セキュリティガイドライン【6.0版】の改訂ポイントを探る

線としての考え方に基づく不正利用対策

第2の改訂ポイントは、カード情報保護対策と並ぶ、セキュリティ対策のもう一つの柱である不正利用対策として、EC加盟店にEMV3DSの導入と適切な不正ログイン対策の実施を求めた点だ。

二つの対策を同時に求めたのは、5.0版が打ち出した「線の考え方」を実践するためといえる。この考え方は、EC加盟店における不正利用が、「カード決済のタイミングだけではなく、顧客がEC加盟店のWebサイトの利用を開始してから商品の受け渡しが完了するまでの間に様々な手口により行われている」実態を踏まえたものだ。

カード決済前には、窃取された属性情報、ID・パスワード等により不正ログインが行われ、カード決済時にはなりすましによるカードの不正利用が行われ、カード決済後には不正に購入された商品が配送・転売されており、「取引の一連の流れの中で、不正利用につながる複数の攻撃が行われている」ことから、新GLは「カード取引の流れを『線』として捉え、その線上の各タイミングにおいて適切な不正利用対策を講じることが、不正利用防止の実効性を高めることとなる」として、「線の考え方」を、「EC加盟店の不正利用対策の基本的な考え方とする」（9ページ）と宣言した。

こうした考え方を基に、新ガイドラインは、カード決済時の対策としてEMV3DSの導入を、カード決済前の対策として適切な不正ログイン対策の実施を求めたわけだ。

ここではまず、EMV3DSに関する記述から見ていこう。

EMV3DSの仕組みと特長

新GLの用語集によれば、EMV3DSは「オンラインショッピング時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うために国際ブランドが推奨する本人認証サービス」（11ページ）だ。

EMV3DSの最大の特長は、「各カード会社（イシュアー）が、カード会員のデバイス情報等を用いて不正利用のリスク判断を行うとともに、必要に応じてパスワード入力を要求することで当該取引における安全性を確保する」ことにある。つまり、リスクベース認証を行う点が特徴といえる。

リスクを高・中・低で分けると、低リスクの場合はパスワード等の入力なしに認証が完結する。

カード会員にとってはパスワード等を入力する手間が一切かからないので「フリクションレスフロー」と呼ばれている。

中リスクの場合は、SMSやアプリ等に送信したワンタイムパスワード等で追加認証を行う。これは「チャレンジフロー」と呼ばれる。

高リスクの場合は、不正利用の蓋然性が高いので認証を拒否し、決済が行えないようにする。

従来の3DSはリスクベース認証が必須ではなく、また固定パスワード等による追加認証を基本としていたので、追加認証の手続が分からないとか、パスワードを覚えていないといった理由で、買物をあきらめてしまう人も多かった。いわゆる「かご落ち」が発生しやすいので、3DSの導入に難色を示すEC加盟店は少なくなかった。

その点、EMV3DSであれば、かご落ちのリスクが低減するので、EC加盟店も導入しやすいといわれている。

新GLは5.0版で指針対策として掲げられた「オーソリゼーション処理の体制整備」と「加盟店契約に定める善良なる管理者の注意義務の履行」は引き続き指針対策とした上で、EMV3DSの導入を指針対策に追加した。

新GLは「イシュアーによる本人確認が適切に行われるための措置として、EC加盟店はEMV 3.D セキュアを導入する」（38ページ）とした。

実は、EMV3DSも脆弱性対策と同様に、5.0版で言及されていた対策だ。5.0版では「2025年3月末までに、原則、全てのEC加盟店にEMV　3.D セキュアの導入が求められることから、EMV 3.D セキュアの導入計画を策定し早期にEMV 3.D セキュアの導入に着手することが求められる」（34ページ）と記述していた。

これも、報告書が示した方針を踏まえたものだった。

5.0版はEMV3DSの計画的導入を促すことを主眼としていたが、新GLは「導入する」という表現で、EC加盟店が原則として取り組む対策と位置付けたといえる。

EC加盟店はEMV3DSを導入し、原則として決済の都度、EMV3DSによる認証を行うことが求められるようになるわけだ。