非対面クレジットカード取引のセキュリティ向上に向けた調査・研究

日本クレジットカード協会のプレスリリース

日本クレジットカード協会(略称JCCA、会長:中西 章裕 ユーシーカード株式会社 代表取締役社長)は、業界の懸命の努力にも拘わらず被害額が増加し続けている非対面取引の不正使用について、中長期的な視点に立った不正使用防止策の普及促進策を検討する必要があると考え、株式会社エヌ・ティ・ティ・データ経営研究所の協力を得て、国内・海外での先端的取組事例等の調査により、日本での実装・普及に向けた課題の抽出、解決策の調査及び研究を実施。本調査及び研究を踏まえ「非対面クレジットカード取引のセキュリティ向上に向けた取り組み」~本人認証技術の非対面取引への普及促進にむけて~と題した調査報告書を取りまとめました。
JCCAは「安全・安心・簡単・便利」なクレジットカード取引のため、健全なキャッシュレス業界の発展のため不正使用防止にむけ取り組んでまいります。

<調査概要>
本調査では、今後非対面取引の不正使用被害防止に効果が期待できる方策として、3方策を選定し、分野を問わない国内外の本人認証活用事例調査も加えた計4方策の調査を行った。
①非対面取引におけるスマートフォンの生体認証機能の活用
 実現性の高さより、以下5種類のスマートフォン搭載本人認証方法に絞って考察、評価を行った。
 (スマートフォン搭載済認証方法:指紋、静脈、虹彩、顔、音声)

②SMSやプッシュ通知等によるカード利用時の利用確認
 「利用前」に「利用確認」として活用可能なスキームとして、セキュリティコード等、既存の何らかのユニーク
 キーを可変化し、ワンタイムトークンとして認証する方法を主軸とした考察、評価を行った。

③イシュア等の提供情報による加盟店での対策
 fdecの課題を把握、解決し、サービスレベル向上させ、活用するための考察、評価を行った。

④その他、本人認証等についての国内外成功事例
 不正利用防止につながる国内外の事例を調査し、活用するための考察、評価を行った。

⑤各機能の発展形
 各種対策手法を発展させ、より効果が期待できるものと考えられる手法の考察、評価を行った。

<調査結果サマリ>
①生体認証
 生体認証はスマートフォンでも使われており一般に使い慣れたものとなっていることから、カード決済時の本人
 認証方法として期待できるものと考えられる。
 なお、カード会員の利便性等の観点から、パスワードレス認証の国際規格であるFIDO・FIDO2の仕様を
 活用した3つの方法を整理。
 ※FIDO・FIDO2:カード会社が会員の生体情報そのものを保管することなくスマートフォンによる生体
  認証が可能になるスキーム。
  iPhoneでは顔・指紋認証、Androidでは顔・指紋・虹彩・音声(Google Home)で対応。
A.オーソリ電文に生体認証結果を付加する方法
・加盟店の決済画面で生体認証を行い、加盟店は認証結果を付加し、カード会社へ送る。
・カード会社は、予め登録した情報で(生体)認証結果が解読できたら、加盟店に結果を返す。
B.スマートフォンアプリから生体認証結果をカード会社に送る方法
・スマートフォンから決済画面に生体認証結果を連携できない場合に、直接カード会社に生体認証結果(+オーソ
 リに必要な情報)を送り、その結果を加盟店に通知する。
C.スマートフォンからカード会社に生体認証結果を送る方法
・カード会社の自社サービス(会員ポータル等)にログインし、そこからEC加盟店へアクセス~決済する場合、
 自社サイトへのログインにより、真正本人であることを確認(認証)する。
・この認証結果を加盟店にも連携し、加盟店は認証結果を付加してカード会社に送ることで、本人利用を確認
 する。
⇒より実現性の高い方法としてCが期待できる。

②SMS/プッシュ通知
 「利用前」に「利用確認」としてSMS、プッシュ通知等を活用し本人に直接通知することがカード決済時の
 本人認証方法として期待できるものと考えられる。
 そのため、加盟店でのシステム的な対応が不要な点も踏まえ、スマートフォンアプリやカード本体で可変化した
 セキュリティコードを表示する2つの方法を考察。
A.スマートフォンに可変セキュリティコード及び生体認証を搭載する方法
・動的セキュリティコードを発行する「OTP(ワンタイムパス)アプリ」をダウンロードし、(本人認証と)
 利用登録を行う。決済時はアプリで通知されるセキュリティコードを使用し決済を行う。
B.カードに可変セキュリティコード及び生体認証を搭載する方法
・OTP搭載カードにより、決済時は、真正本人がカード券面上で指紋認証を行い、認証結果OKの場合に表示
 されるOTPで決済する。
⇒スマートフォンアプリやカードに生体認証機能を付加することで強固な本人認証が可能になるためSMS、
 プッシュ通知等を「利用前」に活用する方法としてA.B共に期待できる。

③イシュア共同
 fdecの情報量の拡充と精度、機能向上として他サービスの取込や新たな情報提供先との協業、加盟店に負荷が
 少ないリスト照合の自動化による加盟店での利便性向上による効果拡大が期待できるための3つの方法を考察。
A.他サービスの取込
・複数項目によるチェック機能を搭載し、その条件に合致した取引を検知する。
B.機能性向上
・情報提供先の拡大、データ項目の追加により機能向上を図る。
C.BPR(自動化)
・データ照合の自動化による業務負荷軽減及びサービス品質の強化を図る。
⇒fdecの効果を更に高める方法として、いずれも効果を高めることが期待できる。

④その他成功事例
 その他、国内外事例や上記考察を組み合わせるなどして、これまでの検討の中から発想を得た対策手法を考察、
 検討。アプリでのカード会員自身でのカード機能コントロール、スマートフォン自体のIDとカード情報の紐付
 け等の効果が期待できるため、2つの方法を考察。
A.カード会員自身によるカード機能のコントロール。
・会員自身が、オンライン決済可否や1回あたりの決済限度額等を設定可能とすることで、会員にとって想定外の
 取引が発生することを防止する。
B.スマートフォン等のIDとカード番号の紐付け。
・カード番号とスマートフォンのデバイスID等を紐づけ、認証要素として利用する。これにより、決済に使われ
 たスマートフォンが日頃使われているものか、真正本人のものか等を把握し、状況に応じてカード会社によるカ
 ード制御を行う。
⇒会員自身によるコントロールができるAが期待できる。

⑤各機能の発展形
 これまでの検討の中から発想を得た対策手法を発展させ、より効果が期待できるものと考えられる2つの方法を
 考察。
A.高機能アプリの開発。(多数の要素をもつアプリ開発により更に効果が期待)
 カード会員とカード発行会社のコミュニケーションをいかに負担なく簡単に行えるかが重要であり、その実現に
 あたっては会員サービス面の機能をベースにセキュリティ面の各種の機能も備えたカード会員向けのアプリ(高
 機能アプリ)を作成し普及させることが必要だと考えられる。
≪主な機能≫
・OTPの表示機能
・カード会社からの本人利用確認問合せ機能
・使用スマートフォン端末のID取得機能
・生体認証必要情報の取得機能
B.タッチ決済機能付きクレジットカードのスマートフォンでの読取。
 NFC取引では、カードが本物であることを瞬時に確認できる技術(EMV)が使われており、また、カード上
 で指紋による生体認証機能を有するカード(実用化済み)を採用すれば 、「真正なカードが真正な本人により
 利用された」ことが確認出来ることとなり、極めて安全性の高い取引が実現できることから、非対面取引での
 不正使用防止効果は極めて大きいものになると考えられる。

■報告書(公表版)はJCCAのHPからダウンロード可能です。
https://www.jcca-office.gr.jp/ 

以上