結論:EMV3Dセキュア(Ver2.0)実装は急ぐ必要はない
アクルの見解としては、EMV3Dセキュア(Ver2.0)実装について、特に不正が多発しクレジットカード会社から指摘を受けている(「不正顕在化加盟店」に登録されている)などない限りは、とりたてて”急ぐ必要はない”と考えています。
ではなぜそう言えるのか?いくつか検討ポイントについてお話をしたいと思います。
1. EMV3Dセキュア(Ver2.0)の実態:まだまだ理想からはほど遠い
2023年3月に、経産省が義務化を発表したEMV3Dセキュア(Ver2.0)は、実はまだ全面的に実現されているわけではありません。この実装については、クレジット加盟店であるEC事業者だけでなく、クレジットカード・イシュアー(発行会社)やアクワイアラー(加盟店管理)、またPSPと言われる決済代行会社に対しても様々な課題が提出されています。
つまり前提として、EMV3Dセキュア(Ver2.0)が現時点で完全な形で運用されているとは言えません。現状は、理想的な運用に向けて動き出したばかりなのです。
2. リスクベース認証の精度向上:まだ始まったばかり
たとえば、EMV3Dセキュア(Ver2.0)の主な特長である「リスクベース認証」は、ユーザーのリスク度合いに応じて認証プロセスを適用するというもので、これにより、3Dセキュア(Ver1.0)の課題であったコンバージョンへの影響が軽減されると期待されています。
しかしながら、この「リスクベース認証」がすべての問題を解決してくれるかというと、今後進化していく前提はあるにせよ、アクルとしては少々否定的な見解を持っています。
現実的には、正規ユーザーの巻き込みやすり抜けが発生しているとの報告もあり、またクレジットカードの大量アタック(クレジットマスターアタック)についても、EMV3Dセキュア(Ver2.0)の防御が突破されるケースが確認されています。
これは、EMV3Dセキュア(Ver2.0)それ自体が万能な解決策というわけではなく、あくまでも“仕組み”であり、「リスクベース認証」の判定精度は、クレジットカード・イシュアー(発行会社)に依存するためです。そして、クレジットカード・イシュアー(発行会社)がこの認証精度向上に取り組むアクションは、今まだ始まったばかりであると理解しています。
経産省のガイドラインでは、この「リスクベース認証」の精度向上を目指す取り組みが、今後の2年弱の猶予期間でクレジットカード・イシュアー(発行会社)に期待される事項の一つとされています。
3. EMV3Dセキュアのアップデート:Ver2.0で終わりではない
経産省のガイドラインでは、EMV3Dセキュアの実装における今後の方向性のみが示され、バージョンアップに伴う運用の方向性や内容についてはまだ具体的には示されていません。
EMV3Dセキュア(ver2.0)のこの「2.0」がまさにバージョンを示しているわけですが、先行するEUにおいては、既にEMV3Dセキュアの最新バージョンである「2.3.1.1」が一部運用を開始しています※。
今後、日本でも当然ながらEMV3Dセキュアのバージョンアップが進行すると考えています。これは、EMV3Dセキュアの実装が「バージョン2.0」で終了することではない、ということです。
※EMVCo公式ウェブサイト参考
https://www.emvco.com/emv-technologies/3-D-secure/
つまり重要なのは、EMV3Dセキュアのバージョンアップに伴い、開発や運用の対応に影響が出る可能性があることです。今後義務化期限までの2年弱の間、EMV3Dセキュアは段階的にバージョンアップが行われ、それに伴い新たな開発や運用対応が必要となると予想されます。
4. EMV3Dセキュア(Ver2.0)の実装タイミングはどうあるべきなのか?
以上主な検討ポイントについてお話をさせていただきました。
EMV3Dセキュア(Ver2.0)は進化途中であり、全ての関係者が要件を満たしたときに初めて理想的な結果が得られるセキュア技術です。それ故、その実装には長期的な視野と柔軟性が必要となります。
アクルでは、EMV3Dセキュア(Ver2.0)の実装タイミングについてはとりたてて急ぐ必要はなく、
期限を見据えた適切なタイミングでの取り組みを推奨しています。
また、カゴ落ちといった懸念からEMV3Dセキュア(Ver2.0)を導入していないものの、不正対策を強化したい・不正注文やアタックに悩んでいるという加盟店さまは一度、弊社までご相談ください。
