左：株式会社アクル 代表取締役社長 近藤修氏。右：GMOペイメントゲートウェイ株式会社 イノベーション・パートナーズ本部 営業推進部 決済企画課 課長 財津拓郎氏

近年、クレジットカード決済における不正利用が増加し（※1）、不正の手口も巧妙化してきている。そうした実情に対して、2025年3月末までを期限に原則全てのEC事業者にEMV 3-Dセキュア（3-Dセキュア2.0）の導入を義務付けるなど、業界全体で適切な対策が求められている。

本稿では、EC業界における国内最大級の不正排除ネットワークを構築している不正検知サービス「ASUKA」を提供する株式会社アクルの近藤修氏と、決済代行会社として18兆円を超える流通取引総額（2024年9月末時点、連結数値）を取り扱うGMOペイメントゲートウェイ株式会社 財津拓郎氏の対談の模様をお届けする。不正対策のガイドラインや運用方法についての解説、そしてEC事業者がこれから実施すべき対策について紹介していく。

新ガイドラインでは「入口から出口まで」の不正対策が必要

──2024年3月に「クレジットカード・セキュリティガイドライン5.0版」がリリースされました（※2）。それにより見えてきた、今後のEC事業者が対応すべき事を教えてください。

GMOペイメントゲートウェイ株式会社 イノベーション・パートナーズ本部 営業推進部 決済企画課 課長 財津拓郎氏（以下、GMO-PG 財津）　原則全てのEC事業者に対し、本人認証であるEMV 3-Dセキュアの導入が2025年3月末までを期限として求められています。

これまではいわゆる4方策（本人認証、券面認証、属性・行動分析、配送先情報）のうち複数の対策をEC事業者に求めていましたが、今回の5.0版で「決済前・決済時・決済後」における対策が示されました。ただ単純に決済時に本人認証すれば良いのではなく、ECサイトへのログイン時の対策から決済後の配送に至るまでの時系列に沿った不正対策の必要性が提示されています。入口から出口までのカスタマージャーニーに応じたセキュリティ対策を実施することが重要で、特に入口では不正ログイン対策、クレジットマスター対策、属性・行動分析などの不正対策を継続的に実施していくことで不正を減らしていく考え方のため、業界全体としてこの共通認識を持つ必要があると考えています。

株式会社アクル 代表取締役 近藤修氏（以下、アクル 近藤）　セキュリティ対策としてEMV 3-Dセキュアを実装しただけでは足りない、ということがわかってきています。実際に2023年、EMV 3-Dセキュアの義務化の方向性が示され、ECサイトに実装するEC加盟店も多くいた中で、EMV 3-Dセキュアを導入したことで不正利用の減少に一定の効果は認められたものの、異なる不正手法による攻撃が引き続き検知され、当社サービスのような属性・行動分析の併用の必要性が再認識された、という個社事例もありました。

GMO-PG 財津　攻撃手法に応じたセキュリティ対策により安全な商取引が可能な環境を作ることが業界として当たり前になっていくと考えています。GMOペイメントゲートウェイでは、こうしたEC業界の動きに応じセキュリティソリューションを拡充させてきています。「ASUKA」のような、ログイン対策から配送先住所情報チェックなど“線”の考え方に対応できる不正検知サービスとの協業の意義もより増していくと考えています。

アクル 近藤　アクルとしては、これまで言われていた4方策だけでは限界が見えていたところもあったため、今回のガイドライン更新により、しっかりとあるべき不正対策が示されたと捉えています。特に属性・行動分析や不正配送先情報は「ASUKA」の得意分野でもあり、ログイン不正に対しては今後さらに知見を集め機能拡充していく考えです。

GMOペイメントゲートウェイは2024年1月より、アクルが提供する「ASUKA」の取り扱いをスタートし、不正対策における業務提携を開始している（※3）

──EMV 3-Dセキュアを導入することでEC事業者にもたらされる効果と、今後の課題を教えてください。

GMO-PG 財津　第一に不正利用を減らせるということが言えます。加えてEC事業者にとっては、チャージバックが免責されることも重要な点です。またEMV 3-Dセキュアではリスクベース認証やフリクションレス・フローの採用によって、本人認証のためのパスワード入力なしで決済を完了することが可能となり、UXが改善しています。

アクル 近藤　EMV 3-Dセキュアの導入によりEC事業者のセキュリティレベルが平均的に上がっていくと考えています。ただ、EMV 3-Dセキュアはあくまでも決済時の本人認証になるため、やはり決済前・決済時・決済後の“線”で捉える対策が重要です。属性・行動分析、配送先チェックなど「ASUKA」の得意分野を活かし、不正対策を実施することで、ECサイトの売上向上に貢献できる仕組みを提供していきたいと考えています。

EC事業者に求められるEMV 3-Dセキュアの運用方法3パターン

──EMV 3-Dセキュアの具体的な運用方法が明文化された、EMV 3-Dセキュアの運用ガイダンスが2024年5月に策定されました。この概要について教えてください。

GMO-PG 財津　関係者向け資料として、運用が以下の3つに分けられました。

【1】決済前・決済時・決済後の不正対策を網羅的に導入・実施した上で、EMV 3-Dセキュアの認証はEC事業者の任意とする運用。加えて24時間365日対応可能なセキュリティ専門部署の設置等の組織体制があることや、運用にあたってはアクワイアラー・決済代行会社側の承認を必要とします。

【2】不正ログイン対策、属性・行動分析などを導入した上でカード会員登録時はEMV 3-Dセキュアによる本人認証を必須とする運用。会員登録時のカード情報登録時にEMV 3-Dセキュアによる本人認証を実施し、それ以降の取引についてはEC事業者側が必要な場合に認証を行うことが可能な運用です。

【3】全ての取引においてEMV 3-Dセキュア認証を必要とする運用。決済の都度、EMV 3-Dセキュア認証を行う運用です。

アクル 近藤　今回のEMV 3-Dセキュアの運用方針の明文化により、当初の「原則義務化」から一歩進んだ現実的なものが提示されたと捉えています。一方でEMV 3-Dセキュアの導入によりチャージバックが発生しなくなるため、EC事業者側から実際に裏で起きている不正の実態が見えづらいという課題があります。これに対し、「ASUKA」をEMV 3-Dセキュアと併用することでカード会社や決済代行会社と連携しながらタイムリーに最新の不正情報を得ることが可能となりますし、犯罪者に自社の商品が渡ってしまうリスク回避へつなげることも期待できます。

近藤氏によれば、EMV 3-Dセキュア導入の裏でカード会社の負担する不正利用金額が増え、カード発行会社が非承認率を上げたことで、EC事業者の売上を阻害する要因になった事例も多く発生しているという

増え続ける不正利用に、重層的な“線”の対策を

──不正が増加の一途を辿る状況の中で、これから両社はどのような役割を担っていくでしょうか？

GMO-PG 財津　不正利用の抑止を最大の目的に、GMOペイメントゲートウェイではEC事業者に対し原則義務化となっているEMV 3-Dセキュアの啓蒙、導入を推進していきます。あわせて決済前から決済後までの流れに沿ったセキュリティ対策を拡充しながら、継続的にEC事業者へ不正対策への理解を深めてもらうべく、タイムリーに情報提供をしていきます。

カード会社、不正検知ベンダーとの協力体制を強化し、巧妙化する不正利用に対する適切な対応をEC事業者へ提示していくことがGMOペイメントゲートウェイに求められている役割であると考えます。

アクル 近藤　「ASUKA」は日々新たな手口に対してアップデートを進めており、EMV 3-Dセキュアでは対応できない部分など、補完的な対策としての機能を強化しています。具体的には、不正住所チェックや属性行動分析、不正ログイン対策やクレマス対策などが該当します。EMV 3-Dセキュアの効果を最大化させることが我々のミッションです。EMV 3-Dセキュアの前に不正検知側で不正を防ぐことができれば、EMV 3-Dセキュアによる負担を軽くすることにもつながり、より安全性の高い決済環境の構築に寄与できます。

当社では、コンサルタントがEC事業者に寄り添って運用支援を行っています。引き続き、多面的・重層的な対策を実施する“線”の考え方を基に啓蒙や対策の実施を進めていきたいと考えています。

不正検知サービス「ASUKA」のカバー範囲（画像提供：アクル）

※1：一般社団法人日本クレジット協会の発表によれば2023年（1～12月）のクレジットカード利用被害額は540.9億円で、2022年の436.7億円を大きく上回っている（参考：同協会クレジット関連統計）

※2：クレジットカード・セキュリティガイドライン【5.0版】（クレジット取引セキュリティ対策協議会）

※3：GMOペイメントゲートウェイは2024年1月より、アクルが提供する「ASUKA」の取り扱いを開始。不正対策における業務提携を開始している（GMOペイメントゲートウェイ株式会社）

＊本記事は2024年9月27日にアクルHPにて公開した特別対談記事の再編集版です