不正利用被害が増えるなか、カード大手は国際的な本人認証の新規格を打ち出した。導入期限は2022年10月だが、国内EC(電子商取引)事業者の動きは鈍い。このまま導入が遅れれば、企業存続が危ぶまれる事態になりかねない。
国内EC事業者で、国際的な本人認証サービス規格「EMV-3Dセキュア」への対応が遅れている。国内でクレジットカードの不正利用が後を絶たないなか、特に中小企業が出遅れている。経済産業省は不正利用の拡大を背景にEMV-3Dセキュアの導入原則化も視野に入れており、EC事業者の対応は待ったなしだ。
「今すぐに対応すべきだ」
「EC事業者は今すぐにEMV-3Dセキュアに対応すべきだ。導入が遅れて(不正利用の)事故を起こせば、企業存続が危ぶまれる事態になりかねない」。サイバーセキュリティー企業S&Jの三輪信雄社長はこう警鐘を鳴らす。「万が一事故を起こした際に、規格(EMV-3Dセキュア)に対応していないことが明らかになれば、実際の被害金額以上に企業のレピュテーション(評判)を傷つける事態になり得る」(三輪社長)。
EMV-3Dセキュアとは、米ビザ、米マスターカード、ジェーシービー(JCB)など国際カード会社6社による技術団体EMVCoが規格化している本人認証サービス規格だ。狙いは使いやすさとセキュリティーの向上で、2016年にリリースし、現在EC事業者に対して導入を推奨している。これまでEC業界で使われてきた従来の本人認証サービス「3Dセキュア1.0」に対し、新規格は「3Dセキュア2.0」などとも呼ばれる。
従来の3Dセキュア1.0には、ECサイトからサイト利用者が離脱する「かご落ち」が発生しやすいという課題があった。カード所有者が決済時にカード番号や有効期限のほか、カード会社に事前登録したパスワードを入力することで本人認証をしていたが、カード所有者がパスワードを忘れてしまうと買い物かごに入れた商品を購入できないからだ。
「あるEC事業者が3Dセキュア1.0を導入したケースでは、(導入前と比べて)コンバージョン率(成約率)が2割下がった例もある」。ネット関連企業が参加するセーファーインターネット協会の会員で、EC向けの不正検知サービスを手掛けるかっこの小野瀬まいO-PLUX事業部事業部長はこう明かす。
一方、新規格のEMV-3Dセキュアは従来規格のような入力は必ずしも必須ではない。ユーザーの行動パターンや利用環境を基に認証レベルを変更する「リスクベース認証」を採用しているからだ。
通常はパスワード入力などの手間を省き、「不正のリスクが高い」と判定した場合のみワンタイムパスワードなどによる追加認証を実施する。ビザは「全取引のうち95%が低リスクとして追加認証なしに認証が完了する」としており、課題だったかご落ち率は3Dセキュア1.0と比べて7割改善できるという。
