PSD2ガイドラインに基づく
確実な本人認証

ヨーロッパの銀行は今後PSD2に基づくSCAに従うことを求められますが、PSD2とは何か、またなぜ銀行は準拠する必要があるのでしょうか?PSD2は「決済サービス指令」(PSD)の第2版であり、決済サービスおよび決済サービスプロバイダー(PSP)を規制するために2007年に初めて導入された欧州連合(EU)指令です。PSDにより決済業界において全ヨーロッパ規模のより良い競合および参加が可能となりましたが、安全なオンライン決済の促進における銀行業界の独占状態が切り崩される恐れがありました。多くがPSD2に基づくSCAへの適合の意味合いに懸念を覚えていましたが、もうその必要はありません。GPaymentsは15年以上にわたり3Dセキュアベンダーとして良く知られていますが、このたびActiveAccessの新しいバージョンにおいて、多要素認証モジュールを使用して3Dセキュア、3Dセキュア2およびSCAをサポートする革新的な認証プラットフォームを導入いたします。このページでは予定されている変更についてその概要を見ていきましょう。

確実な本人認証(SCA)とは何か

確実な本人認証(SCA)とは「知識(本人のみが知っていること)、所有物(本人のみが所有するもの)および生体認証( 本人の特徴)として区分される2つ以上の要素の使用に基づいた認証であることです。これらの要素は相互に独立し、そのうちの一つが違反 していた場合も他の要素の信頼性を損なわないものでなければならず、認証データの機密性を保護できるように設計されねばならない」と定義されます。

オンラインサービスへシフトするという一般的な流れにより取引および銀行業務の際にユーザーのアイデンティティを認証すべきニーズが高まっていますが、その目的は以下のとおりです:

  • オンライン詐欺の可能性を低減する
  • 詐欺的取引の処理に関わる費用を低減する
  • オンラインサービス使用におけるカード会員の自信を高める
  • PCI-DSSや当然ながらPSD2などの国際的規制に準拠する

ダイナミックリンキングとは何か

ダイナミックリンキングはもう1つの概念であり、PSD2の新しい要件です。これには特定の決済金額および取引の特定の支払先に対して動的にリンクされる認証トークンが含まれます。

決済金額または支払先に変更があった場合、その認証トークンは有効性を失い、新しいものを生成して使用する必要があります。SCAにこのようなダイナミックリンキング要素を取り入れることで、これまで求められていたガイドラインを超えて十分にカバーされた新たな認証レイヤーが加わります。

GPaymentsのActiveAccessはダイナミックにリンクされる取引において満たすべき以下の要件をすべてサポートします:

  • 支払い者は常に取引金額と支払先について知っている必要がある
  • 認証トークンは取引金額および支払先に固有のものでなければならない
  • 基本的なテクノロジーにより以下に関する機密性、信頼性、および完全性が保証されねばならない:
    •  取引金額と支払い先
    •  認証手続きの全フェーズを通して支払者に表示される情報
  • SCAの元でカバーされる取引のタイプ
  • 取引を特定の金額および支払先にリンクする情報を表示する際に経由するチャネル、端末またはモバイルアプリケーションは、電子決済取引を開始するために使用されたチャネル、端末またはモバイルアプリケーションとは独立あるいは隔離されていなければならない

SCAの元でカバーされる取引のタイプ

ほとんどのオンライン取引がSCAの元でカバーされます。PSD2ではサービスプロバイダーに必ずSCAを推進することを義務付けています。手順においてSCAが正常に活用されない場合、決済サービスプロバイダーに責任が課されます。PSD2は以下の状況が発生する場合にSCAを要求します:

  • オンラインで決済口座にアクセスする場合
  • 電子取引を開始する場合
  • 決済詐欺のリスクが考えられる遠隔チャネルを通して何らかのアクションが実行される場合
  • サービスプロバイダー(決済または情報)を通して情報が供給される場合

ほとんどの場合、二要素認証(2FA)は必須のものとなり、顧客や加盟店、また銀行をオンライン詐欺から保護できるようにするためには、2つ以上 のセキュリティチェックを要するシナリオが増えるでしょう。

ごく一部の場合において、SCAに関して新しいPSD2規制を免除される取引も存在します。これには極めて少額な取引(€30未満)の他、たとえば駐車場やバー、またスーパーマーケットなどにあるような監視の付いていない決済マシンでの取引等が含まれます。

しかし、ほとんどの場合、サービスプロバイダーにはSCAの実装が求められ、そうしない場合は、PSPが処理を引き受けることになります。

3Dセキュア2&PSD2

多くの方がPSD2の導入により安全で確実なオンライン取引を保証する最新版のプロトコルである3DS2(3Dセキュア2)にどのような影響があるかと戸惑いを感じています。

  • 加盟店 は取引の認証の際に複数の決済代行会社のプラットフォームやデジタルメディアで一貫性のある使いやすいサービスを提供できるようになります。その結果かご落ち率が高いという3Dセキュアの問題にかなりの効果が期待できます。
  • イシュア はより情報量の多いデータ交換を通して「ユーザーに負担をかけない認証」を強化することができます。さらに、カード会員は – 多要素認証の機能性のお陰で - セキュリティ面で妥協することなく購入する際に好みの認証方法を選択することができるようになります。
  • 消費者はeコマースの決済を実行する時に、便利で安全なサービスを求めています。3Dセキュア2は、付随するMPIおよびACSテクノロジーとともに、これらのメリットをもたらし、顧客がすでに馴染んでいるアプリケーションや決済代行会社に与える影響もほとんどありません。

幸いPSD2は3DS2を必要としません。何故ならば、3DS1.0.2はPSD2の要件を満たしているため、(強く推奨されていますが)早急に3DS2に更新していなくても準拠はできます。しかし、3DS2ではより良いユーザー体験を約束しており、ユーザーの負担を取り除き、PSD2対策も可能になるため、消費者や加盟店、および銀行も詐欺の防止を容易に実現できます。

GPayments ActiveAccessにおけるPSD2/SCAのサポート

GPaymentsの認証プラットフォームであるActiveAccessはEMVCoの公式プロトコルに沿って開発され、コンプライアンスに準拠したアクセスコントロールサーバーです。国際ブランドのディレクトサーバーの有無に関わらず、インターネットバンキングやモバイルバンキング、またeコマース取引に多要素認証サービスを提供します。これにより銀行は自らのeバンキングの顧客に対し、柔軟でコスト効率の高いソリューションを提供できます。

GPaymentsのActiveAccess多要素認証モジュールは、PSD2ガイドラインの「確実な本人認証」で説明される必須サービスを提供します。この認証サービスにより銀行や金融機関はエンドユーザーに対し自社のインターネットおよびモバイルバンキングポータルへの安全なアクセスメカニズムを提供することができます。様々な端末をサポートするActiveAccessは、端末固有の認証プロセスの複雑さを隠してくれる認証レイヤーを提供することによりベンダーに関係なく1台または複数台の端末を同時に配置させることができ、現在も、そして将来的にも組織に柔軟性がもたらされます。