール。さらに利用者側にもフリクションレスによるユーザー体験の向上が実現できるとしています。
-
EMV 3DSとVTSの特徴とメリットのまとめ
