3-Dセキュアによる本人認証の結果としてattempt区分という結果コードが返却されます。
今回はこのattemptの意味や発生する背景についてを解説してゆきます。
attemptとは
「attempt」の意味は、「試み」や「挑戦」を指します。何かしらの目的を達成するための試み、という文脈において使われます。
つまり、オンライン上でのクレジットカード決済における「attempt」とは、3-Dセキュアの「認証の試み」や「認証の試行」という意味を持ちます。
3-Dセキュアによる本人認証を実施しようとしたが、何らかの理由により「試み」までしか至らなかったということです。
具体的に、どういうケースにおいて本人認証の結果としてこの「attempt」が返ってくるのでしょうか。
attemptの発生事由
本人認証の試行を実行したものの、本人認証の完了まで至っていない状態がどういった理由で生じるのか、一例にすぎませんが以下のような事例があります。
・カード会社(イシュアー)が3-Dセキュアに準拠していない
クレジットカードの発行会社側が、3-Dセキュアに対応したシステムを準備していないケースです。日本国内においては、セキュリティガイドラインにおいても、発行会社側が3-Dセキュアに対応した仕組みを整えることを義務付けています。
・該当のカードホルダーが利用登録していない
3-Dセキュア本人認証を求めたものの、カードホルダーがご自身での利用登録が未完了であれば、本人認証は完了されません。attemptとして処理されます。
こちらもセキュリティガイドラインを通じて、各カード発行会社が、オンライン決済を利用するカードホルダーに対しては、80%程度の水準にまで、利用登録率を引き上げることが義務付けられており、時間とともに3-Dセキュア未登録のカードホルダーの比率は減少していくことが想定されます。
・システムや通信、ネットワークに起因するもの
クレジットカード会社(発行会社)のシステムメンテナンスや障害、加盟店の運営するECシステムとカード発行会社を接続するゲートウェイ、ネットワークのトラブルやメンテナンスによって、本人認証が完了されなかった場合です。
ステータス区分と推奨される対応
このように、さまざまな要因で3-Dセキュアによる本人認証をトライしたものの、完了しなかった・できなかった、というケースが発生します。
3-Dセキュアの本人認証取引としてリクエストすると、一般的にはオーソリ処理へと進める前に以下のような本人認証結果コードが返されます。
<本人認証リクエストの結果>
- 本人認証成功
- 本人認証処理のプロセス実行済「Attempts」(ただし本人認証の完了はしていない)
- 技術的な問題などにより本人認証が完了されなかった
- カードホルダー本人認証のためチャレンジが必要
- 本人認証の拒否
3-Dセキュアの本人認証の結果、これらのコードが返ってきた場合、ライアビリティシフト(不正利用発生時の責任の移動)を通じて、本人認証成功時(1)はもちろんのこと、(2)のプロセス実行済、(3)の技術的な問題などにより本人認証が完了されなかった場合においても、イシュアーから返却された値をセットしオーソリ処理に進むことが推奨とされてます。
各結果に対するライアビリティシフトの適用は確認を
しかし、あくまで推奨について記載されているに過ぎず、これらのケースにおいて不正発生時のライアビリティ(負担の責務)が加盟店側に残存するのか、イシュアー側にシフトするのか、この点については契約しているアクワイアラとの整理、決済システムがどのように処理を実行することになるか。
これら2点の確認が非常に重要です。
例えばですが、「カードホルダーが3DS本人認証に未登録」だったケースでは、attempt区分が返却され、不正利用発生時の債務の責任はイシュアーにシフトすることがブランド上のルールで規定されています。
しかし、決済システムによっては、本来イシュアーの責務になるはずのattempt区分の結果コードが返されたとしても、attempt取引として決済処理を進めずに、システム上の処理により3Dセキュア本人認証未実施として与信処理を実行してしまうサービスも存在します。
このような認識なく、EMV 3-Dセキュアを導入しているにもかかわらずなぜかチャージバックが散見される、という悩みを抱えるカード加盟店様がいらっしゃるのも事実です。(重ねて、3-Dセキュアにより不正利用を防止できておらず、不正犯に狙われているとも換言できます)
非常に細かい点ではありますが、本質的に不正利用を低減させるため、チャージバックによる加盟店側での経済的損失を回避するためにも、EMV 3-Dセキュアを検討・導入する上では確認が必要です。
