導入義務化の3Dセキュア2.0。「実際どうなの？」識者に聞いた

株式会社アクル 代表取締役社長CEO 近藤修氏

増え続けるクレジットカードの不正被害。そんな状況下で経産省が発表した「クレジットカード・セキュリティガイドライン【4.0版】」によって、「EMV 3Dセキュア（3Dセキュア2.0）」の導入が2025年3月まで義務化された。本稿では3Dセキュア2.0の現状と、これから事業者が行うべき対策について、不正検知ツール「ASUKA」を提供する株式会社アクル 代表取締役社長CEO 近藤修氏に聞いた。

3Dセキュア2.0の現状…期限直前の導入でもいい？

──EMV3Dセキュア（3Dセキュア2.0）とは、どのようなものなのでしょうか。

近藤修氏（以下、近藤）　「3Dセキュア」はカードブランドが提供する本人認証サービスで、決済時にクレジットカードの利用者に対して認証を行い、不正利用のリスクを判断するための仕組みです。

3Dセキュアの旧バージョンである1.0では、「カード利用者が事前に専用パスワードを登録し、決済時に表示される本人認証画面で専用パスワードが一致したときにのみ決済が完了する」という仕組みで、パスワード入力の手間やパスワード忘れによる「カゴ落ち」が生じるリスクがありました。

前バージョンの課題を克服するべく開発されたのが、3Dセキュア2.0です。リスクの高いユーザーだけに認証を要求する「リスクベース認証」を採用し、ワンタイムパスワードや生体認証に対応していたり、スマホアプリの決済にも導入できたりといった特徴があります。

──3Dセキュア1.0は「コンバージョンが減りそう」という理由で導入を見送る事業者も多かったように思います。

近藤　3Dセキュア2.0の導入によって「コンバージョンの改善やセキュリティレベルの向上につながる」という期待の声は確かに多いです。

ただ、実際に3Dセキュア1.0から2.0にバージョンアップされた事業者様の中には、「コンバージョンに影響がなかった」「むしろ不正が増えた」というお声もあり、現段階では評価が難しいところです。

カード発行会社側でワンタイムパスワードの仕様が整備されていない、あるいはユーザー側でアプリのインストールや携帯電話番号の登録がされていない、といったケースが見られるなど、3Dセキュア2.0が不完全な状態で運用されているからだと考えています。

──3Dセキュア2.0の導入はどれくらい進んでいるのでしょうか。

近藤　前述の状況もあり、当社のお客様の中での導入率は約20％程度に留まっています。提携しているECベンダーの担当者様は「10％くらい」と仰っていました。まだ期限までは猶予があり、現在それほど不正被害が発生していないため導入を急いでいない事業者様もいらっしゃいます。

「サイトの仕様が複雑で膨大な開発工数がかかる」「直近で不正利用が多い」といった事業者様は早めの導入を検討すべきですが、そうでない場合は、期限直前の導入でもいいと思います。

3Dセキュア2.0の効果とその限界

──実際のところ、3Dセキュアは効果が高いのでしょうか。

近藤　不正リスクが高いユーザーにだけ認証を実行する3Dセキュア2.0の「リスクベース認証」では、リスクの高い人・低い人を振り分ける必要がありますが、そのスコアリングのルールはカード発行会社に委ねられています。

本来なら事業者様ごとにルールは異なるべきですが、多数の加盟店を抱えるカード会社が、加盟店ごとに個別の基準を設定するのは難しく、どうしても汎用（はんよう）的なフィルターを採用せざるをえません。そのため、不正利用でないユーザーを不正と判断してしまったり、不正利用ユーザーを通過させてしまったり、といった事象が発生しています。

また、3Dセキュア2.0では、決済時に取得できるユーザーデータの種類が増えましたが、その連携が不十分なためにデータが正しくカード会社に送られず、スコアリングの精度が上がっていないケースも見られます。

こういった状況もあり、3Dセキュア2.0は理想とはかけ離れた状態で運用されており、事業者様の期待に反して、導入の効果も限られているのが現状です。

──それでは、事業者はどのように対策すればいいのでしょうか。

近藤　3Dセキュア2.0だけに頼るのではなく、個別にルールをデザインできる不正検知システムと併用するのがおすすめです。

不正検知ツール「ASUKA」の強み

──3Dセキュア2.0は不正検知システムとの併用が望ましいとのことですが、アクル社が提供する不正検知ツール「ASUKA」の強みについて教えてください。

近藤　1つ目の特徴は「導入までのスピードの早さ」です。
お申し込みから導入まで最短1～2週間でご利用いただけます。「makeshop」「楽楽リピート」などの特定のカートなら最短2営業日で導入可能です。

2つ目は「独自の本人認証ツール」です。
一般的な不正検知サービスでは、リスクに応じてユーザーを三段階に分類し、真正とも不正とも分類できない“グレー”な取引については、事業者側で可否を判断し、ユーザー対応を行う必要があります。「ASUKA」では、グレー取引に対して独自の認証画面を自動表示してユーザーの振るい分けを行うため、事業担当者様の工数削減につながります。

3つ目は「定額の料金設定」です。
「ASUKA」の利用料は、トランザクション数によって費用が跳ね上がってしまう従量課金ではなく、固定料金なのが特徴です。チャージバックが年間で数件しかない事業者様でも利用しやすい料金設定になっています。

4つ目は「高いスコアリング精度」です。
「ASUKA」は、現在モール内の店舗様を含めると2万以上のショップ様に導入されています。多種多様な業種でご利用いただいており、蓄積されたデータをもとに、高い精度で不正ユーザーを検知します。

5つ目は「クレマス対応」です。
機械的に大量のカード番号を生成して入力を試みる「クレジットマスターアタック（クレマス）」による被害が近年増えています。独自の認証の仕組みによってクレマスを未然にけん制できる「ASUKA」は、クレマス対策ツールとしても多くの事業者様に選ばれています。

6つ目は「手厚いサポート体制」です。
事業者様に専属の担当者をアサインし、スコアリングルールの設定やフォローアップ含めて伴走します。導入後の運用もすべてプロにお任せいただくことで、事業者様はご自身の業務に集中できますし、属人化も防げます。

──不正対策ツールの導入によって、コンバージョンへの悪影響を懸念する事業者は多いと思います。

近藤　システムの仕様として、コンバージョン率に変化があればすぐに調整することができますし、実際のグレー取引の出現率は数%以下です。実際に「ASUKA」を利用されている事業者様からは「コンバージョンに影響があった」というお声は挙がっていません。

高まる不正検知ツールの重要性。包括的な不正対策に向けて

──今後の不正対策の展望について、アクル社の見解を教えてください。

近藤　3Dセキュア2.0の義務化を受けて、事業者様のセキュリティへの意識は強くなっています。その中で、不正検知ツールの重要性は今後も高まると考えています。

ヨーロッパでは、トランザクションを全件認証に通す必要がない3Dセキュア2.2の採用がすでに進んでいます。日本も海外の基準に追随する流れは予想され、不正検知システムが担うべき役割はさらに増えるでしょう。

当社としては引き続きシステムの精度を高めるだけでなく、転売や後払い決済の不正などにも範囲を広げ、包括的な不正検知の実現に向けて取り組んでいくことで、事業者様のニーズに応えていきたいと考えています。