セキュリティガイドライン【6.0版】の改訂ポイントを探る

EMV3DSの未導入が認められる場合も

以上はいずれも、EC加盟店がEMV3DSを導入することを前提とし、一部例外を認める運用だが、そもそもEMV3DSの未導入が認められる場合もある。三つの類型があり、第一は電話やファクス、郵便によりカード番号の通知を受ける取引など、技術的にEMV3DSが導入できない場合だ。いわゆるメールオーダー、テレフォンオーダー（MO・TO）による非対面取引加盟店である。

第二は、システムにより特定の者とのみ取引が可能な措置が講じられており、なりすましによる不正が発生する蓋然性が極めて低いもの。法人間取引専用サイトや販売代理店専用サイトでの取引等が該当する。

第三は、取引対象となる本人が特定されており、なりすましによる不正が発生する蓋然性が極めて低いもの。公共料金、税金、保険料、学校教育費をカード払いする場合などが該当する。

ただし、未導入が認められても、不正顕在化加盟店（3カ月連続50万円超）になってしまった場合は、導入が必要になる。また、不正利用の状況からアクワイアラー等が、緊急性が高いと判断した場合は導入を要請し、加盟店は導入を行うこととなる。

EMV3DS導入に向けカード会社が取り組む課題

脆弱性対策と同様、アクワイアラー等はEMV3DSの導入・運用をサポートすることが求められる。また、イシュアーとアクワイアラー等は共に、システムの安定稼働のための対応に「関係事業者と連携し継続的に取り組む」必要がある。

これらはセキュリティ対策全般に共通する取組といえるが、カード会社はEMV3DS特有の取組も求められる。まず、イシュアーにはシステムの安定稼働以外に、①発行カードのEMV3DSの導入（自社カード会員のEMV3DSの登録）、②リスクベース認証の精度向上、③ワンタイムパスワードの送付先の登録情報（携帯電話番号やメールアドレス等）の最新化が求められる。①については、日本クレジット協会のインフラ整備部会がEC利用カード会員の8割という目標を掲げている。

一方アクワイアラーに対しては、導入及び運用サポート、システムの安定稼働に加え、AReq（エーレック）設定項目の充実が掲げられた。これはリスクベース認証の精度向上のために、EC加盟店からイシュアーに連携される情報をできるだけ拡充していくことを意味している。EMV3DSでは加盟店やPSPからAReq電文と呼ばれる電文が送られるが、AReq電文には利用者のデバイス情報などの各種個人情報項目を送信するための項目が設けられている。新GLはアクワイアラーに対し、「カード会員のデバイス情報等をより多く提供できるようにするために、提供する情報を適宜見直すなど、データ項目の設定等をサポートする」ことを求めた。

逆に、新GLはEC加盟店に対し、「カード会員のデバイス情報等の情報をカード会社（イシュアー）により多く提供できるよう、また提供する情報を適宜見直せるよう、データ項目の設定等を行える等の体制を整えることが求められる」とした。