非決済認証

改善された3Dセキュアプロトコル、3Dセキュア2.0は、決済業界に大きいな変化を起こします。その中はなりすまし被害の防止策を幅広く対応するようになります。

取引を実行できるチャンネルを増やすことで安全性を高め、ノン・ブラウザやモバイルアプリなどにも対応するようになります。

「非決済認証」がその追加されたチャンネルの一つです。非決済認証でブラウザ以外に、電子財布アプリなどにも決済認証を実行できるようになります。

「非決済認証」とは?

「非決済認証」を理解する前に、まずは初期の3Dセキュアプロトコルを見てみましょう。

3DS1はネットで決済をする人が正しくカード会員であるかどうかを確認してからイシュアが取引を実行する。この認証画面は購入する際にポップアップウインドウまたはインラインフレームとして表示されます。

なので、カード会員認証は必ず決済をする際に行われます。これは二つのデメリットがありました。

まず、見慣れないポップアップウインドウはユーザーに不信感を抱かせ、かご落ちの原因となっていました。初期の3DSプロトコルは16年以上に開発されたため、当時はまだモバイル決済がなかったので、今になってモバイル認証の対応性がかなり劣っています。

なので、3Dセキュア2.0はその対応性を改善し、よりスムーズなモバイル体験を提供できます。その上、加盟店アプリ内の認証プロセスを決済プロセスと別々に行うことができるようになりました。

これはかご落ちの削減とユーザー体験の向上に繋がっています。

なぜですか?

クレジットカードハッカーが使う手法が巧妙になることに連れて、ネット決済は危険性が伴っています。

決済時に不安やストレスを抱かせます。なので、信頼性のないポップアップウインドウが表示される時、すぐ商品の購入を辞める人も少なくなかったです。

3Dセキュア認証を決済時からクレジットカードを登録する時に行うことで、ユーザーの不信感を減らし、かご落ちを削減できます。

モバイルアプリ内の非決済認証

上述したことから、3Dセキュア2.0は決済業界にいろんなメリットをもたらします。モバイルSDKの導入で加盟店はより簡単に既存のアプリに統合することができます。

モバイルSDKの導入よって、認証プロセスも改善され、非決済認証という新しい機能も提供します。

そして電子財布のようなアプリは特にこの機能を活用できます。

近年ではモバイル決済のをする人が多くなり、電子財布の使用も普及しています。電子財布はユーザーの決済情報や電子マネーを安全に記録し、お買い物する際決済プロセスを加速する、大変便利な決済ツールですから。

MasterCardの調査によると、モニターしたSNS上の会話の中、電子財布はその75%の会話に言及されました。もう一つ「Points」というポイントサービスを取り扱う会社の調査によると、もし電子財布にポイントプログラムが実施されていたら、ほぼ100%のお客様はより頻繁に電子財布を使用することがわかりました。

電子財布は、ユーザーがクレジットカードやデビットカードの情報を登録し、アプリ内に記憶します。そして毎回ユーザーがカードを使って決済したい際、カード情報を入力せずに、そのカードの情報の入った電子財布を使うだけで決済ができます。なので、電子財布を使うことで、ネット上の買い物はより早く、よりスムーズにできます。これがユーザーにとって大きいなメリットです。

認証プロセスを全て加盟店アプリ内で実行することで、ユーザーがカード番号を入力するプロセスのセキュリティを強化します。これが3DS2.0の

これで認証プロセスは決済環境からイシュア公認の非決済環境に移されます。

そして認証プロセスもアプリ内のUIと統合し、一貫性のあるユーザーを提供します。唐突なポップアップウインドウみたいに不信感を抱かせることはないはずです。

電子財布プロバイダーはディレクトリ・サーバを通してイシュアに接続することで、ユーザーを認証することができます。

非決済認証とPSD2

PSD2("Payment Services Directive 2"、欧州連合による「決済サービス方針2」)は方針は3Dセキュア2の機能と被っており、特にSCA(Strong Customer Authentication 「カスタマー認証強化」)は、多要素認証、OTP(ワンタイムパスワード)等が含まれています。

PSD2に準拠するには、€10ほどの金額以上のeコマース取引は全てSCAを通さなければなりません。SCAの定義として、「二つ以上の要素を使った認証:知識(カード会員しか知らないこと)、所持物(カード会員しか持っていないもの)、継承(カード会員の生体識別)があり、それぞれの認証要素は関連せず、一つの要素がハッキングされても他の要素を知ることはできない」。

OTP(One-time password「ワンタイムパスワード」)や、指紋認証や顔認証を含めた生体認証、そしてスマートフォンがQRコードをスキャンすることなどで、様々な認証方法があります。これを全部まとめて、TFA(multi-factor authentication「多様認証」)といいます。

新しい決済サービス方針の運用が開始したら、銀行や他の金融機関はSCAに従わなければなりません。

ですが、3Dセキュア2.0プロトコルは既にPSD2の規定に従っているので、3Dセキュア2.0を導入すれば加盟店はPSD2に準拠するようになります。

なので、加盟店のプラットフォームに3Dセキュア2.0を導入すれば、カスタマイズする必要なく簡単にPSD2に応じるようになります。そしてなりすまし被害の防止にもします。

銀行がSCAをコントロールするに使うACSサーバーは3Dセキュア認証にも使用できます。なので、銀行にとって3Dセキュア2.0のACSサーバーに移行するのが当然のようなことです。

結論

EMVCo理事会のJonathan Main氏は「セキュリティを強化する以外、ユーザー体験を向上するのもEMVCoの重要な課題だ」と述べていました。

イシュアに非決済認証の選択を提供することで、3Dセキュア2.0はよりシームレスなお買い物体験をユーザーに提供できます。

それに加えて、ブラウザ以外にいろんなチャンネルで認証を実行できることで、加盟店により安全な決済環境を提供します。

そして最後に、3Dセキュア2.0の非決済認証はただPSD2のような決済方針に準じるためだけに実施するのではなく、より安全なオンライン決済環境をお客様に提供します。