執筆者について 三田和弘は、日本発の国際ブランドにて約10年間プロダクト企画・開発に従事した後、現在はAdyen Japanで日本のカード取引の各種ローカル対応をリード。また2018年より、ISO (International Organization for Standard) の金融サービスにおける日本の国際エキスパートとしてカード電文の最新化(ISO20022)協議にも従事中。鉄道旅行、温泉、そして決済をこよなく愛する50代。
現在の状況
最近オンラインショッピングをしていると、クレジットカード会社から、「本人登録をお願いします」というメールが来ませんか?
そしてクレジットカード会社のサイトにログインすると、本人認証サービスなるものに携帯電話番号を登録してください、などの案内が。また、オンラインショッピングはこれからはSMS(スマホの通知)でワンタイムパスワードが送られてきて安全に、といったお知らせも…。
実はこれ、日本全体、官民あげてカード決済のセキュリティを強化しましょうという取り組みなのです。
この取り組みの背景にあるのが、クレジットカード決済の不正金額の増加です。以下のグラフ(出典:日本クレジット協会「クレジットカード不正利用被害額の発生状況」)が示すように、2023年の日本での不正金額は540億円9000万円を記録しました。クレジットカード決済額は2014年から2023年までの10年間で約2.3倍になりましたが、不正取引額は113億円から541億円と、なんと4.75倍に。クレジットカード決済額の伸び率以上に不正取引額が伸びてしまっているのです。
この数字は、他国と比べてどうなのでしょうか?
2024年4月に経済産業省が開催した第1回 クレジットカード・セキュリティ官民対策会議で提示された調査資料には、各国の不正金額や不正率が掲載されています。そこから英国、オーストラリア、日本の数値を抜き出して、比較してみましょう。(出典:日本クレジット協会「クレジットカード非対面取引のキュリティ向上に向けた取り組み」)
英国、オーストラリアでは、不正金額そのものは日本より大きいものの、金額の推移は横這いもしくは若干減っており、EC市場規模の拡大に伴い不正率は相対的に低下しています。しかし日本では、EC市場規模の拡大以上に不正金額が増加し、不正金額も不正率も右肩上がりという状況です。 また別の資料によると、欧州では2021年1月から、欧州の決済サービス指令(PSD2)の施行をはじめ、不正取引に対して厳しい姿勢で臨んでいるため、2018年に0.036%だった不正率は2021年には0.028%に。あるクレジットカード国際ブランドの情報でも、2022年の不正率は2021年に比べてさらに低下したとのことです。
クレジットカード・セキュリティガイドライン
日本もこの状況に対して本格的に取り組みを始めています。 「クレジットカード・セキュリティガイドライン」(以下、「セキュリティガイドライン」)という名前を聞かれたことがある方もいると思います。これはクレジットカード取引の関係事業者ごとに対応しなければならないセキュリティ対策が、以下の3本柱を中心にまとめられています。
クレジットカード情報保護対策
不正利用対策
周知・啓蒙
それぞれの柱について、少し詳しく見ていきます。
1. クレジットカード情報保護対策 特にECサイトの脆弱性によるカード番号の漏洩に対する懸念から、PCI DSS遵守やカード情報の非保持といったこれまでの対応策について継続的に実施するように求めています。
2. 不正利用対策 欧州のPSD2を参考に、非常に強い決断を各事業者に示しています。2025年4月から、一部取引を除くEC取引に対して、EMV 3Dセキュア(Visa、JCB、Mastercardなどの国際ブランドが提供する、ECサイトでのお買い物時に提示したクレジットカードの購入者がカード名義人本人であるという認証の仕組み)を原則必須化とします。その他、対面加盟店での暗証番号入力をスキップする決済端末の機能の廃止や、不正発生率や取扱商材のリスク度合いに応じたEC加盟店が実施すべき対策なども含まれています。
3. 周知・啓蒙 「より安全安心なオンラインショッピングのために、本人認証サービスへ登録を!」という統一メッセージを掲げて、本人認証サービスへの登録を推進しています。本ブログ冒頭のクレジットカード会社からのメールは、まさにこの本人認証サービスへの登録推進のためのものなのです。
EMV 3Dセキュア
前述のEMV 3Dセキュアについて、ここで少し振り返ってみましょう。
EMV 3Dセキュアとは、ECサイトでの商品・サービスの購入者がカード名義人本人であるかどうかを確認するためのものです。EMV 3Dセキュアからはリスクベース認証という考え方が始まり、加盟店・PSP(決済代行会社)等から送られてくる様々な情報からイシュアー(カード発行会社)がリスクの高中低を踏まえて、本人であるかどうかを判定します。
例えば、EC加盟店(もしくは加盟店の決済を支援しているPSPなど)からイシュアーに対して、購入者のカードにある情報以外の情報(名前のみならず住所や電話番号、購入時に利用された端末(PC、スマホ)の情報や端末の接続IPアドレスなど)を送ります。それらを元に、イシュアーは既に保持している情報と合わせて、「この購入者は本人に間違いない」、つまりリスク低と判断した場合には、パスワード入力などが求められず、通常の購入フローでショッピングができます(これを「フリクションレスフロー」と呼びます)。
しかし各種情報からイシュアーが「本人かどうか分からない」、つまりリスク中と判定した場合、「チャレンジフロー」に入ります。チャレンジとは、携帯電話/スマホのSMS等を利用して購入者にワンタイムパスワード(以下、OTP)を送り、そのOTPをパスワード入力画面に入れさせて、購入者=カード名義人本人であることを確認することです。チャレンジフローの結果、購入者がカード名義人本人の利用であるとイシュアーが確認できた場合、イシュアーは加盟店やPSPに本人の取引であると通知し、購入が続行します。
現在日本の各イシュアーは、このOTPを送ることができるように、カード会員の携帯電話番号をクレジットカード会社のサイトに登録させようとしてるのです(この記事の冒頭に書いた通りです)。
3Dセキュアの過去のバージョンではこの本人認証のフローで必ず固定パスワードを入れさせていたため、購入者が決済時にパスワードが分からず買い物を諦めてしまう「カゴ落ち」が多く発生したり、不正に入手したパスワードで本人認証を突破されてしまうケースが多くありました。このため、今回、業界全体でEMV 3DセキュアやOTPの導入を推進することで、フリクションレスやチャレンジによる本人認証が行える環境を整備し、カゴ落ちや不正を減らすことも狙っています。
なお、先に挙げた欧州やオーストラリアは、このEMV 3Dセキュアによる本人認証を必須化もしくは不正が多い場合に必須化にしたため、不正率が下がってきたと考えられています。
これまで日本ではOTP環境が整っていなかったこともあり、EMV 3Dセキュアがうまく機能していなかったように思います。しかし、2025年4月からのEMV 3Dセキュア義務化に向けて業界全体で取り組んでおり、日本も不正減少に向けて大きく動き出しています。
欧州発のアクワイアラーであるAdyenは、日本の規制当局の方針に従いつつ、欧州やオーストラリアでの知見を生かし、日本市場により良い決済環境を提供できるよう準備しています。 Adyenの日本でのEMV 3Dセキュアおよびそれ以外のセキュリティガイドラインへの対応方針・対応内容については、こちらの記事をご覧ください。
私はAdyenのプライバシーポリシーを確認した上で、それに基づき私の個人情報が使用されることに同意します。