#13 クレジットカード取引における対面・非対面〜店頭の利用とWebの利用の話〜
はじめに
今までカード業界の仕組みや決済の仕組みについて書いてきましたが、ご存知のようにクレジットカードの利用シーンは対面(店頭)と非対面(Web)があります。これまでの#6〜#10は主にICクレジットカードを使った取引(=対面)の話でしたが、非対面取引についても触れていきたいと思います。
対面の取引
これはほぼおさらいですが、対面でのカード利用においてユーザーが意識するところとしては概ね以下です(オーソリはあんまり意識しないとは思いますが)。これまで書いてきたカードと決済端末のIC化によりカードを偽造するのが難しくなり、対面での不正被害は大幅に減りました。
利用するカード(板)の仕様については以下で書きました。
本人確認は以下で書いたとおりです。
その後のオーソリ時には暗号文を載せて認証をする話をしました。
非対面の取引
非対面取引はWebやアプリ上でカード番号(CVV含む)を入力してカード利用することものを指します。これまで以下のようにカード情報を入力するだけではカード情報が盗まれてしまった場合に簡単に他人に悪用されてしまうのが課題で、近年のインターネットの拡大により不正の割合は対面に比べ、非対面が劇的に多くなっています。
ここで導入が広がっているのが3Dセキュアです。以下が3Dセキュアを導入した場合の非対面取引のフローとなります。対面取引と同等のことが実現されているのがわかります。
3Dセキュア
非対面取引において加盟店・国際ブランド・カード発行会社(ISS)の3ドメインで認証を実施することから3Dセキュアと呼ばれます。
現在導入が進んでいるのは「EMV 3Dセキュア(3Dセキュア2.0)」と呼ばれています。これまでも3Dセキュア1.0はあったのですが、導入した加盟店ではカード利用の都度必ず事前に設定したIDとPW(もしくはPWのみ)での認証が必要となり、PWがわからない場合には買い物ができない(カゴ落ち)ため売上に影響があることから導入が進んでいませんでした。
そこでEMVCoが「EMV 3Dセキュア(3Dセキュア2.0)」を策定しました。3Dセキュア1.0との大きな違いは以下2点です。
リスクベース認証を実施し、リスクがある場合のみ本人認証を実施する
(カゴ落ちリスクの軽減)本人認証は動的なOTPで実施する
(都度発行するワンタイムパスワードでPW失念リスクをなくす)
この改善と国際ブランド等のルール化により導入が広がっています。具体的な仕様については次回説明しようと思います。
対面と非対面オーソリの違い
上記の通り3Dセキュアの導入により手続きの流れは、カード情報の取得→本人確認→オーソリ→取引完了で概ね同じです。オーソリも同様に取得しますが電文の内容はざっくりと以下の違いがあります。
POSエントリーモード(カード情報をどの方法で読み取ったかの値)
対面取引はこの値が接触ICだったり非接触ICだったり磁気取引を示す値となりますが、非対面取引では手動入力を表す値となります。カード情報
対面取引では決済端末がTrack2を読み取り設定されるが、非対面取引では利用者が入力したカード番号、有効期限、CVVが設定される。暗号文(クリプトグラム)
対面取引ではICカードと決済端末がMDKを使ってARQCという暗号文を生成しIC関連データ(Bit55)へ含むが、非対面取引では3Dセキュア認証時に生成した暗号文(国際ブランドによって呼び名が異なり例えばVisaだとCAVV)をオーソリ電文に含む。
まとめ
今回は対面取引と非対面取引の概要と違いについて説明しました。現在はインターネットの拡大により、非対面取引における不正被害への対応が非常に重要となっており、その手段としてEMV 3Dセキュアの導入が広がっています。