クレジットカード利用時に必須の【本人認証サービス】そのメリット・デメリットとは
クレジットカードを利用した買い物や支払いの機会が増え、同時に問題になっているのがカードの不正利用ですよね。 犯罪からカードの利用者を守るために、各カード会社は不正利用を防止するための様々な仕組みを提供しています。 そうした仕組みの一つが、「本人認証サービス」です。 ここでは、その仕組みの概要とメリット・デメリット、そして実際のサービス例についてご紹介します。 特にコロナの影響で、ネットショップを開設しようと考えている企業様などは、是非参考にしてみて下さい。
本人認証サービスとは
本人認証サービスとは
クレジットカードにおける本人認証
クレジットカードの不正利用は年々増加傾向にあり、その中でも「番号盗用」が全体の90%以上を占めています。 (参考 一般社団法人日本クレジット協会「日本のクレジット統計 2020年版」) 番号盗用とは、クレジットカード番号と有効期限を不当に入手することによって、カードの名義人になりすまして決済を行うことを指します。 そうした不正利用が成立してしまうのは、多くのネットショップで ・カード番号 ・有効期限 ・セキュリティコード という情報だけで、決済が可能だからです。 セキュリティコードは、自分で考えたものではなく、カードに記載がありますし、他の2つの情報もカードに記載があります。 加えて、セキュリティコードは数字のみ3桁。有効期限は通常数年先までだけですので、100通り以下になるでしょう。 セキュリティコードを変更することも出来ないため、もしもカードの両面を写真に撮られてしまったり、買い物をした企業が個人情報流出してしまった際には、多くの被害が出てしまいます。 そこで、カード番号と有効期限という情報の入力に加えて、その取引を要求しているのがカードの名義人本人なのか、ということを検証することによって、不正利用を防ぐことが可能となるのです。 本人認証としては、「認証アシスト」やここで主に解説する「3Dセキュア」があり、各事業者に対策が求められています。 (参考 クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン 【2.0 版】 」)
3Dセキュア
クレジットカードにおける本人認証サービスとして、一般に「3Dセキュア」が挙げられています。 3Dセキュアとは、VISAやMasterCard、JCBといった国際的なクレジットカード会社で採用されている本人認証の規格です。 カードの所有者があらかじめパスワードを設定しておき、ECサイトなどでのクレジットカード決済の際に、そのパスワードを入力することによって本人認証を行います。 本人だけが知っているパスワードを利用するため、先ほどご紹介したような、カード番号と有効期限のみによる不正利用を防ぐことができます。
3Dセキュアの移行
こうした3Dセキュアでしたが、従来のもの(「3Dセキュア1.0」)にはいくつかの問題点があり、導入があまり進んでいませんでした。 その問題点の一つが、「カゴ落ち」です。 「カゴ落ち」とは、ECサイト等において、ユーザーが商品をカートに入れるところまでは進むものの、実際の購入には至らない事態を指します。 ECサイトで商品を購入する際、様々な情報の入力が必要になりますよね。 ・住所 ・氏名 ・電話番号 等の個人情報に加え、そのサイトでのIDやパスワードと、決済のためのクレジットカード番号と有効期限などが求められます。 それらに加えてさらに本人認証としてのパスワード入力を求められると、利用者からすれば手順が増え、煩わしく感じてしまいます。 一般的にこの入力項目が多ければ多いほど、カゴ落ちのリスクは上がると言われています。 そのため、多くのサイトでは不要な入力を減らすために、 ・LINEから氏名やプロフィール画像を転用する ・Facebookから氏名や誕生日を転用する といった形で、既に登録している他のサービスから個人情報を転用することで、入力の手間を省き、カゴ落ちを回避するのです。 「3Dセキュア1.0」の問題点は、購入手順が増えることによって企業の利益損失につながる可能性がある、ということにあります。 そうした問題点を改善した形で開発されたのが、「3Dセキュア2.0」です。 「3Dセキュア2.0」は「リスクベース認証」を採用することによって、購入フローの煩わしさを低減しています。 「リスクベース認証」とは、利用履歴や購入操作を行ったデバイスの情報などを分析し、不正利用の可能性を判定する認証方法です。 この認証を用いることによって、不正利用の可能性が低いと判断される取引についてはパスワード等の追加情報を要求せずに済みます。 リスクベース認証によって、不正利用の可能性が高いと判定された場合にのみ、追加で本人確認を行います。 こうして、カゴ落ちのリスクという企業側のデメリットと、購入フローの煩雑さというユーザー側のデメリットを一挙に低減することができます。 また、「3Dセキュア1.0」が利用者が事前に設定したパスワードのみを認証方法として採用していたのに対し、「3Dセキュア2.0」は、その他の認証方法として、ワンタイムパスワードや生体認証(虹彩や指紋などの身体的特徴を用いた認証)を採用しています。 一度しか利用できないことで安全性が高まるワンタイムパスワードや、文字列といった形で情報が残らない生体認証を利用することで、より安全性が高まることが期待できます。
本人認証サービスのメリットとデメリット
本人認証サービスのメリットとデメリット 本人認証サービスが、クレジットカードの不正利用を防ぐ重要な仕組みであることが分かりました。 改めて本人認証サービスのメリットと、そして注意すべきデメリットについて整理してみましょう。
メリット
顧客の信頼性
クレジットカードをはじめとする電子決済は、対面での現金支払いと比べて、不正利用等の被害を心配する方が多いのではないでしょうか。 総務省による調査によれば、インターネットの利用において不安を感じている人のうち、約40%が「電子決済の信頼性」を不安要素として挙げています。 (参考 総務省「令和2年通信利用動向調査の結果」) 本人認証サービスを導入することで、ECサイトは顧客に対して信頼性の高さをアピールすることができます。
チャージバックのリスクを低減
顧客の安心感だけでなく、企業側の不利益を低減するメリットがあります。 クレジットカードの不正利用による取引が判明すると、その取引において本来のカード所有者には支払いの義務はなくなります。 このような、カードの所有者を守るための仕組みが「チャージバック」と呼ばれるものですが、その際すでに商品の発送を行ってしまっていた場合、代金は支払われないため、企業の側が不利益を被ってしまいます。 本人認証によってクレジットカードの不正利用を未然に防ぐことで、このリスクを低減することが期待できます。
デメリット
先ほどご紹介した、「カゴ落ち」による利益損失の可能性というデメリットは、「3Dセキュア2.0」の登場によって低減されました。 それ以外のデメリットとして、ここでは2つご紹介します。
本人認証サービスを狙った詐欺
クレジットカード番号や有効期限などの情報を不正に入手する手段はいくつか想定されていますが、そのうちの一つがフィッシングサイトによるものです。 正規のサイトに見せかけた罠のサイトを用意して、メールなどでそのサイトに誘導することによって、正規のサイトと思いこんだユーザーにIDやパスワードなどの情報を入力させる、といった方法です。 パスワードなど、本人にしか知り得ない情報の入力を求めたとしても、その入力画面までも模倣したフィッシングサイトが作られたとすれば、どうでしょうか。 本人認証に必要な情報までも入手されてしまえば、本人認証サービスを導入しているサイトでも、不正利用が可能となってしまいます。 (フィッシングサイトへの入力を防止する仕組みを導入しているサービスも存在しますが、詳しくは後述します。) 本人認証サービスさえ導入しておけば大丈夫、ということではなく、利用者の側にもパスワードの厳重な管理や、怪しいサイトへのアクセスを避けるなどの注意が必要となります。
導入コスト
ECサイトに新たに本人認証サービスを導入する場合には、決済の仕組みを再設計する必要があり、それなりのコストや期間が必要となる場合があります。 また、「3Dセキュア1.0」を利用していたが「3Dセキュア2.0」に移行したい、という場合にも、相応のコストがかかることが想定できます。
本人認証サービスの例
本人認証サービスの例 本人認証サービスは、各クレジットカードで内容が異なります。 ここでは、2つの本人認証サービスについてご紹介します。
三井住友カード「ネットショッピング認証サービス」
三井住友カードは、「ネットショッピング認証サービス」という名称で本人認証サービスを提供しています。 各種手続きやカード情報の照会などができる、三井住友カードの会員専用サービス「Vpass」への登録が条件となり、Vpassへのログインパスワードによって本人認証を行います。 Vpassへの登録が済んでいれば新たにパスワードを設定する必要がないため、ユーザーの利便性は高いと言えるでしょう。 ワンタイムパスワードを利用することもでき、安全性も確保されていると言えるでしょう。 こうした、カード会員用のサービスで利用されるパスワードを本人認証にも利用可能な他のカードとしては、オリコカードや楽天カードなどがあります。
「J/Secure」
「J/Secure」は、JCBで提供されている本人認証サービスです。 「J/Secure」はパスワードかワンタイムパスワードによる認証に加え、「パーソナルメッセージ」という仕組みも利用しています。 (他にも利用されているカード会社はいくつかあります) 「パーソナルメッセージ」は、先ほどデメリットとしてご紹介した、フィッシングサイト等への情報の入力を防ぐための仕組みで、サイトの正しさを利用者が確認するための「合言葉」です。 ユーザーはあらかじめ、ペットの名前や好きなフレーズなど、任意のメッセージを設定しておきます。 パスワードの入力画面にて、その設定しておいたパーソナルメッセージが表示されていれば、そのサイトが正規のサイトであると確認することができます。 パーソナルメッセージが設定したものと異なる場合や、そもそも表示されていない場合には、そのサイトがフィッシングサイトであると見抜くことができ、パスワード等の情報を入力してしまうことを防ぐことができます。
自社ECを検討するなら本人認証サービスは重要!ITの相談はAMELAに
自社ECを検討するなら本人認証サービスは重要!ITの相談はAMELAに 今回は、本人認証サービスについて見てきました。 この本人認証サービスを必要とする企業は、 「自社ネットショップを開設する(もしくは既に開設している)企業」 となります。 楽天市場やAmazonなどのモールに出店する際には、カード情報の管理などは基本的にモール側が行っており、こちらで仕様を変更することは出来ないでしょう。 しかし、一般的にモールに出店する手数料を考えると、多くの企業が 「最終的には自社ショップに誘導して、利益率を高めたい」 と考えます。 折角利益率を高めても、セキュリティがしっかりしていないために損失を出した・・・となってしまっては大変です。 そのため、自社ショップを検討する際にはこの本人認証サービスも一緒に検討するのが良いでしょう。 AMELAでは、こういったセキュリティに関する製品・サービスの導入の支援や、ITエンジニアの派遣も行っています。 「セキュリティに気をつけないといけないのはわかったけど、結局何からスタートすれば良いのかわからない」 そういったご相談も気軽にして頂ければと思っています。
