日本クレジット協会は７月１日から、ネット販売のクレジットカード決済において、不正使用を防止するためのガイドラインを実施する。すでに２０１０年12月には、新規加盟店を対象とした同様のガイドラインを制定している（新ガイドライン発行により失効）が、今回は全事業者を対象としたものとなる。

　ただ、前回のガイドラインではカード番号・有効期限に加えて、セキュリティーコードや、本人確認サービス「３Ｄセキュア」による本人認証を義務付けたのに対し、今回は３Ｄセキュア導入を「推奨」にとどめた。統一基準の導入を求めたい協会側からみれば「後退」とも取れる新ガイドラインだが、その理由はどこにあるのだろうか。

　「事業者側からの反発が思った以上に大きかった」。日本クレジット協会の担当者は、３Ｄセキュア義務付けを見送った理由をこう説明する。同協会ではガイドライン制定の過程で、ｅビジネス推進連合会（現・新経済連盟）などに趣旨を説明し、理解を求めてきたという。
　事業者側が３Ｄセキュア義務付けで最も懸念するのは「機会損失」だ。３Ｄセキュアはあらかじめ本人が設定したパスワードで認証する仕組みだが、支払いまでの工程が長引くため、購入率が落ちるのではないかというわけだ。

　ただ、同協会では「それは大きな誤解だ」と反論する。そもそも、パスワード未登録者の場合、認証画面は表示されない。一方で登録者はセキュリティー意識が高いことが想定されるため、３Ｄセキュア対応サイトへの信頼感は増すとみられる。しかし、事業者側の不安はぬぐいきれず、主張は平行線をたどった。

　また、決済システムを独自構築している場合、３Ｄセキュアの導入にはシステム開発や運用コストが必要になる。同協会では「（事業者側は）不正防止のための努力を認めてほしいと強硬に主張した」と振り返る。例えば楽天市場では、モニタリングでなりすましによるカードの不正利用を防いでいるという。ただ、こうした施策の実効性については「具体的な数字を出してもらえず、検証できなかった」（同協会）。

　新ガイドラインでは３Ｄセキュア導入は推奨にとどめ、カード番号・有効期限確認以外の不正防止策の実施を求めている。一方で、過去に不正使用が発生した加盟店には３Ｄセキュア導入を必須とした。実際にはこうした事故が発生した場合、取引再開の条件として、カードの国際的なセキュリティー基準「ＰＣＩ　ＤＳＳ」のへの対応と、３Ｄセキュア導入がカード会社側から求められるという。

　今回のガイドライン制定をめぐる動きで浮かび上がってくるのは、ネット販売事業者の危機意識の低さだ。海外ではこうした不正使用が発生した場合、基本的には加盟店の費用負担となる。それを回避するための手段が３Ｄセキュアというわけだ。しかし、日本ではカード会社のモニタリングなどにより、不正使用が初期段階で抑えられることがほとんどのため、加盟店が費用を負担することがない。

　ただ、今後も不正使用の件数が増えていくようであれば「国際ブランドが海外と同様に加盟店にリスクを負ってもらう方針に変えるかもしれない」（同協会）。また、カードの不正使用増加に関しては以前から警察が問題視している。今後、行政によるネット販売への無用の規制につながる恐れもないとはいえない。

　ただ、３Ｄセキュアに関しては、ネット販売を頻繁に利用しながら未登録のユーザーも多いとみられるため、対応すれば不正使用が必ず防げるというわけではないのが現状だ。カード会社のさらなる利用者への周知は急務といえる。

　とはいえ、事業者側の独自対策がどこまで効果を発揮しているのかも不透明だ。カード番号と有効期限を入力すれば商品が購入できる通販サイトを根絶するためにも、業界を挙げて購入時の本人確認実施に取り組む必要がある。