経済産業省が「電子商取引サイトでのクレジットカードの不正利用防止に向け、購入者がカード所有者本人であることを複数手段で認証する国際的なシステム規格の導入義務化を検討する」と発表しました。

問題の背景

　インターネット通販（EC）やコンテンツ利用が急速に拡大し、クレジットカード決済は取引全体の8割に上る。カード番号を入力する機会が増えたことで、フィッシング詐欺でアカウントやパスワードを盗まれる事件も頻発し、ECでのクレジットカード不正利用は2021年に過去最高額になった。

経済産業省の動き

　技術的な話は避けるが、経済産業省が検討する本人認証は、「VISAやマスターなど国際ブランド6社でつくる団体が2016年から提供している」サービスの組み込みを推奨する見込みだ。「ECサイトでカード利用をする際に、カード所有者本人の確認に、パスワードの入力など複数の認証をはさみセキュリティ効果を高める」とするもの。国内のクレジット会社はそすでにそれらの国際カードと提携しており、それならば国際的な「本人複数認証」規格に乗るのが手っ取り早いと考えたようだ。

　この話を取り上げた理由は、ECを運営していない会社のインターネット上の本人確認も「複数認証」に「右へならえ」する可能性がある点だ。個人情報漏えい防止で見ると、例えば会員向けサービスサイトでのログイン時に「複数認証」が採用される可能性が高く、他社に見劣りしない「複数認証」導入検討に注意を払うべきだ。

他山の石

　本人認証サービス規格名は「EMV-3Dセキュア」です。今のうちからサイトログイン時の本人確認手法、運営コスト、サイト改造の手間、費用、期間などの安全対策について、社内研究会を開かれることをお勧めします。