EN

NRIセキュア ブログ

MRC Vegas 2024 参加レポート【前編】加盟店における不正利用対策の動向

目次

    MRC Vegas 2024 参加レポート|加盟店における不正利用対策の動向

    世界各国の加盟店が中心となって設立されたMerchant Risk Council(以下、MRC)の主催イベントであるMRC Vegas 2024が、2024年3/25(月)~3/28(木)の4日間、米ラスベガスにて開催されました。NRIセキュアは今回初めての参加であり、2名体制でセッション参加やブース視察等を行いました。本稿ではイベントの様子とともに、現地での情報収集を通じて見えてきたカード決済をはじめとした決済全般に関わる不正利用対策のグローバルな動向と、それらを踏まえた日本国内における加盟店の不正利用対策に関する考察について、前編・後編の2回に分けてお伝えします。

     

    MRCとは

    MRCの成り立ちとその役割

    本イベントの主催団体であるMRCは、2000年に米シアトルで設立された加盟店を中心とする非営利組織です。現在、MRCの活動地域は米国、欧州、APACへと広がっており、会員企業は700社以上と大規模な組織へ成長しています。

     

    MRCの活動目的としては「決済の最適化」「不正利用の防止」「リスク管理」といった項目が掲げられており、年間を通じたオフライン・オンラインでのイベント開催のほか、不正防止に関する教育コンテンツの提供や業界の規制・基準に対する提言等多岐に渡る活動を行っています。MRCの会員企業は公式サイト[1]で公開されており、グローバル企業を中心に多数の加盟店が所属しているほか、行政機関や警察機関も会員となっており、様々なステークホルダーで形成されたコミュニティであることが特徴です。

    MRC Vegas 2024概要

    会場現地の様子

    今回筆者が参加したMRC Vegas 2024は、MRCが年数回開催しているオフライン型イベントの1つです。参加企業によるセッションのほか、ソリューション・サービスのブース展示やテーマごとに分かれて議論するRound table等、様々な形での情報共有が行われる場となっています。

     

    会場はラスベガスのメイン通り沿いにあるホテル「ARIA Resort & Casino」で、カジノを通り抜け地下へ降りた先のカンファレンスホールに設営されていました。運営委員のKeynote Sessionによると、本イベントの参加者数は約1,800名、ワークショップ・セッション数は約100であり、いずれも過去最大規模とのことでした。

    ▼会場入り口の様子会場入り口の様子
    ▼メインホールでは食事の提供も▼メインホールでは食事の提供も
    ▼参加企業による多数の展示参加企業による多数の展示

    参加者はセッションスケジュールや会場マップを専用のモバイルアプリでいつでも確認でき、効率よく会場を回れるよう工夫されていました。また、参加者同士がワークショップ形式で不正利用対策について議論する場が設けられる等、イベント全体を通じてコミュニケーションを促す仕組みづくりもされており、加盟店のみならず、カードブランドや決済代行業者、不正利用対策のソリューションベンダやコンサルティング会社等、様々な企業がカジュアルに情報交換を行っている姿が印象的でした。

    イベント全体のキーワード

    MRC Vegas 2024では様々な角度から不正利用対策について論じられていましたが、イベント全体を通じてよく見られたキーワードは「リスクベースの対策」そして「対策の自動化」です。

     

    前者は不正利用対策とユーザビリティのバランスに悩む加盟店にとって、非常に重要な観点です。一般的に、クレジットカードを利用した決済においてセキュリティレベルを上げると、認証ステップの増加等により顧客の利便性が低下し、結果として売上に悪影響が生じてしまいます。

     

    一方でセキュリティレベルを下げると不正利用の増加へと繋がり、イシュア(カード会社)によって取引承認の閾値が厳格化され、承認率が下がる恐れがあります。不正利用が多発する場合は「不正顕在化加盟店」へ指定され、最悪の場合は加盟店契約が解除されてしまうという可能性もあります。加盟店が効果的な対策を講じるためには、高リスクと判断した取引については厳しい不正利用対策を課す一方で、低リスクの取引については対策を緩めるといった形で、取引ごとにリスクベースの判断を実施できるかどうかがポイントとなってきます。

     

    後者は昨今のITトレンドとも通ずるものですが、AIや機械学習を利用した自動化も注目のテーマです。セキュリティに割けるリソースが限られている中で、前述したようなリスクベースの判断を人力で行うことは容易ではありませんが、昨今はこうした対策を高度に自動化するAI・機械学習ソリューションが多数提供されています。ソリューションを活用すれば、加盟店はリソースを他の業務へ割り当てることができるほか、顧客のユーザビリティ改善とそれに伴う売上の増加も見込めます。ソリューションのコストも考慮する必要はありますが、長期的な目線で見れば、不正利用対策の自動化は加盟店のビジネス拡大にも寄与すると言えるでしょう。

    参加セッションレポート①A Playbook for Customizing Your Authentication Strategy

    続いては、今回参加したセッションの中から国内外の加盟店が直面している主要な脅威に焦点を当て、追加情報や考察も交えて紹介していきます。

     

    本セッションはチケット販売サイトを運営するTicketmasterと決済代行業者のPayPal、EC決済認証サービスを提供するCardinalCommerceによる対談形式のセッションです。本セッションでは重要な不正利用対策の1つである「認証」にフォーカスし、顧客の利便性を損なわずに安全な認証を実現する方法について議論が交わされました。

     

    中でも特に着目されていたトピックは、オンラインのクレジットカード利用時の認証方式であるEMV 3Dセキュア(3DS2.0)です。日本国内ではEC加盟店に対して2025年3月末までに導入が義務化されていますが、グローバルではどういった状況なのでしょうか。また、安全な取引を実現するための方法として、EMV 3Dセキュア以外の選択肢はあるのでしょうか。EMV 3Dセキュアの現状と加盟店の取りうる戦略、そして今後の展望について、本セッションの情報をベースに解説します。

    EMV 3Dセキュアの仕組みと法規制の動向

    まず初めに、EMV 3Dセキュアの仕組みについて簡単に説明します。

    下の図の通り、顧客がECサイトで商品を購入しようとすると、まず加盟店からイシュアに対して購入日時やアクセス元等の購入情報が送られます。イシュアはそれらの情報を基に、取引がカード所有者本人によるものであるかどうかを見極めます。

     

    ここで最初のステップとして、まず「リスクベース認証」が行われます。イシュアにより高リスクと判断された場合は承認が行われず、反対に低リスクと判断された場合はそのまま承認されます。中リスクと判断された場合は次のステップである「チャレンジ認証」が行われ、これをクリアした取引が承認されるという仕組みです。

     

    また、EMV 3Dセキュアを利用した取引において不正利用が発生した場合、その責任は加盟店ではなくイシュアが負うこと(=ライアビリティシフト)も特徴の1つです。

    EMV 3Dセキュアの仕組みEMV 3Dセキュアの仕組み

    従来型の3DS1.0では、すべての取引でパスワード入力による認証が要求されることから、それを負担に感じる顧客が離脱してしまう(=かご落ちする)点がデメリットとなっていました。また、認証も固定パスワードによるものであり、破られやすいという課題がありました。

     

    EMV 3Dセキュアでは低リスクと判断された取引は追加認証なしで承認されるため、顧客による認証を要求されるのは一部の取引のみとなりました。また、チャレンジ認証で利用する認証要素としてOTP(ワンタイムパスワード)や生体情報が求められており、より安全性の高いものとなっています。

     

    様々な課題が解決された一方で、EMV 3Dセキュアには残された課題も存在します。チャレンジ認証をクリアできずに顧客が離脱してしまうリスクが依然として残るほか、その前段階のリスクベース認証で正常な取引が高リスクと判断されてしまい、自動的に不承認となってしまう可能性もあります。では、加盟店はEMV 3Dセキュアとどのように向き合うべきでしょうか。

     

    ここで、グローバルな市場におけるEMV 3Dセキュアの法規制について見ていきましょう。

    EMV 3Dセキュア に関する規制はヨーロッパが先行しており、「決済サービス指令第2版(PSD2=Payment Service Directive 2)」により、EEA(欧州経済領域)圏内でオンライン決済を行う事業者に対して強力な顧客認証(SCA=Strong Customer Authentication)が義務付けられています。このSCAの要件として二要素認証が要求されていることから、EEAではEMV 3Dセキュアが実質義務化されている状態です。

     

    併せて、EEAではSCAの免除要件も設けられています。要件はいくつかありますが、中でも適用範囲の広いものとしてトランザクションリスク分析(TRA=Transaction Risk Analysis)による免除が挙げられます。この要件では、加盟店がソリューションを用いてリアルタイムのリスク分析を実施し、低リスクと判断した取引についてはSCAの免除、つまりEMV 3Dセキュアの免除を行うことが認められています。

     

    一方、日本国内では「クレジットカード・セキュリティガイドライン 第5.0版」により、2025年3月末までに原則全てのEC加盟店に対してEMV 3Dセキュアの導入が求められています。また、本記事の執筆時点において、当該ガイドラインには免除に関する規定は存在していません。このことから、EMV 3Dセキュアに関する日本の規制はヨーロッパと比較して厳しいものであると考えられます。

     

    また、北米をはじめとしてEMV 3Dセキュアの導入が義務付けられていないエリアも数多く存在します。地域によってEMV 3Dセキュアを取り巻く状況にはばらつきがあるため、それらを把握した上で認証の仕組みを構築することが重要です。

    リスクベースで考える最適な認証フローとは

    では、上記を踏まえて考えられるベストな戦略はどういったものでしょうか。

    以下の図はセッション内で共有された、各地域の法規制とリスクベースの判断に基づき最適化された認証フローの一例です。

    法規制とリスクベースの判断に基づく認証フローの例法規制とリスクベースの判断に基づく認証フローの例

    引用元:MRC Vegas 2024 - A Playbook for Customizing Your Authentication Strategy

     

    図のフローは顧客が加盟店のwebサイトを訪問するところから始まり、商品を購入する場合は左のフロー、支払い情報を更新する場合は右のフローへと分岐しています。支払い情報の更新についてはEMV 3Dセキュアの利用が推奨されていますが、購入の場合はフローがさらに枝分かれしています。

     

    購入時の最初の分岐点は、「Regulated Market?=オンライン決済の認証に関する法律やガイドラインによる規制があるかどうか?」です。先に述べたEEAや日本は「Yes」となり、さらに「Exception Available?=規制を免除する手段があるか?」によって対応方法が変わってきます。日本の場合、本記事執筆時点では免除要件が存在しないため「No」となり、すべての取引にEMV 3Dセキュアを適用する一番右のフローに該当すると考えられます。免除要件のあるEEAは「Yes」で右から2番目のフローとなり、TRAを実施することでSCAの免除を受け、顧客が承認を購入する際に生じる摩擦を減らすことが可能です。

     

    一方、規制のない市場についてはどうでしょうか。前述のRegulated Market?から「No」のフローへ進むと、加盟店によるリスクプロファイルの実施が想定されています。その結果高リスクと判断した取引はEMV 3Dセキュア、その他の取引はData Only[2]で認証を行うことがベストプラクティスとなっています。Data Onlyでは顧客による認証のステップが省略されるため、こちらも摩擦を減らせる良い手段であると言えます。

    MasterCardにおけるEMV 3Dセキュア とData Onlyの違いMasterCardにおけるEMV 3Dセキュア とData Onlyの違い

    引用元:https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Data-Only-Infographic.pdf

     

    グローバルな市場で商品やサービスを販売している加盟店は、地域ごとの法規制に合わせた認証方法を採用することが可能です。その上で加盟店自身のリスクプロファイルに基づき取引のフローを振り分けることで、ユーザビリティを最大限に維持しながら安全性の高い取引を行うことが重要となっています。セキュリティとユーザビリティの最適なバランスを見極めながら、認証の仕組みを構築して頂ければと思います。

    EMV 3Dセキュアの現状と今後

    最後に、EMV 3Dセキュア を取り巻く国内外の現状と今後の展望について、筆者の考察も交えて記載していきます。

     

    EEAでSCAの義務化(≒EMV 3Dセキュアの義務化)が進められていることは先ほど述べた通りですが、実は免除要件によりEMV 3Dセキュアを通過しない取引が多いという実態があります。「ペイメントカード・セキュリティフォーラム 2023」において発表された、不正利用検知ソリューションを提供するForter社の講演[3]によると、イギリス、ドイツ、イタリア、スペインといった国では約9割の取引でSCAが免除されているとの報告があります。SCAを免除する場合はライアビリティシフトが適用されず、加盟店が不正利用の責任を負うことになりますが、売上への影響と天秤にかけて免除を選択する加盟店が多いようです。こうした情報からも、EMV 3Dセキュアに残るかご落ちや取引不承認のリスクと、それが売上にもたらす影響が無視できないものであることが分かります。

     

    「クレジットカード・セキュリティガイドライン 第5.0版」では免除要件が規定されていないため、EMV 3Dセキュアの義務化完了後に加盟店へ生じる影響については今後注視すべきであると考えています。また、加盟店からの声を受け今後何らかの免除要件が設けられることも有り得るかもしれません。

     

    ただし、仮にそうなった場合もSCAと同様に加盟店側でのリスク分析は要求される可能性が高く、いずれにしてもリスクベースの判断を実施することは避けられないと予想しています。その動きはグローバルで見ても同様であり、判断をイシュアへ委ねて責任もイシュアへ移譲するか、あるいは加盟店自身が判断して責任も自身で負うか、いずれかを選択する形がスタンダードとなっていくのではないでしょうか。

     

    後編では、チャージバック処理の効率化やグローバルな不正利用の動向について解説します。

     

    後編記事はこちら

     

     

    関連サービスはこちら
     

    [1] https://merchantriskcouncil.org/

    [2] リスク情報を取引オーソリゼーションのリクエストへ組み込むデータフロー。Data Onlyのリクエストが成功した場合は顧客への追加認証が発生しない。ただしData Onlyはライアビリティシフトが行われないため、不正な取引が生じた場合は加盟店の責任となる。また、利用可能な国と地域はカードブランドおよび決済代行業者により異なる。

    [3] 「欧州規制PSD2から見るEMV 3Dセキュアの状況とForterソリューションを活用した国内外の最新事例(上)」

    https://paymentnavi.com/paymentnews/128681.html