――日本のキャッシュレス決済の現状とは?
キャッシュレス決済は着実に浸透しており、都心部で生活する限りは財布に現金がなくても1週間くらいは気にせず生活できてしまいます。財布を忘れていても、失くしていてもしばらく気が付かないほどです。
経済産業省の発表によると、
- 2023年のキャッシュレス決済比率は約40%
- キャッシュレス決済の中でもクレジットカードは約83%
ということで、クレジットカード決済がキャッシュレス化を牽引する主要な決済手段と言っても過言ではありません。
政府が推進する「キャッシュレス・ビジョン」、スマートフォンの台頭による利便性の高い新サービスの拡大・進化が背景の一つであり、コロナ禍をきっかけにオンラインショッピングの需要が一気に高まったことも、キャッシュレス決済が日常生活のあらゆる場面で浸透する後押しとなりました。
一方で、非対面決済が増えるにつれて、悪意のある第三者による不正利用の被害・リスクも高まっていることが実態であり、関係者が協力して安心・安全な決済環境の整備を進めることが求められています。
――EC事業者に求めらる不正対策とは?
2016-17年頃と記憶していますが、不正利用対策としてこれまではEC事業者が「カード情報の非保持化」を進めてきました。これは、ECカード加盟店のサーバー内にカード情報を残さない環境とすることで、万が一システムが不正アクセスを受けてもカード情報の大量流出を防ぐというものです。
こうした取り組みに反し、近年の不正利用は、ECサイトそのものの脆弱性や、カード情報・本人認証情報を狙ったフィッシング詐欺、不正ログインなど、不正の手口が高度化・巧妙化しています。
そのため、EC事業者にはECに限らず「サービス全体のセキュリティ強化」が求められており、具体的には脆弱性診断の実施や、不正ログイン対策、本人認証プロセスの見直しがこれに該当します。
他にも、顧客に対する注意喚起や、不正検知する外部サービス・システムを導入することで、被害の未然防止につなげることができます。
――EMV 3-Dセキュアの義務化とは?
EMV 3-Dセキュアは、クレジットカードによるオンライン決済利用時に、カード会員本人であることを確認するための仕組みのことを言います。
カード番号、有効期限、セキュリティコードの入力だけでなく、ワンタイムパスワードによる本人認証、スマートフォンアプリを活用した本人認証など、追加の確認ステップを設けることで、なりすましによる不正利用を防ぎます。
日本では2023年時点で約540億円であったクレジットカード不正被害の減少を目的に、2025年3月末までに原則として全てのオンライン決済においてEMV 3-Dセキュアの導入が義務化されました。
これは、ECカード加盟店・アクワイアラ・イシュアー・カード会員の四者が協力して、より安全な決済環境を整えるための大きな変化でもあると言えます。
――3-Dセキュア2.0・EMV 3-Dセキュアとは?
3-Dセキュアとは、元々はVisaが開発した本人認証のプロトコルであり、MastercardやJCBといったカードブランドごとに、提供有無・規格がバラバラで展開されていました。
しかしながら、オンライン決済の増加・スマートフォンの普及に伴い、各ブランドごと・国際的にも統一的な規格・ルールに沿った本人認証の仕組みの必要性がありました。このような動きを受けて、ヨーロッパで設立された「EMVco」という団体が主導し、新たなバージョンの3-Dセキュアの検討がスタートしました。
この検討が始まった3-Dセキュアのことを、新たなバージョンであるということで「3-Dセキュア2.0」と呼ばれていました。一方で、この「EMVco」という団体が規格やルールの整備を実施し、展開を開始した3-Dセキュアの名称が「EMV 3-Dセキュア」ということになります。
従って、「3-Dセキュア2.0」は展開前に概念的に新しいバージョンの3-Dセキュアを指した呼び方であり、規格が整備されて以降は「EMV 3-Dセキュア」という正式名称で呼ばれているものである、として理解すればよいと言えます。どちらも、実質的には同じものを指します。
――最新の不正利用の被害(番号盗用)状況とは?
いよいよ2025年3月末をもって、原則として全ての決済取引でEMV 3-Dセキュアによる本人認証が義務化されました。
しかしここで注視すべきことは、迫りくる期日に向けてEMV 3-Dセキュアの普及が進む一方、不正利用の被害は依然として深刻化している点です。
日本クレジット協会の最新データによれば、2025年1月〜3月の「番号盗用被害額」は182.9億円に達し、四半期単位で見ると過去最高水準にまで拡大しています。
2024年の後半以降、四半期ごとに被害額が増加している状況が続いています。
当社のソリューションをご利用いただいているECカード加盟店各社では、2024年6月末時点で50%以上の加盟店でEMV 3-Dセキュアを導入済であり、義務化期日を控えた2025年1-3月時点ではさらに高い比率でEMV 3-Dセキュアが導入されていましたが、業界全体としての被害金額は継続的に増加している状況です。
あるカード業界関係者の方は「中規模以上のECカード加盟店では、EMV 3-Dセキュア導入だけでは不正対策として足りないことが数字として見えてきた」ともコメントされていました。
背景には、フィッシング詐欺の巧妙化や、ECサイトの脆弱性を突いたカード情報の流出、さらには本人認証情報までも不正に取得する犯罪手口の高度化があります。
一部ニュースなどでも取り上げられたようなスマートフォンによる非接触決済、チャージ型の対面決済など、通信状況を意図的にコントロールすることで不正取引が実行される手口なども昨今では残念ながら話題になってしまいました。
――EC事業者が今後検討すべきことは?
EMV 3-Dセキュアによる本人認証の義務化は、確かに不正利用対策として重要な施策です。しかし、実際の被害状況を見ると、本人認証だけで根本的な問題解決には至らないことが明らかになっています。犯罪者の手口は日々進化しており、本人認証をすり抜ける新たな不正が次々と発生しているのが現実です。
そのため、EC事業者各社には、単に制度対応にとどまらず、自社の業態や顧客層に応じた「独自の不正対策」を積極的に検討・導入する姿勢が求められます。
また、ECサイト利用者側が、まだ3-Dセキュアの本人認証に慣れていない実態も見えてきています。カード決済時に入力する情報に誤りがあることによる離脱が顕著になりつつあります。
最終的には、セキュリティと利便性をバランスさせる取り組みが求められる、ということです。
――参考になるEMV 3-Dセキュアの運用事例は?
当社アクルのWeb上に掲載している事例は是非参考として欲しい事例の一つです。
「PAL CLOSET」では、当社アクルが提供するASUKA、およびASUKA-3DSというサービス利用を通じて、前述の本人認証手続きによる離脱という課題を解消し、この経緯・ストーリーを紹介しています。
実際に、3月末にEMV 3-Dセキュアを導入し運用を開始して以降「目に見える形で売上が減少し、理由を調査している」というご相談をいただいております。
事例なども踏まえて参考情報をお伝えすることも可能ですので、ご興味ある方は是非お問い合わせフォームからご相談ください。