根強い“現金信仰”から抜け出し、キャッシュレス決済が社会に定着しつつあります。キャッスレス決済の魅力は利便性の高さですが、それは確かなセキュリティ対策がベースにあってこそ。
そのことを改めて教えてくれたのは、2020年9月に起こった「ドコモ口座事件」ではないでしょうか。ドコモ口座など複数のモバイル決済サービスを通じて、銀行口座の残高が不正に引き出された事件です。不正に入手した銀行口座情報をモバイル決済サービスと紐付け、銀行から残高をモバイル決済サービスに送金するというシンプルな手口ですが、被害額は3,000万円以上に及びました。
主な原因が、銀行側の認証システムにあったことから、政府は銀行に対して本人確認の強化など再発防止策を求めました。同年12月には、ドコモ口座と連携していない唯一のメガバンクだったにもかかわらず、三菱UFJ銀行がオンラインでの本人確認業務を支援する「eKYC支援サービス」の導入を発表しています。今後は、決済サービス事業者も含め、本人確認の厳格化が必須になっていくでしょう。
もちろん、「本人認証」の重要性が高まっているのは、モバイル決済のみではありません。コロナ禍でECサイトの利用が増加したことにより、クレジットカードの不正利用も増えています。こうした状況下で、事業者側ができるセキュリティ対策には、どのようなものがあるのでしょうか。本コラムでは、その方法のひとつとして急速に注目を集めているクレジットカードの「本人認証サービス」を紹介します。サービスが登場した背景から基本的なサービスの仕組み、事業者にとってのメリット、デメリットまで解説していきます。
コンテンツ
「本人認証サービス」の概要とニーズの背景
「本人認証サービス」とは、文字どおり「本人かどうかを確認する」サービスのことです。従来、ネットショッピングはクレジットカード情報を入力するだけで利用できましたが、第三者がその情報を入手すれば“なりすまし”や不正利用も可能でした。そこで、「本人認証サービス」は、クレジットカード情報に加え、カード会社で事前にユーザーが登録した「本人しか知り得ない」認証パスワードを入力・照合する仕組みとなっています。
「わざわざそこまでしなくても」と思う人がいるかもしれません。なりすましや不正利用のことを、「限られた世界の出来事」「普通に生活していれば大丈夫」と考えたくもなるでしょう。
しかし、不正利用の被害額を見ると、そんな悠長なことは言っていられません。日本クレジット協会が発表した2020年第3四半期(7月~9月分)のクレジットカード不正利用被害額は、59.1億円で前期比1.2%増でした。注目したいのはその内訳です。磁気付きカードの偽造などによる偽造被害額は1.2億円で横ばいでしたが、被害の大半を占めたカード番号の盗用被害額は54.1億円で1.7%増。その他の不正利用被害額は3.8億円で5%減少しており、番号の盗用が増えていることが浮き彫りとなっています。不正利用はチャージバックの増加を招きますので、被害額が増えることで、必然的に「本人認証サービス」のニーズが高まっているのです。
参照:日本クレジット協会「クレジットカード不正利用被害の集計結果について」(2020年12月28日)
https://www.j-credit.or.jp/download/news20201228a.pdf
クレカ5大ブランドが採用する本人認証サービス技術「3Dセキュア」
クレジットカードの番号盗用を防ぐ「本人認証サービス」の代表的な技術が「3Dセキュア」です。Visaが1999年にプロトコルを制定し、2002年から他ブランドへライセンスが提供されました。現在、Visaを含めクレジットカードの代表的なブランドであるMasterCard、JCB、アメリカン・エキスプレス、Dinersでも採用されていますので、世界標準のシステムといえるでしょう。
3Dセキュア1.0は20年前の技術
3Dセキュアは、前述のように21世紀の幕開けとほぼ同時に生まれました。非常にシンプルなプロトコルで、カード会社にとってはシステムに組み込みやすく導入コストも抑えられたことから、広く受け入れられました。日本でも、JCBが早い段階で導入していましたが、今ほど「本人認証」の重要性が一般に理解されていなかったこともあり、普及は進みませんでした。それが、不正利用被害が続く背景にあることは否定できないでしょう。
普及が進まなかった要因としては、認証フローの煩わしさも挙げられます。決済のたびに情報の入力が必要で毎回パスワード認証が求められることから、いわゆる「カゴ落ち」の原因のひとつになっていたともいわれており、ユーザーへの啓蒙が進まなかったのです。
3Dセキュア2.0への移行で、決済時間もカゴ落ち率も改善
そうした問題点を解決したのが、2016年に発表された「3Dセキュア2.0」です。カードユーザーの決済情報などをもとにリスクベースの認証を行う仕組みとしているため、大半は追加認証を行わずに済みます。高リスクと判断されたときだけ、ワンタイムパスワードなどの追加認証を実施する形なのです。
これによって、セキュアでスピーディなオンライン決済が実現しました。Visaによれば、決済処理時間は85%短縮し、カゴ落ち率は70%減少することが期待できるとしています。
「本人認証サービス」のメリット
本人認証サービスの最大のメリットは、“なりすまし”や不正利用を未然に防げることです。これは、ユーザーである顧客だけでなく事業者を守ることにつながります。
まず「安心して買い物ができる・サービスが利用できる」ことのアピールとなります。今後、キャッシュレス化が進めばそこを狙う犯罪も増えてくることが予想されますので、いち早く堅牢な対策をしていることが、店舗やECサイトの信頼性を担保することになるでしょう。
そして、不正利用によって起こるチャージバックのリスクを回避できるのも見逃せません。ユーザーは金銭的な被害を回復できますが、事業者側は損失ばかりを負うことになるからです。チャージバックは、数百万円から数千万円の被害が発生した事業者も報告されており、そのリスクは極めて高いといえます。それが低減される経営的な効果は非常に大きいのではないでしょうか。
「本人認証サービス」のデメリット
最大のデメリットは、認証フローの煩わしさです。前述のように、「3Dセキュア1.0」は毎回パスワード認証が求められるため、どうしても面倒に感じてしまいます。結果、ECサイトでカートに商品を入れたのに離脱してしまう「カゴ落ち」が頻発していました。
しかし、こちらも前述したように、2016年にバージョンアップした「3Dセキュア2.0」では、大幅に認証フローが改善。セキュア&スムーズにカード決済ができるようになったのは、ユーザーにとっても事業者にとっても朗報です。今後普及していけば、近い将来に「本人認証サービス」を利用することのデメリットはほぼなくなる見込みです。
ただし、ユーザーが登録しないと意味がないのはネックではあります。また、IDやパスワードを使いまわしたり、忘れてしまったりといったヒューマンエラーによって不正利用や“なりすまし”を呼び込むおそれがあることは覚えておきましょう。
「クレカレス」「多要素認証」など多様化するセキュリティ対策
「3Dセキュア」はクレジットカード提示を前提とした技術ですが、提示を必要としない「クレカレス」など、本人認証の方式は多様化してきています。
たとえば、NECは2019年にクレジットカードと連動した顔認証決済サービスの実証実験を開始。事前にユーザーの顔画像とクレジットカード情報を登録しておくことで、手ぶらでの決済を可能にしました。さらに2020年3月には、セブン-イレブンの実験店舗で顔と確認用コードの2要素認証の実証実験をスタート。今後は瞳孔の周りの虹彩パターンの認証も組み合わせるなど、多要素認証への対応を進めています。
NEC実証実験のリリース:
https://jpn.nec.com/press/201903/20190318_01.html
https://jpn.nec.com/press/202003/20200313_01.html
複数の認証方法で本人確認をするため、より安全性が担保できるとされる多要素認証については、金融庁が金融機関に対し、多要素認証を義務付ける方針を固めたという報道もありました。キャッシュレス化が進む中で、セキュリティ対策の重要性はますます高まっていくことは間違いないでしょう。
Samuraiでも、キャッシュレス決済サービスと顔認証を連携させたソリューションを開発中です。その他、様々な認証方式にも対応していますので、ぜひお気軽にお問い合わせください。なお、「多要素認証」について、2月中旬に公開予定のコラムでもより詳しく解説する予定です。そちらもぜひチェックしてください。
次の関連コラム:【一覧表あり】多要素認証はなぜ必要?二段階認証・二要素認証との違いは?
前の関連コラム:カードもスマホも必要なし!?キャッシュレス最先端の「顔認証決済」とは
この記事を書いた人
