2019年8月26日8:00

安心・安全な環境を整備し、リスクベース認証で会員のカード決済体験向上へ

三井住友信託銀行グループのクレジットカード会社である三井住友トラストクラブは、2019 年7 月、日本で初めて、本人認証サービス（3-Dセキュア）のバージョン2（Ver.2）を本格的に導入した。同社は、クレジットカード利用の拡大が著しいインターネット取引において、多様化・巧妙化する犯罪手口に対抗する不正使用対策を重要課題と位置付けている。業界に先駆けて、3-Dセキュアのバージョン2（バージョン1 も対応）を導入することで、ノウハウの蓄積を図り、進歩が速いセキュリティ技術への対応を強化する。

EC 取引の不正対策に効果的なバージョン2
多面的・重層的な不正利用対策が重要に

三井住友トラストクラブは、クレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」に基づき、安全、安心なクレジットカード取引におけるセキュリティ対策を推進している。三井住友トラストクラブ 商品企画部長 野泉和宏氏は、「すでにクレジットカード業界では3-Dセキュアのバージョン1 の商用提供が進んでいますが、非対面取引におけるクレジットカードの不正利用対策が喫緊の課題です」と話す。

2018 年6 月に施行された改正割賦販売法では、クレジットカードを取り扱う加盟店に対して、カード情報を適切に管理することが義務づけられた。同実行計画では、非対面取引におけるクレジットカードの不正利用対策として、「リスクに応じた多面的・重層的な不正利用対策」の導入を求めている。

リスクベース認証でセキュリティと利便性を両立
バージョン1も合わせて導入し、セキュリティ強化

店員とカード保有者が対面せずに決済が行われる非対面取引の中でも、不正利用被害のほとんどがEC 加盟店において発生している。三井住友トラストクラブが導入する3-Dセキュアのバージョン2 は、ネットショッピングにおいての不正利用対策に効果を発揮する。

具体的には、バージョン2 は、その都度パスワードを通知する「動的パスワード認証」により、パスワードが思い出せないためにインターネット取引を断念するといった不便がなくなるのが特徴だ。

また、インターネット取引利用者が、ネットショッピング時に使用する機器のデバイス情報や、利用者のクレジットカード利用履歴に基づいて利用者の不正使用リスクを判断する。加盟店側の3-Dセキュアの環境と利用者の不正使用リスクレベルによっては、パスワード認証をすることなく取引ができるため、利便性を向上できる。

三井住友トラストクラブは、バージョン2 によって顧客の利便性、安全性が向上するため、3-D セキュアの導入を決めた。同社はこれまで、3-D セキュアのバージョン1 も導入していなかったが、野泉氏は「バージョン2 の導入について、まだ100％義務化されていないため、投資環境や加盟店の意向も踏まえて様子見のカード会社が多いですが、バージョン2 を先行導入し、このタイミングでバー
ジョン1 も導入します。これにより、ユーザー、加盟店の利便性が一気に高まるはずです」と話す。

Mastercard はAPエリアで初のバージョン2 認定
ダイナースクラブ加盟店への啓発活動も強化

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年8月27日8:30

自然言語処理、OCR、画像解析の3種類のAIを活用

ジェーシービー（JCB）では2018年8月より、AIを活用して加盟店の不正情報を検出する加盟店管理システムを、全面稼働させている。自然言 語処理、OCR（光学的文字認識）、画像解析の3種類のAIを用いて、インターネット上から多面的かつ効率的に情報を収集・ 分析し、不正の可能性を洗い出す。加盟店管理の分野におけるAI活用は国内初の試み。人手のみで行っていたときと比較して、作業効率が格段に向上しただけでなく、精度のばらつきもなくなった。JCBではこうして得た加盟店情報を他のアクワイアラ とも共有することによって、非対面決済、キャッシュレス決済が拡大し取引の実態が見えにくくなっている中においても“安全”“安心”な決済環境を確保していきたいとしている。

シングルアクワイアラとして加盟店管理を強化するため
改正割販法施行を機に加盟店審査にAIを導入

日本発の国際カードブランドであるJCBは、国内加盟店契約を 一手に担うシングルアクワイアラである。そのJCBは、より厳格 な加盟店管理を求める改正割賦販売法の施行などを機に、2018年 8月、AIを活用した加盟店管理システムの運用をスタートさせて いる。加盟店管理の分野におけるAI活用の試みは、国内初となった。

ジェーシービー 加盟店管理部長 福嶋章人氏は、この経緯について、「非対面決済、キャッシュレス決済が拡大して、取引の実態が 目に見えにくくなっている現状にあって、“安全”“安心”なカード決済環境を保つには、リスクを早期に捕捉できる仕組みが必要です。そこで、AI活用という発想にいたりました」と説明する。

JCBの加盟店審査には大きく、新規契約時に実施する初期審査と、契約後に毎年継続して実施する途上審査があり、各々、情報収集と審査の２ステップで行われる。初期審査には2013年よりNTTデータのシステムを導入していたが、最も人手がかかっていたのは、定型化しにくく業務が煩雑な途上審査における情報収集だ。10人ほどのスタッフがマニュアルに従ってインターネット上 から加盟店に関する情報を収集していたものの、マニュアルには 書き切れない独特のノウハウが必要で習熟には時間がかかり、人によっても精度にばらつきが生じていた。

10人がかりで作業に当たっても、情報を収集できるのは1日当 たりせいぜい100店。現在、JCBの加盟店数は国内外合わせて約 3,000万。加盟店数、カード会員数ともに年々増加する中で、AI に大きな期待が寄せられたのだ。

自然言語処理、OCR、画像解析の3種類のAIを駆使
加盟店のリスク度合いを３段階で評価

現在、AIが活用されているのは主に、契約後の途上審査において、 インターネット上の膨大な情報から関連情報を見つけ出し、分析して、リスク度合いを暫定的に〇△×の3クラスに仕分けするプロセス。初期審査の段階では基準を満たしていても、契約後に無断で業態転 換を行うといった悪質なケースも散見されるため、JCBの加盟店管理システムではそのような事態も想定して、AIを使って“見張り”をしているのだ。

費用対効果は十分
他のアクワイアラとも情報を共有し業界全体の安全性向上に貢献

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年8月28日7:30

Visa、TISと連携して「Sony Bank WALLET アプリ」に追加

不正検知によるカード利用制限の強化は、時として正常な取引までを阻害しかねない。そこでソニー銀行では、7月10日より、「Sony Bank WALLET アプリ」に、簡易な操作でカード会員自身が本人であることを申告することによって、Visa デビットの利用制限を解除できる機能を追加。わざわざコールセンターに電話をして解除手続きを行わなくても、スムーズに取引を再開できるようにした。この仕組みは、ビザ・ワールドワイド（Visa）の不正検知システム「Visa Risk Manager（VRM）」と、TIS の決済ソリューション「CARD × DRIVE」の連携によって可能となった。コールセンターでも同じシステムを使用してオペレーションの負荷を軽減。電話の件数自体も減らせることから、コスト削減の効果も大きいと期待されている。

本人利用であることを会員自身がアプリを介して申告
即時に利用制限を解除可能に

後を絶たないカードの不正利用に対し、金融機関各社はさまざまな対策を講じている。ソニー銀行も従前からVisa の不正検知システム「Visa Risk Manager（VRM）」でルールを設定し、不審だと思われるカード利用を制限してきた。

だが、利用制限を厳しくすればするほど、正常な取引が阻害されたり、カード会員がストレスを感じたりするケースも増える。そこでソニー銀行では、「Sony Bank WALLET アプリ」に、VRM で利用制限がかかった取引に対して、カード会員に本人利用かどうかの確認を求め、会員自身が利用制限を解除できる機能を追加した。

「Sony Bank WALLET」は11通貨対応のVisa デビット付きキャッシュカードで、2019年3月末時点で約55万枚を発行。ソニー銀行 商品企画部 商品企画課長 前田高明氏が「クラシックカード（一般カード）で3 割の海外利用があります」というように、海外の利用が多い。また、会員のうち約半数が「Sony Bank WALLET アプリ」をダウンロードしており、毎月のようにトランザクションを発生させているアクティブユーザーでは特に、このアプリへのログイン頻度が高い。

利用制限がかかりカードが利用できないとき、同行ではその理由をメールで、また、アプリ利用者に対してはプッシュ通知で知らせている。理由は「残高不足」「利用限度額超過」などさまざまだが、セキュリティシステムによる制限の場合、これを解除するためには、従来は、カード会員がコールセンターに電話をかけて、本人の利用であることを申告する必要があった。これに対して会員からは、「過去にも何度か利用したネットショップなのにどうして毎回ストップがかかるのか」「時差のある海外旅行の最中に、コールセンターの稼働時間に合わせて電話をかけるのは一苦労」といった不満の声が上がっていた。

7月10日から利用可能になった新機能では、取引がカード会員本人によるものであるかどうかを、「Sony Bank WALLET アプリ」から簡単な操作で申告できる。「本人利用です」を選択し、「決定」ボタンを押すと即時に制限が解除され、有効に取引を行うことが可能だ。

ソニー銀行、TIS、Visa の3 社のコラボでサービスを実現
会員の利便性向上、イシュアのコスト削減の両面にメリット

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年8月28日17:00

ソフトバンクグループとソフトバンク、およびヤフーの共同出資会社であるPayPayは、全てのユーザーを対象とした不正利用時の補償制度を利用規約などに明記し、また加盟店向けの規約には、「PayPay」での決済において不正取引が行われた場合の入金保証について明記し、2019年8月28日より適用開始すると発表した。

同社が実施したアンケートの結果によると、スマホ決済サービスを利用しない理由の1つに、不正利用に対する不安があり、また不正利用発生時の補償対応へのニーズが高いことがわかったという。PayPayでは、クレジットカード登録における本人認証サービス（3-Dセキュア）の対応をはじめ、さまざまな不正利用対策を行っており、不正発生率はサービス開始当初に比べて大幅に低減しているが、今回さらに「PayPay」を安心して利用してもらえるサービスにするため、第三者による不正行為による被害に遭われても全額補償する内容を利用規約などに規定した。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年8月29日7:00

サイバーリンクは、同社が開発したFaceMe AI顔認証技術が台湾台中市に本社を構えるフィンテック企業ユビテック社により主力製品の1つであるクラウド POS レジシステム「QLiEER」への導入が決定したと発表した。

顔認証 AI 技術をPOS 決済システムの管理機能に応用した事例であり、従業員の顔を読み取ってシステムロックを解除することで、「QLiEER」 のセキュリティ性と使用効率の大幅な向上が期待されるという。

サイバーリンクFaceMe AI顔認証エンジンは99.8％の認識率を保持しており、NISTおよび MegaFace Challenge によるランキングで、世界で最も正確・高速な顔認証技術の1つに名を挙げられているという。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年8月29日8:00

日本マイクロソフトは、2019年8月28日、新年度のパートナービジネスの事業方針や注力分野に関する記者説明会を開催した。同社では、デジタルトランスフォーメーション（変革）のさらなる推進に向けたパートナーとの連携を拡大する。注力分野の1つである金融機関のデジタルトランスフォーメーションを支援する取り組みとして、インフキュリオン・グループとのキャッシュレス決済普及のための協業を発表した。

「MPM for Industry」で業種に特化したソリューションを提案

日本マイクロソフトでは、ワークスタイルイノベーション、インダストリーイノベーション、ライフスタイルイノベーションと、3つのイノベーションの推進に取り組んでいる。当日は、日本マイクロソフト 執行役員 常務 パートナー事業本部長 高橋 美波氏が登壇し、同社の戦略について紹介した。

国内での№1のクラウドベンダーを目指す取り組みとして、業界特化マイクロソフト パートナー プログラム「MPM for Industry」の対応業種を拡充している。「MPM for Industry」は、製造、流通、金融、ヘルスケアの4業種に92社のパートナーが参画。パートナーが業種に特化したソリューションの提案を進めている。また、業界標準の非競争領域におけるシステム実装やデータ構造をなどをリファレンスした「インダストリー リファレンス アーキテクチャー」により、業種や業態の垣根を超えたオープンイノベーションを推進している。

「ウォレットステーション」をAzure上で展開

マイクソフトでは、キャッシュレスサービス等を提供するインフキュリオン・グループと、 金融機関の利用企業等のデジタルトランスフォーメーションを支援する次世代金融プラットフォームにおいて協業すると発表した。

まずは、QRコード決済に対応したウォレットSoftware as a Service (SaaS) システム「ウォレットステーション（for Banking and Retail）」を マイクロソフトのクラウドプラットフォーム「Microsoft Azure」上で提供を開始する。インフキュリオンがAzureを採用した理由は、まず堅牢性だ。金融機関などでの実績に加え、高セキュリティなども採用のポイントだった。Microsoft Azureが提供するデータ保護の「Azure Backup」、ネットワーク機能の「Traffic Manager」により、大規模災害発生時にも日本国内リージョン内での24時間365日稼働を実現する。

また、国内東西でのディザスターリカバリー構成だったことも挙げられる。さらに、エンジニアフレンドリーな要素、今後もサービスを拡大する中でデータの活用を含めて変革できることが大きかったという。

外部サービスとの柔軟で安全な接続が可能に

インフキュリオン・グループは、「MPN for Industry パートナープログラム」が提供するインダストリー リファレンス アーキテクチャーの策定にも協力している。 Azureの採用により、 金融機関では基幹システムや外部サービスとの柔軟で安全な接続が可能になる。インフキュリオン・グループ 代表取締役社長 丸山 弘毅氏によると、金融業界の在り方が変わっていくなか、銀行はAPI連携などにより、異業種との連携を深めているが、技術ベースでつながっていくためにはリファレンスアーキテクチャやセキュリティは重要だとした。その際、金融機関は、流通事業者やインターネットサービス提供企業の仕組みを知る必要もある。次世代の銀行はコンシューマー向けにより良いサービスを提供することに加え、消費データを活用してお店を活性化させ、金融サービスの強化につなげていく必要があるとした。

なお、インフキュリオン・グループでは、金融機関による加盟店向けのダッシュボード機能・融資申請機能の提供を2019年内に開始する予定だ。今回のマイクロソフトとの協業では、30行の銀行への導入を目指す。

そのほか、日本マイクロソフトでは、パートナービジネスモデルの変革として、マーケットプレースによる拡販強化、パートナー　to パートナー（P2P）によるエコシステム拡大を目指す。また、Azure認定技術者を5,000名増強、業種SE向けトレーニングを7,000名に展開、クラウドやAIの技術者を1万人増強など、人材育成にも力を入れるとした。

当日は、SB C&S 代表取締役社長 兼 CEO 溝口 泰雄氏も登壇した。クラウドビジネスを強化するSB C&Sでは、2018年に50％だったマイクロソフト商材クラウド比率を2021年には75％まで高めていきたいとした。

2019年8月29日8:00

“リスクベース認証”本格始動から1 年が経過し導入効果に手応え

三菱UFJ ニコスが大日本印刷（DNP）との提携により、デバイスやOS などの情報を加味して不正を検知するリスクベース認証を導入してから約１年。同社ではその効果に確かな手応えを感じている。導入以前は前年比180％で増えていた非対面取引での不正金額が、過去1 年はほぼ横ばいに。3-Dセキュア取引で発生する不正のうち従来のシステムでは検知できなかった不正に関しては、継続的に7 割以上を検知し被害を未然に防ぐことが可能になっている。

増え続ける非対面での不正取引を抑止
デバイスやOS の情報から不正を検知するリスクベース認証を導入

三菱UFJ ニコスでは、2018年2～ 3月の実証実験を経て、同年7月2日、リスクベース認証を本格導入した。リスクベース認証とは、アクセス元のデバイスやOS などの情報を活用して不正を検知する仕組みで、これを導入したのは同社が国内で2番目。以前からネット通販におけるID・パスワードによる本人認証サービスで提携していたDNP が、新たにサービスを開発し、実現したもの。不正検知のルール設計は、三菱UFJ ニコスが担っている。

ここ数年間、非対面取引での不正は増加・悪質化の一途をたどってきた。三菱UFJ ニコスでは2017 年に、非対面での不正取引が金額ベースで前年比で180％発生。これをなんとか食い止めることが大きな課題として浮上していた。さらには、IDとパスワードを用いて本人確認を行う3-Dセキュアをくぐり抜けて発生する不正も増えており、非対面の不正被害に占める3-DセキュアのIDとパスワードが一致する被害の比率は2割近くにまで拡大していた。

三菱UFJ ニコス オーソリ統括部 副部長 綾部栄次氏は、「とても看過できないレベルでした。オーソリ電文と顧客属性から不正を検知する従来のシステムだけでは、この傾向に歯止めをかけることはできないと判断し、リスクベース認証導入の検討に入りました」と説明する。

2018年2～3月の2カ月間実施した実証実験では、3-Dセキュア取引の不正のうちの4割が、特定の数台のデバイスから行われていることが判明。それを含めて、3-D セキュア不正取引のうち従来検知できなかった7割程度の不正取引を検知し、被害抑止が可能と見込んだ。「リスクベース認証は、導入にはそれほど大きなコストを要しません。ランニングコストについても、これまでイシュアとして負担してきた被害額とはかりにかければ十分ペイできると考え、本格導入を決めました」（綾部氏）

3-D セキュア不正取引のうち従来検知できなかった7割以上を継続的に抑止
全体の被害金額もほぼ横ばいに

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年8月29日19:56

飛天ジャパンはこのほど、パスワードレス認証を実現するソリューション「SecureCore For BioPass」を提供開始すると発表した。

「SecureCore For BioPass」は、指紋認証デバイス「BioPass」でWindowsのログオン制御（PCロック）を可能にするセキュリティソリューションとなる。指紋認証を利用することで「生体」+「所持」の二要素認証を実現し、PC端末へのログオンをより高度なセキュリティで保護するという。

BioPassを物理的な「鍵」としてPCへ挿入しWindowsへログオンする。BioPassを挿入し指紋認証しないとログオンできず、また、利用中にBioPassを抜くとPCがロックされ、不正使用を防止する。

BioPass FIDO2は、ユーザーの指紋識別（生体認証）で、固定パスワードより強固な二要素認証を実現する。指紋情報はデバイス内にセキュアに格納される。 FIDO(国際標準規格)に準拠した指紋認証デバイスのため、この1つのセキュリティデバイスで複数のFIDOサービスを利用することが可能だ。

〒103-0016

東京都中央区日本橋小網町9-3CANAL TOWER 4F

• 03-3668-6668
• 03-3668-6667

ホームページ

お問合せ

基本機能であるICカードリーダーとPIN PADを搭載したモバイル決済端末に、お客様からのご要望の仕様や機能（例えば磁気カードリーダー、バーコードリーダー、NFCカードリーダー等）を組み合わせ、OEM/ODM供給させて頂きます。お客様に代行しEMV/PCI PTS/Apple MFI/Felica等のセキュリティ認定を取得可能。飛天ジャパンによる日本国内サポート体制と、中国Feitian Technologies 社が持つ、様々な開発技術とセキュリティ技術を駆使し、満足のいく製品を低価格なサービスで提供致します。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年8月30日8:05

ネガティブ情報を共有し、安心・安全なサイトを業界横断で目指す

インターネットによる海外航空券や国内宿泊の不正購入に対応するため、旅行会社がコンソーシアム「旅行業不正検知共通プラットフォーム（JIRSTA、Japan Internet Reservation Standard for Travel Agency) 」を設立した（事務局はジャパンシステム）。JIRSTA は、2017 年7 月に楽天トラベルを運営する楽天が中心となり、じゃらんを運営するリクルートライフスタイル、一休.comを運営する一休の3 社が発起メンバーとしてスタートし、2018 年12 月にエイチ・アイ・エス（HIS）も加わった。JIRSTA の目的は、メンバー企業でネガティブ情報を共有し、悪徳業者を締め出すこと。コンソーシアムは国内旅行会社に参加を呼び掛けており、旅行業界が一致団結することによって、不正防止対策の強化を目指す。

OTA による不正被害が国内でも顕在化
業界でまとまった対策が重要に

インターネット上だけで取引を行う旅行会社である「OTA」による旅行サービスの不正取得が国内でも顕在化している。JIRSTA 会長会社の楽天 コマースカンパニー カンパニー Co-CCO 秋元智広氏は、「これまでは、旅行業は換金性が低いと考えられていたため、不正利用によるうま味はありませんでした。しかし、３年前から、悪徳事業者が旅行サービスを不正取得し、転売するというモデルが確立され、国内旅行会社を標的にするケースが出てきています」と話す。

秋元氏は、「グローバル化やインバウンドの増加、越境ECの拡大など旅行サービスの不正利用の被害が拡大する状況に対応するには、各社が個別に不正防止策を講じるよりも、不正利用履歴データの共有化や高度化する不正利用への防止策の共有が効果的で、対策にかかる費用の削減効果も期待できます」と意気込む。

実際、楽天トラベルで起こったクレジットカードの不正利用の増加を受け、楽天は、前述のOTA2 社とコンソーシアム「JIRSTA」を設立し、不正検知のための共通プラットフォームの運営に乗り出した。秋元氏は、「さまざまな対策を講じましたが、完全に防ぐには3～ 6カ月かかりました。しかし、悪徳業者は当社が無理だとわかると、別の会社で不正を働きます。また、その会社がダメならさらに別の会社へとなり、イタチごっこが止まらない。業界でまとまって、対策を講じる必要性を感じました」と話す。

不正利用の事例を蓄積して加盟会社間で情報を共有
被害に遭ってからでは遅い、今こそ不正対策強化を

同プラットフォームは米国製のシステムを活用してカードの不正利用を検知・防止するとともに、不正利用の事例を蓄積して加盟会社間で情報を共有する。

同プラットフォームは、利用者のカードをオーソリ（承認）する前に、予約データや利用した端末情報のデータなどを送信する。システムは予め設定したルールに基づいて不正利用の可能性を点数制で採点し、その結果を加盟各社にリアルタイムで送信する流れだ。

その結果を受け、加盟会社は不正利用の可能性があるものについて、カード決済以外の決済方法を案内するなどの対応を実施する。加盟会社は予約データをシステムに送った回数に応じた金額と、システムの保守費用などをジャパンシステムに支払う。

秋元氏は「不正対策は、ツールやシステムを導入して終了するのではなく、企業側が有効なオペレーションを構築しなければなりません。経営者は、不正利用が起こる前からコストを費やして対策するには腰が重くなりがちです。しかし、悪徳業者の不正利用の被害にあってからでは遅いです。東京2020を控え、世界の目が日本の旅行業界に向いており、しっかりと対策を講じるべきです」と話している。

「3-D セキュア」によるセキュリティ強化にも死角？
自社で不正カードの利用を防止できないケースも

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年9月3日8:00

2019年9月14日に施行が迫った「欧州決済サービス指令」（EU Payment Services Directive II、PSD2）は日本企業にとっても無関係の話ではない。そこで、SSL/TLS証明書、PKIの世界最大手デジサートの日本支社、デジサートジャパン合同会社（DigiCert Japan）に、オープンAPIを活用したフィンテック（FinTech）の可能性やPSD2で求められる強力な本人認証、日本企業との関わりなどについて説明してもらった。

デジサート・ジャパン合同会社

法規制も後押しするオープンAPIを活用したフィンテックの可能性

あらゆる業種、業態でデジタルトランスフォーメーション、デジタル化の波が広がっている。中でも積極的な取り組みが見られる業界の1つが金融・決済業界だろう。「フィンテック」（FinTech）という言葉が示すとおり、Webサービスやスマートフォンをはじめとするさまざまなテクノロジを活用し、従来の決済システムを介さずにリアルタイムに決済を行い、手数料などのコストを引き下げる取り組みが広がっている。これは金融機関側、決済事業者側はもちろん、利用者にもメリットをもたらすものだ。

一連の動きで鍵を握るのが「オープンAPI」だ。以前ならば、金融・決済業務は、金融機関の中に閉じた形で安全に、確実に処理されることに価値があった。だが、さまざまなWebサービスやソーシャルネットワークサービス（SNS）が広がり、オープンなイノベーションが促進される今となっては、むしろ逆だ。多様な事業者が提供するサービスと金融機関のシステムとを「API」を介してつなぎ、支払いや資金移動といったさまざまな処理を柔軟かつ即座に行えるようにすることで、利用者の利便性を高めようとする動きが広がっている。

日本国内では、2017年に成立した改正銀行法によって、フィンテック企業を「電子決済代行業」として登録制を導入したほか、銀行側には2年以内にオープンAPI体制の整備を求め、オープンイノベーションを推進していく姿勢が明確にされた。これを受けて、すでに130行、つまり国内のほぼすべての銀行がオープンAPIの提供を表明しており、すでにクラウドベースの家計簿サービスや会計サービスと連携したサービスをスタートした事例もある。

目をヨーロッパに転じると、オープンAPIの取り組みはさらに先行している。この動きを後押ししている要因の1つが、ヨーロッパ連合（EU）で2018年1月に施行された「欧州決済サービス指令」（EU Payment Services Directive II、PSD2）だ。最初のバージョンはヨーロッパ域内での決済の標準化を狙って策定されたが、バージョン2は明らかに、オープンAPIを介したフィンテックの促進を狙っている。

具体的には、ユーザーからの依頼に基づいて、金融機関などに対し決済や資金移動を指示する「PISP」（決済指図伝達サービス提供者：Payment Initiation Service Provider）と、同じくユーザーからの依頼に基づいて、複数の決済口座情報を統合する「AISP」（口座情報サービス提供者：Account Information Service Provider）という2種類の事業形態を定義し、前者は免許制、後者は登録制としている。そしてこれら事業者と金融機関の間をAPIで結ぶことで、多様な金融サービスが生まれ、競争し全体としてサービスが向上していくことを期待しているわけだ。

PSD2で求められる強力な本人認証と適格トラストサービスに基づく認証

このように、フィンテックとオープンAPIによる新たな金融・決済サービスには期待が高まっているが、一方で押さえておかなければいけない要件もある。その1つがセキュリティ対策だ。

例えば全国銀行協会では改正銀行法を踏まえ、銀行間でオープンAPIを利用する際の標準仕様を策定するとともに、接続時のセキュリティチェック項目などもまとめており、イノベーションの促進と利用者の安心・安全を両立させようとする取り組みを進めている。

PSD2も同様に、オープンAPIを促進すると同時にいくつかのセキュリティ要件を義務づけている。1つは、強力な本人認証（Strong Consumer Authentication、コンシューマの強力な本人認証、以下SCA）だ。

最近のキャッシュレス決済サービスで発生した情報漏洩事件でも明らかになった通り、IDとパスワードの組み合わせだけでは犯罪者によるなりすましや不正ログインを許す恐れがあり、複数の手段を組み合わせた「多要素認証」の必要性が広く認識されるようになった。PSD2ではそれを先取りし、決済や資金移動が伴う処理については、「ユーザーが知っているもの」「ユーザーが持っているもの」「ユーザー自身の特徴」のいずれかを組み合わせて、仮にどれか1つが破られてもなりすましが難しい、強力な認証を導入するよう求めている。

PSD2では加えて、当局の認定を受けた認証局が発行する電子証明書を用いた通信経路ならびにデータの保護とアイデンティティ保証も求めている。

より具体的には、2014年に成立した「電子取引向けトラストサービスに関するEU規制（eIDAS：Electronic Identification and Trust Services Regulation）が定める「適格トラストサービス」に準拠した「適格個人認証」に基づいて取引相手の認証を行うことを定めているのだ。

こうした情勢を見据え、2019年1月にスイスのWISeKey International Holdingから、EU向けの認定トラストプロバイダーであるQuoVadis Group（QuoVadis）を買収した米デジサートには、eIDAS準拠の証明書に関する問い合わせが急増している。eIDASに準拠した認定トラストプロバイダーとして電子証明書発行サービス（適格トラストサービス）を展開するには、非常に厳密な要件が求められるのだ。

適格トラストサービスで発行される電子証明書には、EV-SSL証明書に記載される情報に加え、決済サービスプロバイダー（PSP）が金融当局から発行された認証番号や割り当てられた役割（ロール）といったフィールドも追加され、証明書の有効性や事業者の信頼性を確認できるようになっている。これを用いて、SCAで求められる強力な個人認証や通信経路の保護が可能になる。

なお、PSD2で直接規定されているわけではないが、eIDASに準拠した適格電子署名や適格タイムスタンプを活用すれば、「例えば政府機関ならば税やその還付金関連のトランザクション、あるいは法律関連の文書に対し、また銀行や保険といった金融機関や民間企業でも長期保存が義務付けられる文書に対し、一括して大量に電子署名や電子的な封印（シール）を行える」（デジサート）という。電子的な文書や契約について「誰が」「いつ」作成し、かつ「内容に改ざんが加えられていないか、真正性が担保されているか」を、EUの法的規制に準拠した形で保証し、証明していく仕組みだ。

日本企業にとっても無縁ではないPSD2、いよいよ9月14日に施行へ

日本企業にとっては遠い国の話に聞こえるかもしれないが、グローバルに、特にオンラインで事業を展開しようと考える企業にとって、PSD2に限らず各国の法規制遵守は重要な課題だ。

例えば米国では、政府調達に関わる企業に「NIST SP 800シリーズ」に準拠するセキュリティ対策を求めているし、ヨーロッパ連合（EU）で2018年から施行された「一般データ規則」（GDPR）では、域外のデータ保存にさまざまな規制が課せられ、顧客情報が漏洩したにもかかわらず適切な対応・報告を取らなかった場合、莫大な額の罰金を科せられることになった。すでに、British AirwaysやMarriott Internationalのように巨額の制裁金を課された事例が生まれており、広く事業を展開する日本企業にとっても他人事ではない。

PSD2については2019年9月14日に施行が迫り、いよいよ銀行にはAPIの公開が、それを活用する企業にはSCAや適格トラストサービスによる認証と通信経路の保護が求められることになる。あらためて、自社の対応体制を確認してみてはいかがだろうか。

2019年9月4日8:00

キャッシュレス社会の健全な発展のために対策徹底を求める

経済産業省と産学官の連携組織「一般社団法人キャッシュレス推進協議会」は、2019年4月、コード決済（QRコード決済） における不正流出したクレジットカード情報の不正利用防止対策に関するガイドラインを策定した。2018年末の「PayPay」 の不正利用をはじめとしたQRコード決済における、クレジットカード情報の不正利用に対応した。

あらゆるプロセスでの防止を検討

コード決済（QRコード決済）における不正流出したクレジット カード情報の不正利用防止対策を業界横断的に検討するため、経産省も参画する産学官の枠組みであるキャッシュレス推進協議会で は、コード決済事業者、クレジットカード事業者などの参加を得て、 2018年末に検討会を立ち上げ、コード決済事業者とクレジットカー ド事業者として守るべきセキュリティの水準の検討を進めていた。

経済産業省 商務情報政策局 商務・サービスグループ 消費・流通政策課 キャッシュレス推進室 室長補佐 小暮千賀明氏は、「キャッシュレス社会を健全に発展させるためには、不正に対する対応が必要で、業界としての守るべきルールを定めるべきという考えを共有しました」と説明する。

ガイドラインは、実際にセキュリティコード（CVV）も含めた、クレジットカードの券面情報全てが流出している事象も確認されていることから、カード券面以外の情報も含めて、いかに本人確認を行うのかを検討したうえで、あらゆるプロセスでの防止を検討した。

具体的には、コード決済事業者として守るべきセキュリティの水 準を示すため、なりすましや架空人物でのアカウント作成、不正取 得した情報を使ってのカード情報の登録などを重点的に検討した。

3-Dセキュア導入で最低限のセキュリティ確保

ガイドラインの概要では、アカウント作成時に、本人確認の徹底とコード決済事業者が持っている周辺情報を活用することや、 カード情報の登録時には、セキュリティコードの入力回数の制限 や登録できるクレジットカード枚数制限などを求める一方、クレ ジットカード会社にはカードの名義人に対する啓発などを促す。

決済利用時には、金額や利用回数に関する上限設定や、異常な取引を検知するためのモニタリングの実施とモニタリング結果の活用。決済後には不正検知の精度向上・強化などを求めている。

アカウント作成から、カード情報の登録、決済利用、決済後の 全体を通し「3-Dセキュア」の導入や、「3-Dセキュア」と同等のセキュリティ確保が可能な不正利用対策の実施を求めている。

小暮氏は、「不正が起きやすい状況をなくすということであり、3-D セキュアの導入で、最低限のセキュリティを担保できるという考え方です。とはいえ、どこか一点のセキュリティを高めれば問題が解 決するというわけではありません。総合的な対策が必要で、消費者も、個人情報保護に関する感度を高めていただきたいです」と話す。

不正発生に素早く対応した経産省、協議会

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年9月5日7:00

パイプドビッツは、情報資産プラットフォーム「スパイラル」をバージョンアップし、2019年10月2日より新バージョン1.13の提供を開始すると発表した。

3年ぶりのメジャーバージョンアップとなる「スパイラル」1.13は、最新の認証技術に対応する今後の機能追加に備え、OSとミドルウェアへのアップデートを実施する。これにより、「スパイラル」を基盤に構築されるWebアプリケーションにおいて、将来、IDとパスワード以外にFIDO認証や二段階認証などのさまざまな認証技術を用いて、より強固なセキュリティを維持した会員制サービスが構築できるようになる。

9月4日に新バージョン1.13のβ版を受付開始。なお、現行バージョンは1.12.8となっている。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年9月6日8:00

利便性とセキュリティを向上させ、社会的信用を高めるサービスを目指す

PayPayは、2018年12月に実施した「100億円あげちゃうキャンペーン」で発生したクレジットカードの不正利用に対応し たセキュリティ強化で、不正発生が大幅に減少した。2019年1月に「3-Dセキュア（本人認証サービス)」を導入するなど の対策が効果を上げた形だ。

第2弾の「100億円キャンペーン」では 不正発生率0.0004%に減少 総決済件数に占める クレジットカードの割合は減少 　PayPay広報室 室長 伊東史博氏は、「現時点では、最善の策を講 じたと考えており、実際にサービス全体における不正利用は大幅 に減少しています」と話す。キャンペーン期間中のチャージバッ ク件数（クレジットカードの不正利用が疑われたケースで、カー ド利用者に確認後にカード会社が該当する代金の売上を取り消し た件数）を期間中の全クレジットカード決済件数で割って算出し た不正発生率でみると、2018年12月に実施した「100億円あげ ちゃうキャンペーン」での不正発生率は0.996%だった。

しかし、年明けの19年1月に「3-Dセキュア」を導入した後は 0.003%に減少するなど効果を示した。さらに、19年2月に実施 した第2弾の「100億円キャンペーン」期間中は、0.0004%に減 少したという。第2弾の「100億円キャンペーン」の後は、クレジッ トカード支払いより銀行チャージ(PayPay残高)からの支払いを 優遇している。このため、総決済件数に占めるクレジットカードの 割合は減っているとみられる。

カード会社と連携して 不正被害額の全額補償の対応
すでに流出していたカード情報を悪用か

そもそも、今回のPayPayの不正利用は、PayPay以外から流出 していたクレジットカード情報をもとにして、不正が行われ、消費 者に身に覚えがない請求が発生したとみられる。この事態を受け、 PayPayは、セキュリティコードを含むカード情報の入力回数制限 を2018年12月18日から実施し、盗用されたカード番号と有効 期限、セキュリティコードの3点が総当たりされるリスクの防止 に取り組んだ。

ただし、調査の結果、セキュリティコードが20回以上試行され て登録に至った13件の全てで不正利用は確認されておらず、入 力回数に制限を設けるだけでは抜本的な解決に至らないと判断。 PayPayは3-Dセキュアの導入に踏み切ったという。PayPay 代表 取締役社長執行役員CEO 中山一郎氏は、2019年2月4日の記者 会見で「第1回目の100億円キャンペーンで、外部から流出して いたカード情報を悪用する事例が起き、深く反省している」と陳謝。 カード会社と連携し、不正被害額の全額補償の対応に追われた。

3-Dセキュアは、事前にクレジットカード会社に登録した「パス ワード」などを入力することで本人認証を行い、不正利用やなりす ましを防ぐ仕組み。具体的には、本人認証サービスに対応したクレ ジットカードを新規に登録する場合、「クレジットカード番号」「有 効期限」「セキュリティコード」を入力した後、それぞれのクレジッ トカード会社の認証ページに移動し、認証ページにおいて「パスワー ド」などを入力するとクレジットカードの本人認証が完了する。

上限額の設定が3-Dセキュアの登録の動機づけに
日常利用で使われるサービスを目指す

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年8月27日8:20

TIプランニング は、2019年9月4日に中小企業会館において、無料セミナー「不正使用対策・セキュリティセミナー2019」を開催した。

当日は、ICカード対応、不正使用対策、PCI DSS/非保持化、本人認証強化策などの7つの講演が行われたが、多数の聴講者が講師の話に耳を傾け、ペンを走らせていた。なお、当日の講演で公開が可能な資料は、本サイトから閲覧可能だ。

■講演プログラム

※公開可能な資料から順次アップしています。

2019年9月10日8:00

駅の券売機、ホテルや病院、駐車場の精算機などは、2020年3月に迫った実行計画のICカード化対応の期限に向け、急ピッ チで準備が進められている。オムロン ソーシアルソリューションズ、日本電産サンキョー、ID Tech JAPANなどは、自動販売 機や精算機などを製造している企業に対し、自走式のリーダライターを使ったクレジットICを提案している。オムロン ソーシ アルソリューションズによると、クレジットカード対応が求められる比較的高額な券売機や自動販売機の国内市場は、10万～ 15万台以上の規模になるという。

オムロンは「DUKPT」による 非保持化に対応した機器を販売

国内の券売機や自動販売機は、磁気カードのストライプを読む 機種も多いが、自走式リーダーライターを搭載しており、中に磁気ヘッドやICカードを読み取るヘッドが付いている。カードを挿入すると、磁気リーダーを読むと同時に、ICの接点を読み取って 排出する機構になっている。ATMや駅の券売機、精算機などの利用シーンは多いが、利用者はカードを取り込んで排出する流れに慣れている。

例えば、クレジットカードの決済端末を用いて精算機のICカード化対応をする場合、カードを読むと、クレジットカード処理の途中で中途半端にカードを抜かれるといった問題が発生しているという。スーパーなどの場合、店員が注意を促すことができるが、券売機や精算機といった無人機では注意ができない。そのため、オムロンソーシアルソリューションズでは券売機や精算機などでも自走式リーダライターを使ってIC化対応が可能な「eZ Square（イージースクエア）」を提供している。

「eZ Square」は、EMVレベル1に対応したカードリーダーを接続することでの、EMVレベル2の取得に加え、PIN入力のセキュリティ基準である「PCI PTS」に対応したPINパッドの接続にも対応している。オムロン ソーシアル ソリューションズ 事業開発統轄本部 生活ソリューション事業本部 EFTS事業統括部 相田宏明氏は、「PAN情報をセンターとやり取りするために、トランザクションごとに異なる暗号鍵による処理を行 うことが可能な「DUKPT（Derive Unique Key Per Transaction）」 による非保持化も実現できています。DUKPTに関してはセンター 側からの要望も増えています」と話す。同社工場出荷時にキーイ ンジェクションするため、リモートキーインジェクションの仕組みの構築は不要だ。また、オプションとして、鉄道向け券売機で設計したPCI PTS（EPP）認定済みのPINPAD（ピンパッド）を提供 している。

自販機、ガソリンスタンド、鉄道などで対応が進む

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年9月11日8:06

大手外食チェーンなど加盟店のカード情報非保持化をサポート

PCI DSSに準拠した「CREPiCO決済情報処理センター」を運営し、決済ソリューションを提供しているセイコーソリューションズでは、加盟店のカード情報非保持化をサポートするP2PEソリューションプロバイダの認定取得を目指し、2016年にいち早くプロジェクトを立ち上げた。要件仕様の確認、フィット＆ギャップ、予備審査等の段階を踏んで、ほぼ当初の予定通り2018年6月に認定を取得。大手外食チェーンを皮切りに、サービスの提供を開始している。

いち早くP2PEソリューションプロバイダの認定を取得
事前の想定通りに対応が進む

事業の大きな柱の1つとして、決済ソリューションの提供を行うセイコーソリューションズでは、「CREPiCO決済情報処理センター」を運営している。クレジットカード加盟店にPCI DSS準拠、またはカード情報の非保持化を求める改正割賦販売法が公布された2016 年12月以前の、同年4月、「CREPiCO決済情報処理センター」は PCI DSS認証を取得。カード情報を、POS端末を通過させず、決済 端末から直接「CREPiCO決済情報処理センター」に送る外回り接 続方式で加盟店の情報非保持化をサポートしてきた。

これと並行して同社では、内回り接続方式での情報非保持化対策にも着手。「CREPiCO決済情報処理センター」がPCI DSS認証を取得する前の2016年2月に、いち早く、P2PEソリューションプ ロバイダの認定を取得するためのプロジェクトを立ち上げた。当初 2018年春の認定取得を見込んでいたが、2018年6月にほぼ予定通りP2PEソリューションプロバイダとしての認定を取得。サービス提供を開始した。

プロジェクトの活動は、まず1年2カ月をかけて、英語版の要件 仕様書を読み解くところからスタートした。セイコーソリューショ ンズ データサービス本部 CREPiCO統括部長 渡邊圭一氏は、「当時は国内にはまだQSA（Qualifi ed Security Assessors：認定セキュリ ティ評価機関）が存在しておらず、質問があればコンサルタントを 介して、海外のQSAやコンサルタントに問い合わせて回答を得る というプロセスを経ていました」と話す。

そうして蓄積された知識をもとに企画起案を行い、社内の承諾 を獲得。2017年4月からは国内に誕生したQSAと契約を結び、8 カ月間、フィット＆ギャップおよび予備審査を実施。2017年12 月にQSAの本審査を受け、QSAからPCI SSCに認定の取得を申請。数カ月の審査期間を経て、認定取得に至った。

大手外食チェーンから打診を受ける
当初からある程度コストの回収を見込む

P2PEソリューションは、暗号化端末アプリ管理、暗号化アプリ セキュリティ、P2PEソリューション管理、加盟店管理ソリューショ ン、復号化環境、鍵管理運用全般の6 つのドメインからなっている。今回は、「CREPiCO決済情報処理センター」とパ ナソニック製の決済端末を紐づける形 で対応している。

そもそも同社が認 定取得を目指したきっかけは、同社の決済ソリューションのクライアントから「P2PEに対応できないか」と打診されたことだった。認定取得には時間も労力もコストもかかることは承知の上だったが、そこに躊躇なく踏み込めたのは、一度認定を取得すれば、新規クライアントの獲得な どを含め、長期的な視点から見ても十分なコスト回収が見込めてい たからだ。クライアントの顔が見えていたからこそ、具体的な運用 シーンを想定したサービス設計ができたことも、現在の同社のアドバンテージとなっている。

決済端末とセンター間で暗号化した情報をやり取り
内回り、外回りの両輪でビジネスを進める

※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より

2019年9月11日11:30

デジタルセキュリティベンダーのタレス（Thales）は、2019年9月10日、フランスのBaaS（Banking-as-a-Service）向けプラットフォームプロバイダーのTreezorが、同社のペイメント・チェーンに含まれる大手から新興銀行、さらにはクラウドファンディング運営組織におけるセキュリティレベルを包括的に向上させることを目的として、タレスの「SafeNet Data Protection on Demand」（DPoD）を導入したと発表した。

電子通貨発行会社でもあるTreezorは、フランスの規制当局（ACPR）、Mastercardのネットワーク、EUの一般データ保護規則（GDPR）といった、複数のデータ保護規制および要件に準拠させ、個人の金融情報などの機密情報保護のために、強力なデータセキュリティコントロールの実装を必要としていた。複数サービスを評価した結果、Treezorは、暗号化オペレーションにおける高度なセキュリティへの信頼性、費用対効果の高さ、容易な操作性を検討し、クラウドHSMサービスであるDPoDを採用したという。

ソシエテ・ジェネラルによる買収が完了したTreezorは、HSM（ハードウェア・セキュリティ・モジュール）のセキュリティ上の利点を熟知していたが、投資額や継続的な固定費を軽減するために、クラウドベースのサービスの比較検討をしてきた。タレスのクラウドベースHSMソリューションの30日間無料トライアルを利用し、その操作性とテスト環境への迅速な導入を高く評価したという。サービスの評価にあたり、「ポイント・アンド・クリック」による使いやすさから、SafeNet Cloud HSM On Demandサービスがコスト、セキュリティ、実装の容易さという点で最適なソリューションであると位置づけられた。

TreezorがSafeNet Data Protection On Demandを導入することで得られるメリットとして、①迅速な導入と容易な統合 – 稼働済みのクラウドHSMサービスの自社システムへの統合は数分で完了、②サービスレベルの可用性 – 市場の他のクラウドHSMサービスとは異なり、SafeNet Data Protection On Demandは、99.95%がサービス品質保証（SLA）の形で提供、③予測コスト – 価格には冗長性サービスやバックアップ・サービスなどのすべてが含まれ、可用性を高めるための追加費用は不要、という3つを挙げた。

なお、Treezorは、2017年度の発行カード数が10万枚、取引額40万ユーロから、2018年には50万枚以上、50億ユーロとなっている。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年9月17日8:00

マクニカネットワークスは、2019年9月13日に記者説明会を開催し、ECサイトやインターネット上の不正検知システムを提供するSift, Inc.と代理店契約を締結したと発表した。

一次代理店として最先端のサービスを提供
Siftは不正を防止する技術をグローバルで提供

2004年に設立したマクニカネットワークスは、米国やイスラエルなどから最先端の製品・ソリューションを見つけ出し、プロフェッショナルサービスと合わせて日本で提供する代理店ビジネスを展開している。マクニカネットワークス 第3営業統括部 統括部長 真野 大治郎氏は、「製品はすべて一次代理店として取り扱っており、メーカーの製品を理解してお客様にご提案しています」と説明する。たとえばペイメントセキュリティの分野では、Thales（タレス）とGemalto（ジェムアルト）が統合する前から両社のHSMや暗号化製品を提供しており、両社の統合後もビジネスを継続しているが、今回、決済の不正を防止するソリューションとしてSiftと代理店契約を行った。

国内ではキャッシュレス決済比率が年々伸びているが、その一方で非対面取引の不正使用が顕在化している。2018年1月～12月における国内で発行されたクレジットカードの不正利用被害は235億円だが、その多くが窃取されたカード情報等を不正に利用したなりすましによる被害であり、EC加盟店で数多く発生している。特に、デジタルコンテンツ、家電、オンライン電子マネー、チケットの不正が増加しており、ECモールも含めた不正使用金額はネットショップ不正利用金額全体の70％を占めるなど、不正対策は喫緊の課題だ。

そんな中、Siftは、ECサイトやインターネット上で、取引相手が信頼できるユーザかどうかを機械学習によって瞬時に識別し、不正を防止する技術をグローバルで提供している。2011年から機械学習に取り組んでおり、日々ユーザーの決済情報などから怪しいと思われる情報を検知可能だ。たとえば、クレジット取引セキュリティ対策協議会は『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画―2019―』において、不正利用対策の具体的な方策として「本人認証」「券面認証」「属性・行動分析」「配送先情報」を挙げているが、Siftは「属性・行動分析」「配送先情報」における仕組みを提供している。

AirbnbやLinkedInといったグローバル企業で採用
1万6,000ポイントからスコアを分析

検知精度のスピードはシンプルなスコアによって、ユーザーの取引が怪しいのかを判断している。また、業界を横断した学習を即座に把握。その知見をさまざまな加盟店が共有することで、機械学習が賢くなっていく。また、利用する加盟店は、Airbnb（エアビーアンドビー）やLinkedIn（リンクトイン）といったグローバルでビジネスを展開する企業も多く、スコアに企業のフィードバックを与えて、さらに精度が向上する。

第3営業統括部第１営業部第2課 課長代理 恒川 雅俊氏は、「Siftには、数多くのトラフィックが流れ込んでいますが、1万6,000ポイントを見てスコアを分析しています」と話す。第2技術統括部第１技術部第2課　清宮政範氏は、「ユーザーごとに独自のスコアが判定されます」と述べる。すでにテスト導入した日本企業でも成果を実感しているそうだ。

メルカリ、traveloka、TUROのSift導入の成果は？
2年で100社、10億円の売上を目指す

Sift Science, Inc　Head of strategic partnerships Alain Gendre氏は、Siftのプラットフォームを使った企業の成果を紹介。例えばメルカリでは、数年前に米国やイギリスの市場進出に向けて、Siftを導入した。海外市場の課題は日本とは異なった不正の傾向があることだ。不正についてはマニュアルで対応しなければならなかったが、システム更新や人員の負荷が課題だった。そのため、Siftを導入したが、最初のインテグレーションは2週間で済み、不正使用やチャージバックを60％削減することに成功した。また、システム対応の自動化により、人員を増強せずに済んだという。

オンラインの旅行代理店であるインドネシアのtraveloka（トラベロカ）では、タイ、マレーシア、フィリピン、ベトナム、シンガポールといったさまざまな国に進出している。事業の拡大により、システムで受け付けるオーダー数が増え、新種の不正が増えたという。そこでSiftを導入したが、自動的に受け入れることができるオーダー数が2倍に増加した。また、Siftを導入する以前は本人認証サービス「3-Dセキュア」への依存度が高かったが、それを扱う件数が3分の1に減少し、売り上げアップにつながった。

さらに、アメリカでカーシェアリングを提供するTURO（トゥロ）では、トランザクションを1件1件調べており、パスワードをリセットする作業に何日も要していたが、Siftの導入後は98％の不正削減、プロセスの自動化を実現したという。

価格はトランザクション当たり5～10円。マクニカネットワークスでは、2年で100社、10億円の売上を目標としている。

※掲載当初、siftの名称に誤りがございました。お詫びして修正させていただきます。

2019年9月11日15:00

STマイクロエレクトロニクス（ST）と、モバイル決済ソリューションのイノベータであるYouTransactorは、新しいシングル・チップ・コントローラを開発したと発表した。

新しいSoC（システム・オン・チップ）は、YouTransactorが持つ市場の知見、セキュリティおよびPOS決済端末/アプリケーションに関するIPに、STのチップ設計技術、サイバー保護、グラフィック表示制御などのIPを組み合わせて開発された。同SoCは、モバイル決済端末向けでは初となる汎用マイクロコントローラ（マイコン）ベースのPCIセキュアSoCで、低コストながら低消費電力と堅牢性を持ち合わせているとしている。

新しいSoCであるYTSECPCIは STのサポートにより、YouTransactorによって商品化され、機密保持契約に基づいて柔軟な出荷条件で提供されるという。YTSECPCIは8月の発表後から、すでに5万台の決済端末に採用されており、2019年から2020年に向けて100万個以上を受注している。

なお、同SoCは、接触型と非接触型のあらゆる決済方法に対応し、PCIの仕様にあらかじめ準拠しているため、最終製品の認証取得の簡略にも貢献するという。また、モバイルPOS端末に加え、自動販売機、IoT機器、レジ、スマートフォン、小売用ハードウェアなどにも使用することができる。

この記事の著者

ペイメントナビ編集部

カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト

2019年9月27日8:00

タレスジャパンは、2019年9月25日に、EMVテクノロジーを活用したキャッシュレス決済のセキュリティのリスクとソリューションについての記者説明会を行った。タレスでは、「メタルカード」「生体認証対応カード」、「ウェアラブル決済サービス」などのカードデバイスに加え、ユーザーの流れを止めずに不正を検知する「サイレント認証」技術を提供している。

世界で拡大するEMVコンタクトレス
相互運用性を高めるEMVに世界の交通運行会社も注目

Thales（タレス）は、フランスの企業で8万人の従業員を有し、68カ国以上で展開しており、さまざまな事業を展開している。また、自己資金による研究開発費は10億ユーロ、2018年の売上は190億ユーロとなる。2019年4月2日にはGemalto（ジェムアルト）をタレスグループに統合し、デジタルIDやセキュリティビジネスを強化している。日本でも150名のスタッフがおり、同ビジネスを強化している。

タレスでは、銀行やカード会社といった金融機関に対し、ジェネレーターカードトークンとモバイルSDK、メタルカード、バイオメトリクスカード等を提供している。世界のキャッシュレス市場のトレンドとして、IICカードと端末に関する仕様」を定めた国際標準規格であるEMV仕様において、コンタクトレス利用が拡大していることを挙げた。カードやモバイルによるコンタクトレス決済は、接触型カードや現金に比べ2倍の速さで決済が済む。また、英国やカナダといったように、現金取引が30％減少した例もある。さらに、欧州では非接触型カードが導入される前後の比較で18％カード決済が増加したという。2019年には、非接触型カードの発行枚数が接触型カードを超えるいうデータもある。

交通セクターのグローバルトレンドとして、決済事業者の参入が増加。Account Based Ticketing （ABT）/EMVでの支払いが広がり、銀行Pay（OEM）が交通当局の関心を集めているという。イギリスやシンガポールをはじめ、EMVは運行会社の相互運用性を高めるイネーブラーとして、多くの国で認識されているとした。

メタルカードは数多くのラインナップを用意
国内の非接触決済でもウェアラブル技術を提供

また、従来の製品よりも利用者のステータスを体現するメタルカードは、「フル」「ハイブリッド」「べニア」「コンパクト」「イージー」とさまざまなラインアップを用意。米国などのシティバンク・プレステージ、米国のウエルズファーゴ・プロペルなどで採用されている。アジア・パシフィック地域　マーケティングディレクター 鈴木信太郎氏は、「色々な種類があり、フルメタルからプラスチックの間にメタルを挟んでいます。サンドウィッチの状態で重さを追及しているだけであり、裏表で非接触決済が可能です」と、特徴を説明する。現在、国内の各企業に性能評価を依頼しているが、品質面では良好な結果がでているため、「カード会社なども安心してご利用いただけます」と金融事業本部 本部長 藤森貴之氏は話す。

国内での取り組みとしては、ウェアラブル決済サービスを挙げた。タレスでは、2018年11月24日にパナソニックスタジアム吹田で開催された「明治安田生命J1リーグ　ガンバ大阪 vs V・ファーレン長崎戦」において、ウェアラブル決済サービスに使用したハードウェアを三井住友カードや大日本印刷、パナソニック、ぴあと協力して提供した。また、日本マクドナルドでは「Visaのタッチ決済機能付きオリジナルリストバンド」が当たるキャンペーンを実施したが、同商品に技術を提供している。

EMV生体認証対応カードを提供
「サイレント認証」でモバイル決済の不正抑止が可能に

タレスでは、セキュリティと利便性を両立させる仕組みとして、ノルウェーのZwipeと協力してデュアルインターフェイス生体認証対応EMV決済カードを提供している。同カードは、バッテリー非搭載としては世界初となる生体認証対応カードとなり、指紋をセンサーの上に置くことで、決済に使用できる。現在は各種認定作業があり市場投入には至っていないが、国内外を含めて数多くの企業が関心を持っているという。

また、国内では、QRコード決済サービスのセキュリティ対策の課題が指摘されているが、独自決済サービスへの対応技術として「サイレント認証」を薦めている。同技術は、デバイスのIP情報、ユーザーの振る舞いなどの特性を判別し、スコアリングで正しい取引かを判別できるという。すでに国内でも銀行が採用しており、オンラインバンキングの後方で動いている。タレスでは、利便性とセキュリティを両立させる仕組みとして、独自のモバイル決済サービス等でも導入を提案するという。