![日本流通産業新聞オンライン[通信販売]](https://static.online.bci.co.jp/asset/common/img/logo_online.png){kind=logo}
![日本流通産業新聞オンライン[通信販売]](https://static.online.bci.co.jp/asset/common/img/logo_online_sp.png){kind=logo}
【スクデット 関隆進取締役】認証を掛けるのは初回のみ
──新ガイドラインのポイントを聞きたい。
関: 「EC加盟店のシステム及びWebサイトの『脆弱性対策』」が盛り込まれた点と、「EMV3-Dセキュアの導入」について具体的な内容が盛り込まれた点がポイントだ。不正利用対策の指針として、「不正ログイン対策」が盛り込まれたことも大きい。
中でも注目すべきポイントは、「EMV3-DS」の運用方法が示されたことだ。「原則として決済の都度、EMV3-Dセキュアによる認証の実施」と書かれている。これは、基本的にすべての新規のクレジットカード決済の注文について、「EMV3-DS」を通すということだ。
一方で、一部の注文については、「EMV3-DS」を通さなくて済む旨と、その運用方法が示されている。
新ガイドラインには「加盟店がEMV3-Dセキュア以外に講じる不正利用対策の内容や抑止効果に応じて、カード番号の登録時にEMV3-Dセキュアによる認証を行う運用や加盟店のリスク判断によりEMV3-Dセキュアによる認証を行う運用も認められる」とも記載されている。
これは、昨年JCAの会員社向けに示された「EMV3-DS」の運用ガイダンスに示されたのと同じ内容だ。
この前段では、ユーザーがECサイトの初回利用時にクレジットカード番号を登録して、2回目以降も同じカードを使う場合、「EMV3-DS」を通すのは初回だけでよいということが示されている。
中小企業には高いハードル
後段は、不正利用対策の条件を満たしていれば、加盟店がリスクを判断して、どの注文を「EMV3-DS」に通すか判断できるということを意味している。
「EMV3-DS」では、リスクに応じてユーザーに本人認証が表示される。その煩わしさから、一定の「かご落ち」が発生する。かご落ち対策として、後段の「加盟店判断」を採用したい企業は多いだろう。
ただ、不正利用対策の要件のハードルは高い。以下の要件が設けられている。
・「決済前」「決済時」「決済後」全ての場面で網羅的に不正対策を講じる
・自社のアクセス履歴
・購買履歴等を軸にした、属性・行動分析による不正リスク判断を行う
・24時間365日、継続的なセキュリティー対策の実施を可能とするため、専門部署の設置や専任担当者の配置等の組織体制整備を行う
「24時間365日の継続的なセキュリティー対策」は、国際的なセキュリティー基準である「PCI-DSS」と同等の規準であると言える。日本の中小規模のEC加盟店にとって、ハードルは相当高い。一部の大手ECサイトでなければ、要件を達成できないのではないか。
「網羅的な不正対策」には、当社が提供する「Sift(シフト)」のような不正検知ツールを導入する必要がある。ログイン時に不正を検知する機能を持つツールも必要だ。
「加盟店のリスク判断」の要件を満たしているかどうかは、取引している決済代行会社(PSP)やカード会社(アクワイアラー)が判断することになる。
気を付けてほしいのが、「不正検知ツールを導入すれば、『加盟店のリスク判断』の要件を満たすわけではない」ということだ。日本クレジット協会では、「システム監視は『24時間365日』には当たらない」と明らかにしている。
【Riskified Japan ナボン恵子氏】顧客体験維持し売り上げ最大化を
──「EMV3―DS」について、どう向き合うべきか。
ナボン: 改めて認識しなければいけないのは、新ガイドラインが求めているのは、「EMV3-DS」の導入ではなく、あくまで「不正を抑止すること」だということだ。
「EMV3-DS」を通せば、不正利用被害額の負担は、加盟店からカード会社に移ることになる。すると、カード会社はオーソリ(カードの承認)に対して、保守的になるのは当然だ。多くの加盟店が「3Dセキュア」を使いだすのだから、業界全体として、オーソリの保守化傾向は加速する可能性がある。
加盟店のミッションは、売り上げを最大化すること。そのためには、カード会社のオーソリ率の低下は避けなければならない。
となると、当社のような不正検知ベンダーと協力して、「加盟店判断」の基準をクリアする必要があるだろう。網羅的な不正対策を行い、顧客体験を欠くことなく、売り上げの向上を図るべきだ。
