クレジットカードのセキュリティ最新事情は? VisaがEMV 3-Dセキュアやトークンサービスを解説

ビザ・ワールドワイド・ジャパン(Visa)は3月21日、クレジットカードのセキュリティに関する説明会を開催し、日本の決済シーンにおけるセキュリティを高める施策として、EMV 3-DセキュアやVisaトークンサービスなどを解説しました。特に被害が拡大するECサイトなどのオンライン決済で威力を発揮することが期待されています。

2つの技術を解説した(左から)コア・プラットフォームソリューションズ部長田中俊一氏とリスクマネジメント部長ジョン・クロスリー氏

日本ではオンラインでの不正対策が急務

日常的な決済シーンは、店頭での支払いを行う対面取引とECサイトでのオンラインショッピングなどの非対面取引に大別されます。そのうち、対面取引での不正利用は2020年を境に54%減と大幅に減少しました。時期的にはコロナ禍とも重なりますが、同社のリスクマネジメント部長ジョン・クロスリー氏は、店舗におけるクレジットカードのIC対応必須化によって偽造カードでの不正利用がほぼゼロになったことなどが原因だとしています。

日本における対面取引の不正利用状況。不正利用された店を確認するとIC化が遅れていた店舗であることが多く、IC対応必須化が不正利用の削減に大きな威力を発揮しているようです

ただ、「日本全体で見ると不正利用は増加傾向」だとクロスリー氏は話します。それは、非対面取引における不正利用が増加しているからです。2018年から2023年にかけて、非対面取引の不正比率は13%の増加で、グローバルでは不正比率自体は大きく変化していないことから、日本での特徴的な動きだとクロスリー氏は指摘します。

非対面取引では13%の増加

ちなみに、不正利用全体のうち96%が非対面取引でした。これも2018年は90%だったことから、さらに拡大しています。加えて、2023年には日本のカードを使って、日本国内の加盟店での不正利用が7割に達しました。2018年では5割ほどだったことから、国内加盟店での不正も増えています。

こうした背景には、日本にはEC加盟店が多く、扱っている商品の換金性が高いことがあるとクロスリー氏は言います。不正取引で窃取された日本の化粧品が海外で販売される、といった例もあるそうです。なお、アジア太平洋地域は国内加盟店での不正は全体の1/4程度だそうです。

以前は国内加盟店で海外カードを使った不正利用が発生していて、それは海外カードを止めるという対策が取りやすかったのですが、昨今は国内発行のカードが不正利用で使われるようになり、正規利用との区別が難しくなっているのだとクロスリー氏。

こうした不正取引は、一定の業種に偏っています。不正取引金額の1/3を占める10業種があり、広告サービス、オンラインショッピング、交通系、デジタルコンテンツなどがあります。フリマアプリや家電製品は減少傾向ですが、広告サービスなどは不正取引が増加しているそうです。

不正取引が多い10業種

クロスリー氏は、特にこういった業種から不正対策を進めていく必要を訴えます。具体的には、非対面取引向けにはEMV 3-Dセキュア(EMV 3DS)と強固な認証の採用を訴えます。他にもEMVトークンの採用やクレジットマスター対策なども対策として提案されています。

世界で見ると、非対面取引のうち不正取引の総額は2024年で274億ドルに達するとの予測があり、クレジットカードの取引が正規かどうかを判定する承認率は、対面取引が98%なのに対して、非対面だと80%と大幅に低下しています。結果として、正規の取引をしている15人に1人が不正と誤判定され、利用を拒否された経験があるとの調査結果があるそうです。

不正取引被害の総額は、世界では274億ドルに達します。承認率の低さも問題でしょう

世界的にもこうした状況が広がっていて、不正取引による被害の拡大だけでなく、不正取引と疑われた消費者の離脱による売上の低下も問題となっていると、コア・プラットフォームソリューションズ部長の田中俊一氏は指摘します。

正当な取引を拒否された利用者の51%が別のカードを利用するため、イシュアにとっても問題となります

米国の消費者の33%は、正当な取引を拒否されると、その加盟店を使わなくなると回答していて、加盟店側にも大きな問題となります

EMV 3-Dセキュアで決済の安全性と利便性が向上

こうした状況を解消する技術の1つがEMV 3-Dセキュアです。クレジットカードを使おうとしている人が、本当にクレジットカードの持ち主か、不正な利用ではないかを認証するための技術で、従来に比べて「リスクベース認証」が導入されている点が大きな違いです。

EMV 3DS導入のメリット。決済にかかる時間が85%削減され、カゴ落ち率が70%削減されるなどの大きな効果が実現されています

これまで、3Dセキュア1.0と呼ばれる技術があり、これはクレジットカード番号などの入力に加えてパスワードを入力するなどして本人認証をしていましたが、リスクベース認証では、当該取引の時間や場所などの複数の情報を加味して、AIによる分析などを加えた上で取引が正常かどうかを判断。問題ないと判断すれば追加認証なしで取引が完了します。

問題があると判断された場合は、基本的にはワンタイムパスワードや生体認証を使って追加認証を行いますが、リスクベース認証によって追加認証が発生しないため、ユーザーの利便性も向上し、カゴ落ちリスクも減少するというメリットもあります。

Visa自体は2025年3月31日までにEMV 3DSへの対応を義務付けており、さらに業界団体である日本クレジット協会のクレジット取引セキュリティ対策協議会が発行する「クレジットカード・セキュリティガイドライン【5.0版】」(2024年3月14日発行)でも、2025年3月31日までに、原則としてすべてのEC加盟店が導入することを求めています。

これはVisaですが、日本では原則としてすべてのEC加盟店が2025年3月31日までにEMV 3DSに対応することが必要とされています

基本的には個別のEC加盟店というよりも、EC加盟店が契約している決済代行業者(PSP)やアクワイアラなどが対応して加盟店と契約することになるでしょう。いずれにしても、来年4月以降は、基本的にすべてのオンラインショップがEMV 3DSに対応していることになりそうです。

なお、不正利用被害が多発しているようなEC加盟店は「不正顕在化加盟店」とされていて、クロスリー氏はこうした加盟店は、2025年3月末を待たずに、「今すぐに」(クロスリー氏)EMV 3DSへの対応を進めることを推奨しています。カード情報を預かるQRコード決済事業者ウォレットプロバイダーも、同様に「すぐに導入すべき」とクロスリー氏は強調します。

すでに、ほとんどのイシュアがEMV 3DSに対応しているとのことで、あとはカード会員側がEMV 3DSの利用登録をすればいいという状態にはなっているそうです。ちなみに、日本ではEMV 3DSの追加認証で固定パスワードを使う例が残っていて、クロスリー氏は「海外ではだいぶ前に廃止されている」と指摘します。そのため、「日本のイシュアは、OTPや生体認証に切り替えるべき」とクロスリー氏は言います。

ちなみにEMV 3DSのリスクベース認証には、加盟店側が質の高い情報を提供する必要があり、それによって承認率の上昇や不正検出率の向上が期待できるそうです

カード番号をトークン化してより安全に

もう1つの技術としてVisaトークンサービスがあります。田中氏は、「EMV 3DSと並んで重要」と強調します。トークンとは、クレジットカードのカード番号を別の番号に変換して決済に利用することで、カード番号自体を流通させない技術です。

1つのトークンは利用範囲が限られているため、流出したトークンを別の加盟店での支払いに使おうとしても使えないため、安全性が向上します。トークンに紐付くカード番号が変わっても、トークン自体は変わらないため、EC加盟店に登録したカード番号(トークン)を変更する必要がないため、利便性も向上します。

Visaトークンサービスの主な機能

同様に物理カードの紛失・盗難の際にも、モバイル端末に登録したクレジットカード情報(Apple Payなど)や、加盟店に登録したカード番号を変更する必要もないわけです。

カード番号とトークンは独立して管理されるので、1つのトークンが漏えいしたり紛失したりしても、ほかのトークンには影響せず、そのまま使い続けられます

Visaトークンサービスの導入で、海外では不正利用が28%削減され、さらにカード番号盗難などによるコールセンターの応対コスト、不正調査や返金などの事務処理コストなどのコスト削減にも繋がっているそうです。

結果として、不正取引の減少や承認率の増加が期待できます

直接の数字だけでなく、周辺コストの削減効果もあるとしています

同様にオーソリ承認率も3%向上。洗い替え機能によって、カード番号を変更し忘れて決済ができずにカゴ落ちすることがなくなりますし、別途払込書を送付するなどのコストも削減できます。

承認率に加えてコスト削減効果も

海外では、EMV SRC(Click To Pay)(https://news.mynavi.jp/article/cashless_payment-10/)と呼ばれるウォレットサービスをVisaら国際ブランドが提供しています。これはトークン化されたカード情報が補完されていて、決済時にはそこからクリックするだけで支払いカードを選択して決済できる機能です。Apple PayやGoogleウォレットでも同様のことができますが、クリックするだけで支払いできるため、手入力もいらず、カード情報の漏えいの危険性も最小化できます。