VISA、カード情報保護の取り組みを紹介-「ネット決済に本人確認が必要」


リスクマネージメントの井原亮二氏
カード不正被害の傾向。カード偽造とCNP(非対面取引での被害)が増加

 ビザ・ワールドワイド・ジャパン株式会社(以下、VISA)は5月19日、クレジットカード保護に関する説明会を開催。リスクマネージメントの井原亮二氏らが登壇し、「予防」「保護」「対策」の3点から進める世界的な戦略、および非対面取引の本人確認を実現する「VISA認証サービス」などを紹介した。

 「カード決済のボリュームは年々増えており、それに伴い、カード不正被害も右肩上がりの状況。特にインターネットでの非対面取引での不正被害が年々増加している」と井原氏。

 こうした状況に対してVISAでも、積極的にリスクストラテジーを展開。「PREVENT(予防)」「PROTECT(保護)」「RESPOND(対策)」の3点からカード情報保護に努めていると紹介した。

 PREVENT(予防)では、PCIDSSやPA-DSSなどルールの整備や、PCIDSSとISMSの同時取得を推奨し、それを支援する「PCIDSS/ISMSユーザーズガイド」などを提供。PROTECT(保護)では、非対面取引での認証強化を進めるべく、認証サービスの独自開発。その普及促進に努めるほか、それでも漏えいしてしまったカード情報を保護すべく、「不正報告制度」「加盟店不正管理プログラム」「情報流出損害補償プログラム」など、各種プログラムをRESPOND(対策)として展開している。

PREVENT(予防)では、PCIDSSやPA-DSSなどルールの整備など推進PROTECT(保護)では、非対面取引での認証など強化RESPOND(対策)では、各種のリスクプログラムを展開
e-コマースビジネスデベロップメント 新技術推進部の鈴木章五氏

 こうした施策を打っても、カード不正被害は年々増加しているのが現状なのである。特に問題なのが、やはり非対面取引だ。そもそもなぜ、対面取引でクレジットカードを使うときにはサインが必要となるのに、インターネットの買い物だとカード番号などの入力だけなのだろうか。本人確認がすっぽり抜け落ちてしまっているのはなぜか。クレジットカードの番号、契約者名、有効期限が分かってしまえば、インターネット上で不正に買い物できてしまうことが、不正被害の増加に無関係であるわけがない。

 かねてより、VISAにも同様の思いがあったという。そこで2002年には、インターネット上でのカード決済で本人確認を行うためのプロトコル「3-Dセキュア」を独自に開発。2003年からは、ネットショッピングにおいて、独自のパスワード認証を採り入れることで顧客の本人確認を行う「VISA認証サービス」として提供を始めている。

 同サービスでは、カードの利用者が発行会社のWebサイト上で、前もって自分だけの暗証番号を登録。ネットでのカード決済を行う前に、この暗証番号を入力することで本人確認を行う。「認証はカード利用者とカード会社の2者間で行われ、実際に商品を購入する加盟店を介さない点が特徴。これにより、なりすましを防止し、かつ不正利用の抑止にもつなげることができる」(e-コマースビジネスデベロップメント 新技術推進部の鈴木章五氏)。

VISA認証サービスの本人確認画面全世界61カ国で展開中VISA認証サービスを導入済みのカード会社

 2004年4月からは、MasterCardとJCBにも技術供与を行い、それぞれ「SecureCode」「J/Secure」の名称で同サービスの提供がスタート。対応するカード会社も、イーオン、エポスカード、JACCS、三菱UFJニコス、三井住友VISAカード、セゾンカード、UCカードなど、著名なところはかなりカバーしている。

 それなのに、「利用があまり進んでいない」(鈴木氏)。VISAが過去6カ月以内にネットショッピングを行った男女500人に聞いたアンケートでも、同サービスの「内容まで知らない」とする回答が68%にのぼり、特にカード決済に抵抗や不安のある人ほど、「知らない」傾向が高いことが分かっているという。

 VISAが今回、説明会を開催したのは、これをなんとしても普及したいがためだ。アンケートでは、VISA認証サービスを知らない人は多いが、内容を説明した上で「同サービスでネットショッピングは安全になると思うか」と聞けば、「非常にそう思う」と「そう思う」との回答が82%にもおよび、「同サービスによりネットショッピングの安心感を増やせる可能性がある」(同社)という。

 普及が進んでいないのは、「加盟店での対応が進んでいないのも大きい」(鈴木氏)。JAL、ANA、ヤマダ電機、ビックカメラなど対応済みのサイトもあるのだが、楽天市場、Yahoo!、Amazonなどではまだ未対応。さらにユーザーが自らカード会社で暗証番号の事前登録を済ませなければならないのも、手間となって、普及の壁になっている側面もあるようだ。

 一方で、対応が進む業界もある。オンラインゲーム業界がそれだ。有限責任中間法人 日本オンラインゲーム協会(JOGA)が1月20日に「カード不正利用対策の強化として、3-Dセキュアの年内100%の普及を目指す」とする発表を行っている。

 VISAでは、この流れでもっと広く普及させたいところなのだ。課題はカード利用者の認知度向上である。今後、新規にカードを発行する際には、あらかじめVISA認証サービス用の暗証番号をバンドルする施策も「可能性としてはあり得る」(鈴木氏)。2010年には、レベル1加盟店におけるPCIDSS準拠期限もやってくる。水面下では着々とPCIDSSは普及している。今後、ショッピングサイトで暗証番号による認証が当たり前となる日がやってくるのか。VISAにとっては正念場だ。

 鈴木氏は「当社でも2007年、2008年と大々的に広報活動を行ってきたが、まだまだ不十分。今後も各カード会社のWebサイト上でカード利用者への告知、ダイレクトメールでの告知、利用明細書への案内書同封などを検討している。加盟店を獲得するアクワイアラとも、加盟店への紹介および導入の案内などで協力するなど、考えつく限りのことをやっていかなければならない」と意気込みを見せた。




(川島 弘之)

2009/5/19 18:36