この記事は機械翻訳されました。
強力な顧客認証(SCA)は、オンライン決済の安全性を高めることで不正行為を減らすためにヨーロッパで制定された要件です。
重要なポイント
- 強力な顧客認証は、オンライン決済に多要素認証(MFA)を義務付けるヨーロッパの規制要件です。
- SCAには、少なくとも2つの認証要素が必要です:顧客が知っているもの、持っているもの、またはそうであるもの(パスワード、スマートフォン、生体認証など)。
- 銀行はSCAに準拠していない取引を拒否する必要がありますが、低リスク、低価値、および定期的な取引には特定の免除が存在します。
- 主にヨーロッパで施行されていますが、オンライン決済のセキュリティを強化するために、他の国でも同様の認証手段が検討または実施されています。
SCAによるオンライン決済の保護
欧州35カ国を網羅するSEPO(Single Euro Payments Area)では、カード不正取引の半数以上がオンライン取引に関係しています。2019年には、欧州経済領域(EEA)内で事業を行う顧客と金融機関を詐欺や金融犯罪から保護するために、強力な顧客認証(SCA)要件が制定されました。
SCA は、欧州連合の決済サービスに関する改訂指令 (PSD2) の要件として、EEA の決済サービスプロバイダーを通じて行われる電子決済に対して、セキュリティの積み重ねる MFA を制定することを義務付けています。
強力な顧客認証の基礎
非接触型決済の安全性を高め、不正行為を減らすために、改訂された決済サービス指令(PSD2)の一環として、2019年9月14日にヨーロッパで決済を処理する企業向けのSCAが制定されました。ヨーロッパの規制要件である SCA では、チェックアウトフローに認証を追加することで支払いの安全性を高めるために MFA を使用することが義務付けられています。
SCAの要件に準拠するために、加盟店はオンライン取引のチェックアウト時に、次の要素のうち少なくとも2つを要求する必要があります。
- お客様が知っていること: これは多くの場合、パスワードまたは PIN です。
- お客様が持っているもの: これは、スマートフォン、ソフトウェア、またはハードウェアトークンである可能性があります。
- 顧客とは何か: これには通常、指紋、網膜スキャン、顔認識などの生体認証のフォームが含まれます。
銀行は、SCAの要件を満たしていない取引を拒否する必要があります。より動的なデータポイントを使用すると、顧客の身元をより正確に検証できます。
SCAの要件が制定される前は、銀行は静的なパスワードしか要求できませんでした。SCAはMFAを使用して、オンライン取引をより安全にします。
SCAのガバナンスとコンプライアンス:誰が責任を負うのか?
欧州連合(EU)内の 欧州銀行監督局 (EBA)。英国では、 金融行動監視機構 (FCA)がITを管理しています。
マーチャントではなく、銀行や金融機関は、PSD2 規制に従って SCA コンプライアンスを遵守し、維持する必要があります。コンプライアンス違反の取引を拒否しなければ、自国の法律に違反するリスクがあります。
これらの取引中の SCA 規制の実装は、取引のタイプによって異なります。 オンラインのデビットカードやクレジットカード取引は、多くの場合、3Dセキュア1(3DS1)またはより安全な3Dセキュア2(3DS2)に依存しています。現地の決済手段や電子財布は、独自のSCA準拠の認証方法を頻繁に使用します。
3DS2は、ヨーロッパのほとんどのクレジットカードおよびデビットカード会社概要でサポートされており、銀行によるチェックアウト後に追加の認証ステップが追加されます。これには通常、顧客のスマートフォンに送信されるワンタイムコードや、モバイルバンキングアプリ内の指紋認証が含まれます。デジタルウォレットや 、Apple Pay や Google Pay などの国際電子ウォレットもSCA要件をサポートしている場合があります。
強力な顧客認証はどのような場合に必要ですか?
企業は、銀行振込やオンライン購入など、「顧客主導」の取引に対して強力な顧客認証を実装する必要があります。ただし、定期的な引き落としなどの「加盟店から開始される」取引に SCA を適用する必要はありません。
SCA の要件
SCAは、カード所有者の銀行とビジネスの両方がヨーロッパにある場合、ヨーロッパのオンライン決済に適用されます。これには、オンラインの買い物客がチェックアウト時に追加の認証手順を完了する必要があります。
オンライン決済にSCAコンプライアンスを義務付けている地域:
- 欧州経済領域(EEA)
- イギリス (UK)
- モロッコ
EUは2019年にSCAを実施しましたが、多くの地域では、企業が遵守できるようになるまで施行が遅れました。たとえば、英国はSCAの実装を 2022年3月14日まで延期しました。 規制当局は、加盟店の混乱を最小限に抑え、消費者の摩擦を減らすために、施行を遅らせました。
SCAの例外
場合によっては、SCA免除を使用できます。加盟店は、取引を処理する際に、銀行またはクレジットカード会社に免除を要求します概要
加盟店はリスクのレベルを評価し、取引がSCAのスコープから外れているかどうかを判断することができます。 ITがそうであれば、IT部門は認証の余分な積み重ねる必要を免除できます。 SCA認証規制は、顧客にとってより多くの摩擦を意味し、加盟店にとっては潜在的な顧客の離脱率が高くなる可能性があるため、これは場合によっては望ましいことです。
SCA規制の一般的な例外には、以下のものがあります。
- 低リスクの取引: プロバイダーまたは銀行の詐欺のしきい値が次のしきい値を下回っている場合:
- €100未満の取引では0.13%
- 250ユーロ未満の取引では0.06%
- €500未満の取引の場合は0.01%
- 低額取引: 同じカードでの合計30ユーロまたは100ユーロ未満の取引は免除されます。ただし、発行銀行は免除の数を追跡する必要があります。
- 定期的な取引: トランザクションが固定金額であり、最初のトランザクションが SCA 要件を満たした後に繰り返される場合、追加のトランザクションは免除されます。これらは固定され、定期的に行われるため、「加盟店開始」取引に該当する可能性があり、したがって、SCAの範囲外になります。
- 信頼できる受益者: 顧客は、特定の加盟店を銀行が保有するホワイトリストに登録することができ、これによりSCA規制に従うことが免除されます。
- B2B取引: 2つの企業間の取引は、B2B取引専用の決済手段を使用する場合、SCAを免除できます。
上述の通り、お客様の直接の関与を伴わない「加盟店開始」取引は、SCA規制の範囲外です。 規制当局は、電話取引や通信販売取引は電子的とは見なされないため、スコープから除外しています。
SCAは、EEA、モナコ、または英国以外に拠点を置くカード発行者またはカード所有者には適用されません。
強力な顧客認証に関するグローバルな視点
欧州連合(EU)、モロッコ、英国以外の国々にある他の金融規制委員会も、強力な顧客認証の導入を検討しています。
例えば、 インド準備銀行(RBI )は、通常はオンラインである非対面取引に対して「認証の追加要因」を義務付けています。
オーストラリアでは、 オーストラリア競争・消費者委員会 (ACCC)が、ITがUXを混乱させ、加盟店の売上を損なう可能性があるという苦情を理由に、3Dセキュアの義務化を阻止しました。
テクノロジーが進歩し、金融詐欺が増加するにつれて、SCAのようなプロトコルを含む、オンライン購入により高いレベルの認証を採用する国が増える可能性があります。
SCAはどのように進化してきたか
欧州の規制当局は当初、金融サービス業界におけるデジタル決済に対して強力な顧客認証を義務付けていました。それ以来、他の市場では、金融取引や非金融取引にITを自主的に採用するようになりました。
SCAを使用する業界には、次のようなものがあります。
- 金融サービス
- ヘルスケア
- 製造
- 小売
- 輸送・物流
ユーザーの同意:SCAの重要な要素
支払いやその他の種類の機密性の高い取引を承認するには、十分な情報に基づいた承認が必要です。SCA では、承認の前に、ユーザーが受取人と支払い金額を表示する必要があることを義務付けています。
承認する前に理解する
IT部門は、金融取引に関して、SCAは、ユーザーが承認を与える前に重要な詳細を明確に確認することを義務付けています。 これには以下が含まれます。
- 受信者のアイデンティティ
- 送金される正確な金額
SCAは、この情報を事前に提示することで、ユーザーが自分の取引について意識的かつ情報に基づいた意思決定を行えるようにします。
金融取引を超えて
インフォームド・アベイションの原則は、金融セクターにとどまりません。個人データやセキュリティ設定を含む機密性の高いトランザクションは、このアプローチの恩恵を受けることができます。これには以下が含まれます。
- アカウント・セキュリティー・パラメーターの変更
- ユーザープロファイル情報(住所など)の更新
- 個人データへのアクセスの許可
SCA での動的リンク
PSD2のセキュリティ機能であるダイナミックリンクは、承認された詳細が最終的なトランザクションと一致するようにすることで、トランザクションのセキュリティを強化します。
ITのしくみ:
- トランザクションの詳細を承認プロンプトにリンクします
- ユーザーは承認前に取引の正確性を検証できます
- トランザクションの改ざんを防止
過程:
- 支払者が支払いを開始する
- 取引は、支払人が指定した金額と受取人にリンクされています
- ダイナミックリンクは、トランザクションの一意の「認証コード」を生成します
認証コードの重要性:
- 取引の受取人と金額に固有
- 支払いおよび承認プロセスによる送金
- 支払いデータ(金額または受取人)を変更すると、コードと取引が無効になります
その他の SCA リソース
SCA および関連規制の詳細については、以下を参照してください。
- 電子決済に関するEUの規制基準
- PSD2とSCAを支える技術標準
- Mastercard と Visa のSCAコンプライアンスアプローチの詳細については、Webサイトをご覧ください
FAQ
Q: 強力な認証とは何ですか?
A: 強力な認証とは、パスワードを超えてユーザーの身元を確認する安全な顧客データ管理の方法です。 ITは、2つの独立した要因を組み合わせて、個人の身元とアクセスを確認します。
Q: 認証の最も弱い形式は何ですか?
A: パスワードは、パスワード疲れ、アカウント間での再利用、フィッシング攻撃に対する脆弱性などの問題により、一般的に認証の最も弱い形式と考えられています。
Q:米国では3DSは必須ですか?
A: 3Dセキュアは、米国の連邦法で義務付けられているわけではありませんが、一部の加盟店は、詐欺やチャージバックを減らすために自発的にITを採用する場合があります。
Okta による強力な顧客認証の最前線
Oktaのクラウドベースの認証により、生体認証やプッシュ通知などの使いやすい要因でユーザーに保証レベルが高い方法を学びます。
