ビザ・ワールドワイド

安全性と利便性を両立した「3-Dセキュア2.0」
リスクの高い取引のみ承認を要求

近年、クレジットカードは、IC化などによって対面販売における不正使用は減少しているものの、ECなど非対面販売においては依然として不正使用が後を絶たないのが現状だ。この対策として、Visaでは1999年に「3-Dセキュア（3-D Secure）」のプロトコルを策定し、2002年から他のブランドにライセンス提供してきた。カード業界の認証強化策として推奨されてきたこの「3-Dセキュア」のドラフト仕様書をもとに、このたびEMVCoがver2.0を開発。2018年より日本のイシュア（カード発行会社）、加盟店への導入を進めていくこととなった。

「3-Dセキュア」は、決済時に、クレジットカード番号や有効期限に加えて、あらかじめイシュアに登録したパスワードなどの情報を用いて追加認証（本人確認）を行うことにより、安全性を確保する仕組み。これまでVisa加盟店の約1割が導入していたが、より多くの導入を図るため、「3-Dセキュア2.0」ではセキュリティと利便性を両立させるいくつかの改善を施した。

その1つは、全件認証が基本だった1.0と異なり、2.0ではイシュア側でリスク・ベース認証を利用して、EC加盟店にとってリスクの高い取引のみに対して追加認証を要求する仕組みにしたこと。追加認証のステップが入ることで20～30％の販売機会ロスが発生するとも言われ、これが加盟店にとって導入のハードルを高くしていたが、2.0では認証が必要となるケースは全体の5～10％にとどまる見込み。ほとんどのケースでは顧客体験を妨げることがないと見られている。

また、追加認証の方式は、ワンタイム・パスワードなどの動的パスワードを推奨。これにより、安全性がより高まると同時に、ユーザーがパスワードを覚えていなかったがために途中離脱してしまうといった事態も避けられる。

今回の2.0の仕様策定を、ICカードのEMV規格の発行機関であるEMVCoが担い、仕様の統一化が図られたことも、加盟店の導入ハードルを下げることにつながると期待されている。

ビザ・ワールドワイド・ジャパンリスクマネージメントチーフリスクオフィサーのジョン・クロスリー氏は、「非対面でのクレジットカード不正使用が増えていることは厳然たる事実です。『3-Dセキュア2.0』は、加盟店にとっても、イシュアにとっても、必要な仕組みだと考えます」と語り、1.0から2.0へのスムーズな切り替え、および新規導入を強く呼び掛けている。