Riskified Japanは9月19日、ECの不正対策をテーマにしたカンファレンス「リスキトークスジャパン2024」を開催した。今回のセミナーダイジェストでは、楽天グループ(楽天)のコマース&マーケティングカンパニーで、危機管理不正対策部のジェネラルマネージャーを務める秋元智広カンパニーCCOに、楽天が考える不正対策について聞いたセッションをまとめた。モデレーターは、リスキファイドジャパンの長谷川拓矢氏が務めた。
<全件3Dセキュアは通さない>
長谷川:まずは3Ⅾセキュアについて聞きたい。(一社)日本クレジット協会は2025年3月までに、全てのEC加盟店の3Dセキュア2.0原則導入を求めている。3Dセキュアの誤検知など精度の課題もあり、「3Ⅾセキュアを導入すればすべて解決」と考えるのは危険だと言えるのではないか。秋元氏はどう考えるか。
秋元:3Dセキュアはトランザクション費用が当然かかる。アクワイアラ(カード会社)にとっては、3Dセキュアのトランザクションも、収入源の一つだ。
つまり、不正対策がきっちりできている加盟店の場合、不正の発生の可能性の高いものだけを、3Ⅾセキュア対応するという選択してしまうと、アクワイアラとしては非常に困るのではないか。カード会社としては、加盟店から、3Ⅾセキュアによってチャージバックになる可能性が高いトランザクションばかりが送られてきて、認証を任されることになる。収益になるトランザクションが少ないだけでなく、リスクの高いトランザクションの判定をすることになる。
われわれ加盟店の立場として、全取引に対して3Dセキュアを通す義務があるかというと、「ない」と私は理解している。
日本クレジット協会がまとめたガイドラインなどの資料を読むと、旅行業界などを例に挙げていて、業界横断的な不正対策を講じることによって、高度な不正検知を行うことができる。それによって、不正の発生率をかなり低減できると考えられる。
3Dセキュアを導入したときに、加盟店にとってリスクと考えられているのが、かご落ちだ。不正のリスクが高いと判定したユーザーに対して、ワンタイムパスワードなどのチャレンジ認証を行うと、正当なユーザーにも一定数チャレンジ認証をしてしまい、かご落ちが発生してしまうと考えられている。
当社が独自に調査した結果、カード決済の全取引のうち、3Ⅾセキュアが「高リスク」と判定している取引が、5~10%ほどあった。
「高リスク」と判定された5~10%のトランザクションに関して、実は真正利用で、不正ではない注文がかなり含まれていることが分かった。逆に、「低リスク」として判定されている6~7割のトランザクションの中に、不正なトランザクションが含まれていると考えられる。
おそらく、カード決済において、3Ⅾセキュア2.0のリスクベース認証の分類が適切に動いていないと考えられる。
われわれの調査では、3Ⅾセキュアが「中リスク」と判定し、ワンタイムパスワードなどのチャレンジ認証を行う割合は、全取引のうち20~30%を占めている。そのうち、チャレンジ認証に成功する注文が10~15%ぐらいだ。3~5%はかご落ちが起きている。1%は認証失敗になると思われる。
つまり、カード決済する全取引のうち、5%はかご落ちが発生してしまうということだ。
長谷川:3Dセキュアによって「低リスク」判定、すなわちフリクションレスフローで通過できる注文が、実は6~7割しかないというのは、知らない人も多いのではないか。
(つづく)