米国におけるカード不正被害金額(非対面取引)
米国の非対面(CNP)取引におけるカード被害損失は、2023年に約95億ドル(約1兆5,000億円)に達しており、これは2022年から8.5%の増加を示しています(※1)。また、米国のカード決済詐欺全体の73%を占めると予測されています。このような高額の不正被害は、電子商取引の増加に伴い発生しており、特にパンデミック以降、急速に増加しています。米国の消費者はデジタル決済や電子商取引を多用しているため、これが不正のリスクをより高めているようです。
FTC(連邦取引委員会)は不正被害増加を受けて、消費者に対する啓発活動や企業への指導を開始しています。また、カード発行会社や加盟店に対しては、EMV3Dセキュアなどの強力な認証技術やセキュリティ対策の導入を促進する必要性に直面しています。しかし、そう簡単にはいかない米国の複雑な背景が見えてきました。
米国におけるEMV3Dセキュアの普及状況
日本国内では非対面によるカード不正被害が500億円を超えている現状もあり、昨年経済産業省よりEMV3Dセキュアの義務化が発表されました。加盟店は2025年3月までにEMV3Dセキュアを実装しなければなりません。
では、米国におけるEMV3Dセキュアの普及状況はどうなっているのでしょうか?実は米国では日本より早く、VisaとMastercardが2020年にEMV-3D Secureの導入を完了しています。しかし、義務化をしたEUなどに比べると、実際の加盟店への普及は遅れていると言われており(2021年後半には、米国の取引の37%がEMV3DSによって保護(※2))、実際その普及率の低さから、不正ユーザーのターゲットになっている現状があります。
米国特有の業界構造と国による規制
米国の決済業界の構造が非常に複雑であることも、EMV3Dセキュアの普及を難しくしています。米国には1万以上の金融機関がクレジットカードを発行しており、多数の加盟店やカードネットワークが存在します。このような複雑な構造が、統一的な不正対策の実施を妨げています。
さらに、米国の公的機関は決済システムを規制する明確な権限を持っていません。EUや他国では、政府や中央銀行が積極的に関与して統一的な不正対策を実施しています。特にEUでは、改正決済サービス指令(PSD2)に基づいて、2019年9月14日から電子決済に対する強力な顧客認証を義務付けました。
今回、日本は国が動いた形になりますが、米国でEMV3Dセキュアの義務化を政府主導で行えるかというと、そう簡単にはいかない事情が透けて見えてきます。
インターチェンジフィー(IRF)との相関性(※3)
米国でEMV3Dセキュアの普及が遅れている理由として、他国と比較して高いインターチェンジフィー(IRF)があると言われています。米国のカード発行会社は高いインターチェンジフィーを受け取っており、不正による損失に対する感度が低い傾向があります。これにより、不正対策への動機が弱くなっているのです。
米国のカード発行会社が受け取る平均的なインターチェンジフィーはクレジットカード取引で取引額の約2%となっています。一方で、EMV3Dセキュアの普及が進むEUやオーストラリアのIRFは、EUで0.3%、オーストラリアで0.8%となっています。
EUやオーストラリアでは、インターチェンジフィーが低く設定されていることで、カード発行会社が不正による損失をより敏感に感じる可能性が高いとされています。これは、インセンティブの理論によるもので、インターチェンジフィーが低いことで、不正防止のためのコストが相対的に高くなるため、カード発行会社は不正を減らすための対策に投資する動機が強くなるという理論的な枠組みに基づいています。
米国は、グローバルで見てもインターチェンジフィーが高いために、カード発行会社の不正対策におけるインセンティブが低いと言われているのです。米国でEMV3Dセキュアの義務化を政府主導で行えるか否かについては、そういった背景も認識しておく必要があります。
米国のカード不正被害状況から見える、日本の現在地
不正対策で後手になっている米国の事例を見ても、日本におけるEMV3Dセキュアの義務化は、ミクロでの是非はともかく、マクロで見た時に正しい方向性であると理解できます。EMV3Dセキュア導入によって不正が完全に防げるわけではありませんが、全体的なセキュリティレベルは向上すると考えられるからです。
また、一般的に日本におけるインターチェンジフィー(IRF)は高いと言われています。それによるカード発行会社の不正対策におけるインセンティブが実際低いかどうかは別として、日本の経済産業省主導でEMV3Dセキュアの義務化が行われることで、インセンティブ理論に基づく普及鈍化を少なくとも強制的に排除することになります(もちろん国内カード発行会社の不正対策への対応モチベーションは受動的であることは否めません)。
しかし、EMV3Dセキュアの義務化が正しい方向だとしても、重要なのはEMV3Dセキュアだけでは不正を100%防げないということを忘れてはいけません。セキュリティガイドライン(5.0版)では「線の考え方」が推奨されています。EMV3Dセキュアだけでなく、時系列において属性行動分析(不正検知システム)など、必要な対策を講じなければ、引き続き不正の標的にされるということを認識しておく必要があります。
不正検知認証システム「ASUKA」について
アクルが提供している不正検知認証システムASUKAは、属性行動分析のみならず、クレジットマスターアタック対策、不正ログイン対策、そして配送先チェックまで広範囲にカバーしています。特に、ASUKAはオーソリゼーションの手前で審査を行い、「カード決済前」に必要な対策を全て実施可能です。
かねてよりアクルでは、「ASUKA+EMV3Dセキュア」の併用を推奨してきました。
是非この機会に、加盟店様自身のセキュリティ対策を見直し、より安全な取引環境を実現しましょう。興味のある方は、是非当社にお問い合わせください。
(参考)
※1:「THEFRAUDPRACTICE(CNP Fraud Losses Represent Nearly Three-Fourths of Total Card Payment Fraud Losses in the US)」
※2:「THE PAYPERS(CNP fraud: the great American 3-D Secure boom starts now)」
※3:「Fumiko Hayashi, Payment Card Fraud Rates in the United States Relative to Other Countries after Migrating to Chip Cards」