NTTデータ、「3-D Secure本人認証サービス」にリスクベース認証機能を導入

　株式会社NTTデータは、ネットショッピングにおける非対面クレジットカード決済時に本人認証を行う「3-D Secure本人認証サービス」について、クレジットカード利用者が使用するデバイス情報とクレジットカード決済の取引情報から不正使用のリスク度合いをオンラインリアルタイムで判定するリスクベース認証機能を新たに開発し、11月13日から提供を開始した。

　NTTデータでは、現行の3-D Secureはクレジットカード利用者がクレジットカード会社に事前登録した本人確認用のパスワードを用いることで実現しているが、近年のクレジットカード犯罪の多様化・高度化に対し、さらに精度の高い本人確認を行う手段が必要とされていると説明。

　こうした中で、NTTデータは三井住友カード株式会社と協力し、2015年からクレジットカード取引環境におけるリスクベース認証のトライアル検証を実施し、リスク判定スコアリングモデルおよびオンラインリアルタイム処理システムに必要となるアプリケーション開発の検討を進めており、今回、トライアル検証の成果を具現化、反映し、サービス提供を開始した。

　デバイスの情報と決済情報は、3D-Secureプロトコルで本人認証処理をおこなうACS（Access Control Server）が取得しており、この機能はNTTデータの「CAFIS BlueGateユーザー認証サービス」として提供している。不正判定のスコアリング処理は、NTTデータの「CAFIS Brain」のルールエンジンを用いて不正判定を行う。

　リスクベース認証では、CAFIS BlueGateユーザー認証サービスによりクレジットカード会員が使用するデバイスの設定情報を取得し、取引情報と合わせて不正リスクを判定し、認証を行う。不正リスク判定の処理結果において、危険な取引（リスク高）と判定された場合には決済に入らないよう、3-D Secureの認証失敗の結果を加盟店に返却する。クレジットカード会社では、不正使用取引の実態（ネガティブ／ポジティブデータ）をリスク判定エンジンに登録することにより、運用においてリスク判定スコアリングモデルのチューニングを行う。

　リスクベース認証とパスワード認証を併用することで、カード利用者の利便性を損なわずに、なりすましによる不正使用の被害抑制と、クレジットカードの不正使用に伴う加盟店・カード会社双方におけるクレジット信用管理・チャージバック業務の効率化が期待されるとしている。

　リスクベース認証サービスは、三井住友カードでの採用が決定しており、今後は他のクレジットカード会社への展開も計画するとしている。

　また、次期バージョンとなる3-D Secure2.0では、リスクベース認証の概念が標準機能として取り入れられ、クレジットカード決済の大多数がパスワードを求めない取引とすることで、カード会員の利便性を向上させることが定義されていると説明。今回の三井住友カードとの取り組みは、3-D Secure2.0への移行を見据えた先行導入としての位置付けもあり、リスクベース認証における不正使用の検知精度向上と運用管理ノウハウを蓄積し、早期に3-D Secure2.0の安定稼動に入ることで、クレジットカード利用者へより安心・安全な利用環境の提供を進めるとしている。