コード決済におけるクレジットカード不正対策ガイドラインを策定（後）

「なりすまし」対策の変遷

　店舗で行われるカード決済の通常利用では原則、サインやパスワードの入力などを求められる。カード券面を所持していることに加え、磁気データや券面にない情報で求めることで本人確認としている。

　それに対し初期のEC利用では「カード番号」および「期限」を入力すれば決済が可能であった。カード情報以外での本人確認は行われないため、磁気データで「カード番号」「期限」を盗み取れば、「なりすまし」利用することができた。

　この次段階として登場したセキュリティコードは磁気データには含まれず、カード券面に直接印字された3ケタや4ケタのコード。入力にはカード券面そのものが必要で、「なりすまし」対策に効果があるとされたが、今回のガイドラインでは不正利用の要因として、「セキュリティコードも流出していたケースが多数であったことが判明」としている。

　これによりセキュリティコード入力の回数制限は必須として、セキュリティコードによらない、そのほかの有効な手法の導入を事業者に求められ、具体的にあげられたのは「3Dセキュア」だ。

　EC利用で広がっている3Dセキュアとは3つのドメイン（領域）でのセキュア（安全を意味するsecurityの形容詞secure）対策。確認項目を3要素にして、「なりすまし」を防ぐ。

　「カード番号」「期限」に加える3つ目の要素は磁気データにも券面印字にも含まれず盗めない情報であることが必要。カード事業者により異なるが、パスワードやワンタイムパスワードなどがある。パスワードは通常利用でも活用されていたもの。ワンタイムパスワードはカード名義人があらかじめ登録している携帯電話に、事業者がショートメールで1回限りのパスワードを送り、それを入力する運用。

　アプリへのクレジットカード情報を登録する際に3Dセキュアを活用できれば、実際に不正利用される前に「なりすまし」不正者を摘発できる。

信頼性と利便性のバランス

　新しいサービス定着を図るには、その利便性や簡便性を味わうことも必要だ。「使い方が難しい」「初期設定が面倒」「説明が長い」サービスは、まずハードルが高くなる。

　米Apple社はiPod販売においてはそのハードルを下げたことで爆発的ヒットを生んだといわれる。使い方が一目でわかるような機能性あふれるデザインに、簡単な設定手順。そして何よりも取扱説明書がなかったことだ。初めて開けたユーザーの多くは、一瞬戸惑いながらも説明書を読まずに使える利便性に、新時代の到来を感じたであろう。

　以降、数多くの製品やサービスがこれを範として設計されてきた。リスクヘッジしながら細々したことを言わなくなった。PayPayのシステム問題はこのバランスを見誤ったものだ。利用者の簡便性を追求するなかで起きた行き過ぎともいえる。

　本ガイドラインで再三、言及されるのは「利用者の利便性、各事業者が展開するコード決済サービスの内容なども考慮しながら」の対策だ。利用者の利便性と事業者の利益を確保しながら相応の信頼性を求められることになる。

　安全面に関しては「今回重点的に検討した」のは「カード情報登録」場面での不正対策。それには事業者間での情報の共有や連携が有効であるとしたうえで、それにともなうリスクや個人情報保護法制の課題にも言及している。

　個人情報問題は、情報登録場面のみカード会社に変遷するなどシステム整備で解決可能と考えられるが、対策が進むにつれ、さらに新手の不正手法も出てくることは想像に難くない。新サービスの発展と定着のためには、さらなる事業者間同士の協調と連携が求められる。

（了）
【吉田　誠】

流通メルマガのご案内

　流通メルマガは沖縄を除く九州地区の食品スーパー、ドラッグストア、ディスカウントストアなどの小売業の情報を、土日祝日を除く毎日タイムリーに配信しています。現在、１カ月間に限り、無料で配信させていただきます。無料試読希望者は、下記のメールフォームからお申し込み下さい。
※「流通メルマガ」試読申し込みフォームはコチラ >>