はじめに
2023年3月15日に経産省から、EMV3Dセキュア(Ver2.0)の義務化が告知されました。これにより、クレジットカードを取り扱うEC事業者は、2025年3月までにEMV3Dセキュア(Ver2.0)の導入が求められています。
当社アクルにもEMV3Dセキュア(Ver2.0)についてのお問い合わせが増加しました。ところが、聞くとその期待値の高さに驚かされます。中には「不正検知システムはもういらない」といったお声も聞かれます。
しかし本当にそう言い切ることはできるでしょうか?また最適な不正対策スキームとはどのようなものでしょうか?
EMV3Dセキュア(Ver2.0)の高期待値に潜む背景とは
2023年3月に、経産省が義務化を発表したEMV3Dセキュア(Ver2.0)の前身である、3Dセキュア(Ver1.0)については致命的な課題がありました。それはコンバージョンへの影響です。「認証画面が唐突に現れる」、「記憶した固定のパスワードを入力する必要がある」などユーザー体験を損なわせる要因が存在しました。
実際このような理由から3Dセキュア(Ver1.0)の導入に足踏みされる加盟店が多かったのは事実です。
しかし、それが今回登場するEMV3Dセキュア(Ver2.0)では大きく改善されていると言われています。「リスクベース認証」は全てのユーザーへ発動されるのではなく、リスクの高いユーザーへのみ認証画面が出る(チャレンジ認証)。またその都度発番されるワンタイムパスワードによって、記憶しておく必要もなく、離脱への影響も軽減されるというものです。
EMV3Dセキュア(Ver2.0)の現実
これだけ聞くと、なんて素晴らしいものが出てきたと賞賛されるのも無理はありません。加えて、EMV3Dセキュア(Ver2.0)はチャージバックも発生せず、裏で発生した不正被害は、クレジットカード発行会社が負担してくれる。完璧ではないかと。
しかし本当にそうでしょうか?実際にEMV3Dセキュア(Ver2.0)を導入した加盟店からは、真正ユーザーの巻き込みが増えた、不正が増えたようだ、といった懸念の声も一部挙がっています。
何故市場での期待値と、いわばほど遠い事象が発生しているのか?それは不正検知システムとの比較を通じて、隠された本質的な課題を理解することで明らかになります。
EMV3Dセキュア(Ver2.0)と不正検知システムの違い
たとえば期待値の高い「リスクベース認証」について考察してみます。
不正検知システムの特徴は、いわば加盟店ごとにデザインできるというものです。不正を検知する上でその「ルール設定」が大事になりますが、加盟店ごとに一つとして同じルール設定はありません。
それは何故かといえば、加盟店によって扱っている商材も違えば、セールの時期、また転売ヤーを受け入れている、いない、など様々な要因がそれも時系列で変化していきます。当然アタックをしかけてくる敵の種類も違うわけです。
当社不正検知認証システム「ASUKA」では、上記背景もあり、その加盟店にあった個別のルール設定を行い、定期的にチューニングを施していきます。
一方でEMV3Dセキュア(Ver2.0)はどうでしょうか?EMV3Dセキュア(Ver2.0)という魔法の箱が、勝手にリスクを振り分けてくれるわけではありません。
EMV3Dセキュア(Ver2.0)はあくまでも”仕組み”であり、そのルール設定を主導するのは、各「クレジットカード発行会社(イシュア)」になります。
たとえば大手のクレジットカード発行会社(イシュア)になれば、数万社、数十万社のカード加盟店からデータが上がってくるわけです。その数万社、数十万社ごとに、ユニークでその加盟店に見合ったルール設定が、しかも時系列で敵の動きに柔軟に対応したルール設定ができるでしょうか?
答えはノーです。
つまり、不正検知システムの特徴である個別加盟店ごとに、ユニークにデザインされたルール設定の運用は、「リスクベース認証」においてはかなりハードルが高いものと言えます。
実際にEMV3Dセキュア(Ver2.0)を実装したものの、離脱や不正の増加を経験している加盟店が存在することは、つまりは上記背景もその一因であるとアクルでは考えています。
EMV3Dセキュア(Ver2.0)の期待値コントロールとベストなスキームについて
アクルでは、EMV3Dセキュア(Ver2.0)の義務化は、全体的なセキュリティの向上にも繋がり賛成の立場を取っています。
しかし、市場に蔓延するEMV3Dセキュア(Ver2.0)の期待値の高さについては、その高さ故の危険性も鑑み、アクルでは昨年来より警鐘を鳴らしてきました。
特に不正被害の多い加盟店にとっては、それだけ導入すれば全てが丸く収まるというわけではありません。EMV3Dセキュア(Ver2.0)についての非現実的な期待値は抑制されるべきです。
重要なのは、EMV3Dセキュア(Ver2.0)と不正検知システムの違いを正しく理解し、またそこから見えてくる課題や、最善の不正対策スキームを検討していくことです。
アクルでは、EMV3Dセキュア(Ver2.0)と不正検知システムの併用を推奨しています。EMV3Dセキュア(Ver2.0)では根本的な解決にはなりません。EMV3Dセキュア(Ver2.0)との相性が合わず、すり抜けがあり裏で不正が多発した場合は、不正顕在化加盟店への登録や、オーソリ承認率の低下など、最終的に加盟店に戻ってくるからです。
アクルでは、不正検知システムと併用することで、そのリスクを軽減することが可能であると考えています。
EMV3Dセキュア(Ver2.0)の義務化を見据え、不正対策について改めて検討したいなどありましたら、アクルまでお気軽にお問い合わせください。専門のスタッフが最適な不正対策スキームの提案、またEMV3Dセキュア(Ver2.0)と不正検知システムの併用によるリスク軽減の方法など、詳しくご説明いたします。
