ヨーロッパでは、クレジットカードを発行する企業(主に銀行)に対して、Strong Customer Authentication(以下、SCA)と呼ばれる「強固な本人認証」が義務化されました。しかし、SCAによる本人認証を決済手続きに組み込むことで、利用者の作業が増え、煩雑さゆえに離脱が増加する可能性があることが課題とされていました。この課題は日本でも同様に議論されています。
先行して、ヨーロッパではこうした課題に対し、一定の条件下においてSCAによる本人認証を免除する事例が出てきています。
どのような事例があるか、詳細を見ていきましょう。
低リスクの取引
決済システムによるリスク分析に基づき、個々の取引ごとに、本人認証免除をリクエストすることが可能である、という規定があります。
ただし、この免除規定を利用し、本人認証の免除がカード発行会社に認められるためには、不正利用の比率が基準値を下回ることが条件とされています。より大きな決済金額での免除を求めるには、より厳しい基準値を下回ることが求められます。
ヨーロッパにおいては、比較的多くの発行会社(銀行)に許容されている方式の一つです。
€30以下の取引
€30以下の取引においても、本人認証の免除をリクエストすることができます。日本円に換算すると約4200円です。
ただし、€30以下の取引の全ての取引で免除が認められるわけではありません。一定回数の免除が実施された場合や、免除の累計金額が基準値を超えた場合、カード発行会社の判断次第では、改めて本人認証を必要としているようです。
カード発行会社は、免除の回数や累計金額を管理するためのシステム開発が必要になるものの、こうした機能が提供されれば、EMV 3-Dセキュアによるセキュリティと利便性が有効性ある形でバランスされると言えそうです。
定額のサブスクリプション
月額のサービス利用料が課金される度に本人認証を実施する処理フローは現実的ではありません。このため、利用者が初回の申し込みを実施する際には本人認証が求められるものの、次回以降の課金処理では本人認証が免除される場合があります。
ただし、「場合がある」というのは、発行会社が認めればという条件があるためで、必ずしも免除が認められるわけではありません。
加盟店トリガーの取引
定額ではなく、サービスの利用量に応じて毎月の課金額が変動するサブスクリプションなどでは、加盟店が課金金額を管理し、あらかじめ登録されたクレジットカードに対して課金されます。電気やガス、水道などの生活インフラの費用や、利用時間やオプション利用の有無に応じて課金金額が変動するレンタカーの費用などがその一例です。
課金されるたびに本人認証を必要とすると、毎月月初にカードホルダーが本人認証作業で忙しくなってしまいますし、本人認証手続きが漏れてしまうと、支払遅延と見なされ、電気やガスが止まってしまうなどの問題が生じます。
このような、課金処理の際にカードホルダーの手続きを必要としない決済のことを、加盟店トリガーでの取引とカテゴライズされています(Merchant-Initiated Transaction、略称MIT)。
加盟店トリガーでの取引においても、本人認証が免除される場合がありますが、必ずしも免除が認められるわけではなく、カード発行会社の判断次第となります。
加盟店がすべきこととは
これらの他にも、法人取引の場合など、カード発行会社が認めた場合に免除されることもありますが、許容するか否かの判断はあくまで発行会社に委ねられます。
加盟店や決済サービスプロバイダー(PSP)が免除リクエストを送信しても、カード発行会社に認められなければ、本人認証が必要になります。この時、カード発行会社が判断基準とするのは、該当の加盟店における過去の不正発生状況です。
つまり、利便性の高いカード決済手続きを提供したければ、加盟店としても自主的な不正対策が必要になるわけです。
別の側面の課題として、3-Dセキュアの導入は、加盟店での不正対策の難易度を高めてしまう点が挙げられます。本人認証やライアビリティをカード発行会社側に委ねることで、加盟店サイドではどの取引が不正だったか、認知する術をなくしてしまうためです。
本人認証やリスク判定の仕組みを構築するカード発行会社だけでなく、カード加盟店であるEC事業者、両方のセキュリティ水準を高めることが、日本におけるカード不正利用の低減に向けて重要な鍵となりそうです。
ソリューションの展開も期待
このように、ヨーロッパではEMV 3-Dセキュアの課題、とりわけカードホルダーの利便性・コンバージョン影響が議論されて来ましたが、同時にシステムや規定などソリューションも順次展開されてきました。
日本においても同様に、課題の解消に向けた新たなソリューションの提供が予想されます。カード業界としては、カード加盟店各社にEMV3-Dセキュアの導入を推進を目指す潮流がありますが、もう少し各種ソリューションの提供状況など様子を見ても良いのかもしれません。
引き続き、ECを運営されているカード加盟店のみなさんに有益な情報があれば、
順次ご紹介していきます。
*上記資料のダウンロードは予告なく終了となる場合があります。ご了承ください。
当社ではカード加盟店向けの不正検知・認証システムサービスを展開しています。
サービス詳細・導入事例は上記のページをご確認ください。