「3-Dセキュア」とは何か？なぜ普及してこなかったのか

　ワンタイムパスワードを利用した3-Dセキュアはこれまで国内で採用されてこなかったが、10月からいよいよジャパンネット銀行（JNB）の「JNB Visaデビット」による決済で採用される。

　3-Dセキュアとは、加盟店ドメインとカード発行会社ドメイン、そしてカードブランドドメインという3つの「D」を結んだ認証方法のこと。クレジットカードに記載されている情報（クレジットカード番号や有効期限）に加えて、あらかじめ設定したパスワードなどの「自分しか知らない情報」を使って、利用者本人とカードブランドが直接認証を行う仕組みにより、高い安全性が確保できる。


　国際ブランドのVisaが開発した技術で、MasterCardとJCBは技術供与を受けて採用。Visaでは「VISA 認証サービス」、MasterCardでは「SecureCode（セキュア・コード）」、JCBでは「J/Secure（ジェイセキュア）」の名称で展開されている。

　クレジットカードは本来、店頭で署名とともに利用されることを前提としてきた。しかし、ネット上では署名が行えないため、クレジットカード番号と有効期限というカードに記載されている情報だけで決済が行える仕組みを採用してきた経緯がある。しかし、こうしたCNP（Card Not Present：カードを加盟店に提示しない支払い）による不正利用がいま、大きな問題となっている。

　CNPによる不正は日本だけの問題ではなく、イギリスや米国、オーストラリア、台湾などでも急増している。たとえば、欧州ではSEPA（Single Euro Payments Area）によるEMV ICカード化の取り組みにより、カードのIC化、ATMやPOSのIC対応が進められ、リアル店舗の不正抑制に大きな成果を挙げた一方で、CNPによる不正には悩まされ続けている。

　日本でも、業界団体の日本クレジット協会が2007年にインターネット決済の売上高上位100店に対し、本人認証技術「3-Dセキュア」や「セキュリティコード」などの推進を実施。2011年3月に、「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」を制定し、同ガイドラインでは新規のインターネット加盟店に対し、3-Dセキュアなどの導入を義務付けた。

　しかし、同ガイドラインは大手ショッピングモールや決済処理事業者などが大反発。その理由として、ある決済処理事業者の代表者は、「ユーザビリティの大幅な低下」を挙げている。実際、3-Dセキュアを導入したある店舗では、その前月に比べ売り上げが20～30％低下しているとの報告もある。また、システム対応にかかるコスト負担もある。

　そこでその後、日本クレジット協会は同ガイドラインを改定。2012年4月に「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」を策定し、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式を認めている。

　また、経済産業省が2014年7月11日に発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告でも3-Dセキュアの導入促進を図るとされており、万が 一導入しない事業者についても3-Dセキュアと同等以上の対策を講じるよう要請していくと記載されている。

　反発を招いた3-D セキュアだが、導入しているECサイト加盟店で発生した不正被害については、基本的にカード会社側が被害額を負担してくれるメリットもある。実際、業界をあげて3-Dセキュアを導入した日本オンラインゲーム協会では、不正利用の抑制に大きな成果を上げている。また、同業界の場合は、いったんは売り上げは低下したというが、2カ月目以降は回復したという。

　こうした事例もあるが、3-Dセキュアは現在、オンラインゲームを中心としたごく一部のサイトの利用に限られるのが実情だ。そもそも3-Dセキュアの認知度自体が、過去のVisaの調査を見ても20～30％とかなり低い。

　その原因として、まず、楽天やAmazonといった大手ショッピングモールは、一度登録したIDとパスワードのみで決済可能な“ワンクリック決済”が主流となっている点が挙げられる。一方、3-Dセキュアでは、カード所有者はあらかじめカード会社のWebサイトでパスワードを登録する必要があり、決済時に入力項目が増えることになる。

　さらに、3-Dセキュアのパスワードそのものが盗まれたケースもあり、その対策として大文字・小文字、数字、記号、過去の番号の使い回しを禁止しているため、覚えにくいという面がある。しかし、この覚えにくさの面はワンタイムパスワードが解決してくれそうだ。

【次ページ】世界で徐々に普及するディスプレイカード