【クレジットカード不正利用を知る】3-Dセキュアだけでは防げない! 不正検知システムの役割-Akuru代表近藤修氏、取締役栗田和明氏

-クレジット取引セキュリティ対策協議会では不正利用対策として4つの方策を提唱していますが、旅行商品の販売に関わりが深い3-Dセキュアやセキュリティコードの有効性についてご意見をお聞かせください
Akuru取締役・プロダクトマネージャーの栗田和明氏

栗田 いずれも導入すれば、何もしていない状態と比べれば不正利用を防ぐことはできますが、不正利用者がいなくなるわけではありません。セキュリティコードは本来スキミング対策が目的ですし、不正利用者にはカード番号とセットで知られてしまっている前提で対策を考えた方がいいでしょう。

 3-Dセキュアについてもパスワードが漏れてしまっていることが一般的で、単体では不正利用を防げない状態になってきています。また3-Dセキュアを導入していても、パスワードを登録していないカードの場合は確認をスキップして決済まで進める方式を採っている会社がほとんどのため、昨年はそこが狙われる事例も発生しました。3-Dセキュアを導入することでチャージバックは加盟店の負担ではなくなるものの、根本的な不正利用の防止にはなっていないのが実態です。

近藤 3-Dセキュアを導入しているのに不正顕在化加盟店(編集部注:定期的に一定額以上の不正利用が発生している加盟店。改善が見られない場合加盟店契約が停止される可能性がある)に認定されたという報告をいただくケースもあります。チャージバックが来ないから3-Dセキュア以外の対策を行っていないという加盟店も多いのですが、そこが不正利用者のターゲットになっています。カード会社の負担も拡大しているため、カード会社が不正検知システムの導入を加盟店に薦める動きや、加盟店が不正検知システムを導入しない場合は3-Dセキュアを外すという流れも出てきています。

-OTAでは3-Dセキュアはあまり導入されておらず、不正検知システムの導入が進んでいると聞いていますが、理由はどこにあるとお考えでしょうか

栗田 3-Dセキュアの導入がユーザーの利便性に影響することを懸念してだと思われます。当社の不正検知システムの場合、利便性を損なわずに不正を減らすことができるという点で支持をいただいています。

 

近藤 とはいえ、不正検知システムも当然万能ではなく、AIで計算をしたり過去のトレンドを蓄積して、「この人物が怪しいのではないか」というヒントを出してくれる補助的な装置でしかありません。不正利用者はさまざまな手を使って検知の網を乗り越えてきます。不正検知システムは導入したら終わりではなく、それを使っていかに相手の動きを牽制していくかが重要です。

 最近ではカード発行会社でオーソリゼーションの基準を厳しくする傾向もあり、不正の発生の多い加盟店ではユーザーが決済できなくなり、実質カード決済を止められたのと同じ状況になってしまうという事象も増えています。単純な比較はできませんが、不正検知システムはその対策として必要なものだと考えています。