「3-D Secure本人認証サービス」にリスクベース認証機能を導入 ~三井住友カードで採用決定、拡大するクレジットカード決済における成りすまし不正使用対策を強化~
2017年11月14日
株式会社NTTデータ
株式会社NTTデータ(以下:NTTデータ)は、ネットショッピングにおける非対面クレジットカード決済の本人認証を行う「3-D Secure本人認証サービス」注1として提供する「CAFIS BlueGate®ユーザー認証サービス」に対し、クレジットカード利用者が使用するデバイス情報とクレジットカード決済の取引情報から、不正使用のリスク度合いをオンラインリアルタイムで判定する機能(リスクベース認証)を新たに開発し、2017年11月13日より提供を開始します。「3-D Secure本人認証サービス」におけるリスクベース認証の導入は、国内では初めてとなります。このリスクベース認証の導入により、カード利用者の利便性を損なわず、成りすましによる不正使用被害のさらなる抑制が期待されます。
なお本サービスは、三井住友カード株式会社(本社:東京都港区、代表取締役社長:久保 健、以下:三井住友カード)での採用が決定しています。
今後は他のクレジットカード会社への展開も計画しており、クレジットカード利用者へのより安心・安全な利用環境の提供を進めていきます。
背景
近年、クレジットカード取引における不正使用の手法は多様化・高度化してきています。2017年1月から6月のクレジットカード不正使用被害は118.2億円にまで上り、うちクレジットカード情報の番号盗用による被害額は85.2億円と全体の7割以上を占めています。2016年(1月~12月)の番号盗用被害額が87.9億円であり、2017年の不正使用被害は、昨年の倍のペースで増加をしています。注2
経済産業省が主導している「クレジット取引セキュリティ対策協議会」において実行計画書が公表されており注3、決済代行事業者やカード会社がEC加盟店に対し、3-D Secure等の不正使用対策について多面的・重層的に実現することを促進するものとすると明記されています。
現行の3-D Secureは、クレジットカード利用者がクレジットカード会社に事前登録した本人確認用のパスワードを用いることで実現していますが、近年のクレジットカード犯罪の多様化・高度化に対しさらに精度高く本人確認を行う手段が必要とされています。このような中、NTTデータは三井住友カードと協力し、2015年よりクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施し、リスク判定スコアリングモデルおよびオンラインリアルタイム処理システムに必要となるアプリケーション開発の検討を進めてきました。その結果、トライアル検証の成果を具現化、反映してサービス提供を行うことになりました。リスクベース認証とパスワード認証を併用することで、成りすましによる不正使用の被害抑制と、クレジットカードの不正使用に伴う加盟店・カード会社双方におけるクレジット信用管理・チャージバック業務の効率化が期待されます。
概要
クレジットカード利用者を対象とし、リスクベース認証に必要となるクレジットカード決済利用デバイスの情報を取得し、取得したデバイス情報と決済情報を用いて不正判定のスコアリング処理を行います。
デバイスの情報と決済情報は、3D-Secureプロトコルで本人認証処理をおこなうACS(Access Control Server)が取得しています。この機能はNTTデータの「CAFIS BlueGateユーザー認証サービス」として提供しています。不正判定のスコアリング処理は、NTTデータの「CAFIS Brain®注4」のルールエンジンを用いて不正判定を行います。
リスクベース認証について
リスクベース認証では、ACS(CAFIS BlueGateユーザー認証サービス)にて、クレジットカード会員が使用するデバイスの設定情報を取得し、取引情報とあわせて不正リスクを判定し認証を行います。不正リスク判定の処理結果において危険な取引(リスク高)と判定された場合には、決済に入らないよう、3-D Secureの認証失敗の結果を加盟店に返却します。クレジットカード会社では、不正使用取引の実態(ネガティブ/ポジティブデータ)をリスク判定エンジンに登録することにより、運用においてリスク判定スコアリングモデルのチューニングを行います。
今後について
3-D Secureは、2016年10月にEMVCo.注5より次期バージョン(3-D Secure2.0)の仕様が公開されており、2019年の初頭にグローバルでレギュレーションの導入がスタートする計画となっています。3-D Secure2.0では、今回のサービス提供で用いるリスクベース認証の概念が標準機能として取り入れられ、クレジットカード決済の大多数がパスワードを求めない取引とすることで、カード会員の利便性を向上させることが定義されています。今回の三井住友カードとの取り組みは、3-D Secure2.0への移行を見据えた先行導入の位置付けも有しており、リスクベース認証における不正使用の検知精度向上と運用管理ノウハウを蓄積し、早期に3-D Secure2.0の安定稼動に入ることにより、クレジットカード利用者へより安心・安全な利用環境の提供を進めます。また、本サービスについて、他のクレジットカード会社への展開を計画しています。
さらに、本サービスで蓄積された不正使用情報については、不正検知サービス「CAFIS Brain」との共有を計画しており、クレジットカード取引だけでなく、インターネット取引におけるさまざまな不正使用情報を共有することで、一般消費者にとってインターネット取引が安心して利用できる環境を築いていきます。
注釈
- 注13-D Secure本人認証サービスについて
クレジットカード国際ブランド(VISA、Mastercard、JCB、American Express、Diners Club/Discover)が定める「クレジットカードの非対面(CNP:Card-Not-Present)決済」の本人認証プロトコルです。3-D Secureは、CNP取引において唯一、ライアビリティシフトを伴うグローバルなレギュレーションであり、共通した仕様のもと、各国で導入されている本人認証のデファクトスタンダードです。加盟店が3-D Secureを導入することにより、本人認証の責務はカード会社に移行され(ライアビリティシフト)、加盟店は不正使用におけるカード会社からのチャージバック(売上請求拒否)リスクから完全に保護されます。本人認証のシステムは、クレジットカード決済の本人認証要求をおこなう「アクワイアラドメイン」、国際ブランドが管理する「インタオペラビリティドメイン」、本人認証を行う「イシュアドメイン」で構成され、NTTデータでは、本人認証を行う「ACS(Access Control Server)」を「CAFIS BlueGateユーザー認証サービスとして、複数のクレジットカード会社に提供しています。 - 注2出展:一般社団法人 日本クレジット協会「クレジットカード不正使用被害の集計結果について」
http://www.j-credit.or.jp/download/171012_news_a.pdf(PDF:3ページ, 275KB)(外部リンク) - 注3クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
http://www.j-credit.or.jp/security/pdf/plan_2017.pdf(PDF:61ページ, 1,780KB)(外部リンク) - 注4CAFIS Brainについて
https://www.nttdata.com/jp/ja/lineup/cafis_brain/ - 注5EMVCo.について
クレジットカード決済に係わるグローバルな共通仕様を策定、技術認定をおこなう団体であり、国際ブランド6社(Visa、Mastercard、JCB、American Express、Discover、銀聯(UnionPay)をボードメンバーとして構成され、複数のビジネスアソシエイトメンバー、テクニカルアソシエイトメンバーが登録されています。NTTデータは、EMVCo.のテクニカルアソシエイトメンバーとして、3-D Secure2.0の仕様策定、開発、導入計画に携わっています。
https://www.emvco.com/(外部リンク)
- 「CAFIS」は日本国内における株式会社NTTデータの登録商標です。
- 「CAFIS BlueGate」は日本国内における株式会社NTTデータの登録商標です。
- 「CAFIS Brain」は日本国内における株式会社NTTデータの商標です。
- その他の商品名、会社名、団体名は、各社の商標または登録商標です。
本件に関するお問い合わせ先
報道関係のお問い合わせ先
株式会社NTTデータ
広報部
廣田、甘田(かんだ)
TEL:03-5546-8051
製品・サービスに関するお問い合わせ先
ITサービス・ペイメント事業本部
カード&ペイメント事業部
ビジネス企画統括部
ビジネス企画担当
川村、園田
TEL:050-5546-8573
