この新しい3-Dセキュア2.0では、リスクベース認証という方式を採用することにより、不正利用のリスクのあるカードホルダーに対してのみ、追加認証を求める形であることが特徴です。(他にもモバイル向けのSDK提供などの特徴もありますが)
そのため、これまでのバージョン1と呼ばれる3-Dセキュアでは、ユーザーのコンバージョンへの影響を懸念し、導入を断念してきたカード加盟店から大きな期待を寄せられているようです。
しかし本質的な課題は3-Dセキュアでは解決されない可能性も往々にして存在します。
パスワードもセットで漏洩してしまう3-Dセキュア
クレジットカードの不正利用においても、この3-Dセキュアのパスワードも正しいものを入力されてしまったものが、不正全体の2割近く存在した、と言う話も耳にしたことがあります。
フィッシングなどの詐欺により、例えば生月日などの個人情報、パスワード、暗証番号、PINナンバーなど、サイトユーザーが Web に登録する可能性のある情報は全て抜き取られてしまっている実態もあります。
カード会社や銀行、大手ECサイトの本物と見分けがつかない偽サイトを作ることで、場合により秘密の質問、例えば「小学校の先生の名前」「初めて行った海外の都市」と言った、一見すると本人しか知りえない情報も、不正利用者に搾取されてしまいかねません。
そのような中、3-Dセキュア2.0の利用により、不正利用が相対的に減ることは期待されるものの、カード加盟店側が3-Dセキュアの実装さえすれば、他の対策は何もしなくていい、ということではなさそうです。
どういうことか、詳細を見ていきましょう。
不正利用者の訪問は変わらない
3-Dセキュアを導入していたとしても、チャージバックとして債権買戻請求は加盟店側に連絡は来ないものの、不正利用は発生しうる、というのがことの本質です。
被害を負担するのが誰になるのか、ライアビリティ(責務の所在)の移動にしか過ぎない、という意見もあります。
結果的に、3-Dセキュアを導入していても特定のカード加盟店において不正利用・被害が継続的に発生するようであれば、アクワイアラーから不正対策の実施を求められてしまうことは、バージョン1・2であれ変わりません。
3-Dセキュア2.0は、 オンライン決済から不正利用・チャージバックをなくしてくれる夢のシステムではなく、旧バージョンのものよりはユーザーフレンドリーになった認証システムにすぎず、カード不正により不正な利益を狙う犯罪者が一掃されない限り、カード加盟店側が不正利用の抑止義務を持つことには大きくは変わらない、と考えています。
3-Dセキュアのジレンマ
そして、不正利用の被害を誰が負担するのか以上に大きな問題は、不正が多いECサイトで買い物を進め、最後の決済ページまで辿り着いたとしても、ユーザーが決済をできなくなってしまう、という事象です。
不正利用が多い加盟店の場合、イシュアー(カード発行会社)側の判断により、カード取引のオーソリリクエストの承認率が著しく下がってしまうことがあります。
イシュアー側でも、不正検知システムを積極的に導入し、不審なオーソリリクエストに対しては厳しく拒否するようになってしまいます。
*不正顕在化加盟店の認定とはまた異なる話です
このような事態にまで発展してしまうと、最終的に困るのは自社サイトの商品を選んでくれたお客様になり、問い合わせを受けることになるカード加盟店そのものなのです。
本質的なクレジットカードの不正対策の必要性をしっかり理解しセキュリティ対策を講じていくことが重要です。
<無料> – 国内外のチャージバック関連レポート
期間限定でチャージバック関連レポートを無料でご提供しています。
日本・欧米諸国のチャージバックの実態、日本国内におけるクレジットカード不正利用の被害・トレンドやその対応策についてまとめたものです。
以下のバナーをクリックし、ダウンロードページよりご確認ください。
*本資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
<PR> – アクルの不正検知・認証システムサービス
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は以下のページをご確認ください。