カード不正利用が“見えなくなる”
3Dセキュアの課題というと、コンバージョン・カゴ落ちへの影響が一番目立つテーマですが、今回は”本質的な不正対策”という観点からの課題に触れてみたいと思います。
※EMV3Dセキュア(3Dセキュア2.0)にバージョンアップになったことによってコンバージョンへの影響は軽減されたと言われているのですが、実はその影響はまだ解消されていません。3Dセキュアが義務化されているEUにおいては3Dセキュアによるカゴ落ちが20%以上発生しているケースもあり、日本においても同様の課題はあります。
不正対策における3Dセキュアの一番の課題は、導入した加盟店側が“不正利用・被害の実態を認知できない”点にあると考えています。
3Dセキュア導入加盟店ではチャージバックリスクが少なくなるため、実際に不正や被害が発生していても、基本的にアクワイアラー(決済代行会社やカード会社)から加盟店側への通知はほとんどありません。
3Dセキュア導入加盟店では、不正利用の発生状況に関わらず、3Dセキュア以外の不正対策はあまり実行的に行われていないケースは多く、ある日突然、アクワイアラー(もしくは決済代行会社)から加盟店に対し、不正利用が非常に多くなっていること、是正措置としての不正対策の要請連絡が入ります。「不正顕在化加盟店として認定されました。何かしら対策をして下さい。」といった主旨の連絡です。
しかし、加盟店側ではどのカード取引が不正利用なのか、見当もつきません。是正措置として不正対策を検討するものの、敵の姿が見えてない中、対策を講じることは非常に難易度が高いタスクになります。
敵が見えない中、自主的な努力で対策を講じますが、実質的な不正利用の被害が減らないケースは少なくありません。このパターン、非常に多く見受けられる印象です。
ここまで読んでいただいたみなさんの中には少し違和感を感じている方もいらっしゃるかもしれません。
「3Dセキュアを導入しているのに不正が多発することなんてあるの?」
「3Dセキュアを導入しているのだから不正顕在化加盟店には登録されないんじゃないの?」
みなさんがそう思ってしまうのも無理はありません。なぜなら経済産業省から発表されたセキュリティガイドラインの中で近年の不正被害金額が急増している状況に対する対策として3Dセキュアの義務化が謳われているからです。つまり「3Dセキュアの普及→不正利用の減少」という図式が当たり前のように伝えられているのです。
しかし、その図式は必ずしも正しいものではなく、先述のように3Dセキュアを導入しているにも関わらず、不正が多発してしまうケースは少なくないのです。
なぜ3Dセキュアを導入していても不正利用が発生してしまうのか?については以下の記事で詳細に解説していますので、ぜひご覧ください。
▼3Dセキュア義務化の関連記事▼
・EMV3Dセキュア(3Dセキュア2.0)の義務化で不正利用は撲滅できるのか?:https://akuru-inc.com/knowledge/2023_03_01/
・EMV3Dセキュア(Ver2.0)の実装は急ぐ必要はないのか!?:https://akuru-inc.com/knowledge/2023_06_28/
・EMV3-Dセキュア最前線、ヨーロッパでの事例「本人認証の免除リクエスト機能」:https://akuru-inc.com/knowledge/2023_04_05/
▲現行3Dセキュアの本人認証画面イメージ
変わらぬ課題
とはいえ、従来の3Dセキュアのバージョンよりもコンバージョンへの影響が解消されることにより、EMV3Dセキュア(3Dセキュア2.0)を導入するカード加盟店はより増加しています。(加えて、不正利用対策に困っている、被害を受けている加盟店の新規利用開始が特に増加する、と考えられます)
EMV3Dセキュア(3Dセキュア2.0)では、ワンタイムパスワードによる本人認証方式も利用可能になっています。
カード会社に登録されている携帯番号へのSMSメッセージ・Eメール、またはモバイルアプリへのワンタイムパスワードの送信・表示により認証を実施する方式です。
一方で、カード会社側にEメールアドレスを登録していない場合、携帯電話番号が最新ではない場合、専用アプリがダウンロードされ登録済となっていない場合、これら本人認証はスキップされます。(もしくは旧来の固定パスワードが求められるなど。発行会社により異なります。)
この時、不正利用に対する不正・被害負担の債務責任(ライアビリティー)はカード発行会社側にある(シフトされる)ため、カード加盟店側に対してのチャージバックは原則として実施されず、不正利用の発生状況もわかりません。
2.0とライアビリティシフトは諸刃の剣
本人認証ができない場合における課題は、2.0においても1.0においても変わりません。加盟店側は不正利用の発生に気づけず、カード会社はブランドルールに即し、不正利用の被害を負担せざるをえません。
実はワンタイムパスワードにより、シームレスに本人認証ができるカードホルダーの絶対数は、残念ながら業界内で期待されているほど多く無いです。また、カード会社自身がワンタイムパスワードに対応できていないケースも多くあります。(そのようなカード会社で発行されたカードの認証は旧来の登録済みパスワードによって行われます。昨今の不正利用においてはフィッシング詐欺によりカード情報が漏洩することが多く、旧来の登録済みパスワードもカード情報とセットで漏洩しているため、この認証方法は今や不正利用者にとっては突破するのが容易くなってしまっています。)
一方で”フリクションレス”な本人認証に対する期待の高さや、ライアビリティシフトの時限の存在ゆえに、これまで以上にEMV3Dセキュア(3Dセキュア2.0)の利用に足を踏み入れてしまうと、加盟店側における本質的な不正対策はさらに難易度が上がってしまいます。
3Dセキュア導入により不正利用者が見事にいなくなれば万々歳です。しかし、仮にカード会社負担の不正利用が増加する事態になってしまうようであれば、前述のように対処は困難を極める形となり、有効な施策が打てないようであれば、カード会社・決済代行会社からの加盟店手数料、料率交渉を受ける可能性もありえます。
カード発行会社側で不正利用の発生が多く認められるようであれば、不正利用リスクの高い加盟店であると認定され、与信承認率が低下する、真正な決済であっても与信NGと判断されてしまい、お客さんから「なぜか決済できない」といった問い合わせの増加、機会損失といった見えない弊害も生じます。 2025年3月までの3Dセキュアの義務化に加え、3Dセキュアの導入後はほぼ不正利用によるチャージバック請求は加盟店には来なくなるので、3Dセキュアの導入を検討されているケースも多いと思います。
しかし、先述の通り3Dセキュアを過信してしまうと不正利用の実態が見えなくなってしまい、いざ必要なときに対策を打てなくなります。そういった意味でも不正対策を永続的に行っていくためには、3Dセキュアだけではなくそれ以外の対策の実施をしていただくのを推奨しています。
弊社で展開している不正検知・認証システム「ASUKA」は3Dセキュアと併用することもできるツールになっていますので、いま不正対策を検討されている方はぜひ弊社までお問合せください。