Mastercard Identity Checkのすべて：カード発行会社と加盟店向け徹底解説

デジタルコマースの世界には、根本的な課題が存在します。それは、ビジネスがスムーズで簡単なオンラインでの決済体験を提供すると同時に、常に存在する不正利用の脅威から自社と顧客をどのように守るか、という問題です。eコマースの根幹をなすカード非保持（CNP）取引は、物理的なカード提示に伴う本来のセキュリティを欠くため、不正利用率が著しく高くなります。歴史的に、CNP取引は、その取引量に比べて不正利用による損失の割合が不釣り合いに大きいものでした。さらに、過度に厳格な対策によって正当な取引が誤って拒否されること（フォールスディクライン、または「顧客への侮辱」とも呼ばれます）で生じる不正利用防止コストは、時に不正利用そのもののコストを上回り、売上損失や顧客の不満につながる可能性があります。

そこで登場するのが、この課題に正面から取り組むために設計されたMastercardの包括的なプログラム、Mastercard Identity Checkです。世界的なEMV 3-Dセキュア標準に基づいて構築されており、オンライン決済の認証における大きな進化を象徴しています。その中心的な使命は、セキュリティを強化し、不正利用と戦い、取引の承認率を高め、カード会員、カード発行会社（イシュアー）、そして事業者（加盟店）のすべてにとって決済プロセスを合理化することです。

このブログ記事では、Mastercard Identity Checkを深く理解したいと考えるカード発行会社、加盟店、決済サービスプロバイダー（PSP）、ソフトウェア開発者、プロダクトマネージャー、セキュリティ専門家のために、重要な疑問に答えます。

1. Mastercard Identity Checkとは具体的に何で、なぜ開発されたのか？

2. Mastercard Identity Checkは、EMV 3-Dセキュア技術をどのように活用して不正利用とフォールスディクラインを削減するのか？

3. NuDataの行動生体認証のような先進技術は、フリクションレスなユーザー認証を実現する上でどのような役割を果たすのか？

4. 加盟店やPSPは、Mastercard Identity Checkを既存の決済プロセスに効果的に統合するにはどうすればよいか？

5. Mastercard Identity Checkを導入することで、企業は取引承認率、ユーザー体験、不正利用削減の面でどのような具体的なメリットを期待できるか？

Mastercard Identity Checkへの道のりは、初期のeコマースに内在する脆弱性から始まりました。オンラインショッピングが急増するにつれて、詐欺師は物理的なカードが存在しないことを悪用し、CNP不正利用率が上昇しました。業界の最初の対応は、1999年に導入された3-Dセキュア（3DS）プロトコルでした。Mastercardがこの最初のバージョンに付けたブランド名が、Mastercard SecureCodeです。SecureCode（3DS 1.0）は、カード会員認証のレイヤーを追加することで物理的な決済のセキュリティを再現することを目指し、特定の不正チャージバックに対するライアビリティ（賠償責任）を加盟店からシフトするという重要な利点を提供しましたが、その有効性と普及を妨げる重大な欠点がありました。

• 高いフリクション：最も一般的な実装は、静的パスワードや面倒なチャレンジ質問を伴うもので、多くの場合、ユーザーは事前の登録と別の認証情報を記憶する必要がありました。これにより、決済プロセスに顕著な手間が加わりました。

• 劣悪なユーザー体験：認証のためにカード発行会社ブランドのページにリダイレクトされることは、一貫性がなく、しばしば買い物客に混乱や疑念を抱かせるぎこちないユーザー体験を生み出しました。このフリクションは、ショッピングカートの放棄率の高さに直接つながりました。

• 限定的なデータ交換：3DS 1.0では、加盟店とカード発行会社の間で交換できるデータ要素が約15項目に限られており、正確なリスク評価には不十分なコンテキストしか提供できませんでした。

• ブラウザ中心の設計：主にブラウザベースの取引向けに設計されていたため、急速に成長するモバイルアプリ決済や新たなIoTコマースの世界には不向きでした。

• 不十分なフォールスディクライン対策：限定的なデータと明示的なチャレンジに重点を置いていたため、正当な取引が誤って不正と判断されるフォールスディクラインという重大な問題に効果的に対処できませんでした。これは顧客関係を損ない、収益損失を引き起こしました。

カート放棄やフォールスディクラインといった形で現れる劣悪なユーザー体験の悪影響が、直接的な不正利用コストよりも大きな経済的損失をビジネスにもたらすことが多いことが明らかになりました。この経済的現実と、ますますデジタル化する世界でより強力な不正利用防止が必要であるという認識が、近代化されたアプローチの開発を推進しました。

次世代のEMV 3-Dセキュアプロトコルに基づいて構築されたMastercard Identity Checkの開始は、明確な目的を持ってこれらの限界を克服することを目指しました。

1. CNP不正利用の削減：より高度な技術を用いて不正な取引を検知・防止する。

2. フリクションの最小化：大多数の取引に対して、よりスムーズで迅速なフリクションレス認証フローを創出する。

3. 承認率の向上：カード発行会社に豊富なデータを提供し、より正確なリスク評価を可能にすることで、フォールスディクラインを削減する。

4. 最新チャネルのサポート：モバイルアプリ、デジタルウォレット、その他のコネクテッドデバイス内での認証をネイティブにサポートする。

5. 豊富なデータ交換の実現：取引データやコンテキストデータを大幅に増やし、安全な共有を促進する。

6. ライアビリティシフトの維持：認証された不正取引に対するライアビリティを、参加加盟店からシフトするという利点を維持する。

Mastercard Identity Check - Early Adopter Program Learnings

基盤となる技術標準と、Mastercardの具体的な実装を区別することが重要です。

EMV 3DSは、Mastercard、Visa、American Express、Discover、JCB、UnionPayを含む主要なグローバル決済ネットワークが共同で所有する組織であるEMVCoによって開発・管理されているグローバルなプロトコル仕様です。これは、オンライン取引認証に関わる3つの主要なドメイン間の安全な通信とデータ交換のための技術的フレームワークを定義します。

1. アクワイアラー・ドメイン：加盟店、その決済ゲートウェイ、およびアクワイアリングバンク（加盟店の銀行）を含みます。このドメインは、通常3DSサーバー（または歴史的にはMerchant Plug-In/MPI）と呼ばれるコンポーネントを介して認証リクエストを開始します。

2. イシュアー・ドメイン：カード発行会社（カード会員の銀行）とカード会員を含みます。このドメインは、アクセス・コントロール・サーバー（ACS）と呼ばれるコンポーネントを介してカード会員の本人確認を行う責任があります。

3. 相互運用ドメイン：主にカードスキーム（Mastercardなど）によって運営されるディレクトリ・サーバー（DS）で構成されます。DSは中央ルーターとして機能し、カード番号（具体的には銀行識別番号またはBIN）に基づいて、正しい3DSサーバーとACSの間で認証メッセージを転送します。

EMV 3DSプロトコル（しばしば3DS 2.0または2.xと呼ばれる）は、元の3DS 1.0に比べて大幅な改善を導入しました。

• 10倍以上のデータ：3DS 1.0の約15項目に対し、150以上のデータ要素の交換をサポートし、デバイス情報、取引履歴、ブラウザ詳細、加盟店データなど、リスク評価のためのより豊かなコンテキストを提供します。

• リスクベース認証（RBA）：データ分析に基づいて低リスクの取引がバックグラウンドで静かに承認されるフリクションレス認証フローを可能にし、カード会員の操作を不要にします。90～95%のフリクションレス率を目指しています。

• ネイティブなモバイル/アプリ対応：モバイルアプリの決済フロー内にシームレスに統合するためのソフトウェア開発キット（SDK）を含み、中断を伴うブラウザリダイレクトを排除します。

• 強化された認証方法：SMSやアプリで配信されるワンタイムパスコード（OTP）、生体認証（指紋、顔認識）、アウトオブバンド認証などの最新の認証方法をサポートし、静的パスワードからの脱却を図ります。

• 幅広いユースケース：単純な決済認証を超えて、デジタルウォレットへのカード追加などの非決済認証、継続決済、トークン化などをサポートします。

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Checkは、Mastercardのネットワーク内でEMV 3DSプロトコルの使用を実装し、管理するMastercardの特定のプログラム名です。これはMastercard SecureCodeプログラムの後継です。EMV 3DS標準に基づいて構築されていますが、Mastercard Identity Checkは、パフォーマンスとセキュリティを向上させるためにMastercard独自の資産と技術を組み込んでいます。これには以下が含まれます。

• 独自のAIと機械学習：Mastercardの広大なネットワークデータとAI能力を活用して、リスクスコアリングと意思決定を洗練させます。

• 行動分析（NuData）：NuDataの行動生体認証（次のセクションで説明）からの洞察を統合し、ユーザーのインタラクションパターンを理解し、高度な不正試行を検出します。

• ネットワークインテリジェンス：世界中で処理される数十億の取引からの洞察を利用して、リスク評価に役立てます。

• プログラムガバナンス：Mastercardは、Identity Checkプログラム内の参加者（カード発行会社、加盟店、アクワイアラー）に対して特定の重要業績評価指標（KPI）とルールを設定し、ネットワーク全体で最適なパフォーマンスとユーザー体験を確保します。

したがって、Mastercard Identity Checkは単にEMV 3DSプロトコルのブランド名を変更したものではありません。これは、標準化されたプロトコルの基盤の上に、Mastercardが独自のインテリジェンスとガバナンスフレームワークを戦略的に重ね合わせたものを表しています。この相乗効果により、基本的なEMV 3DS実装と比較して、より効果的で差別化された認証サービスを提供し、Mastercardエコシステム内でのリスク検出とパフォーマンス最適化を強化することを目指しています。

Mastercard Identity Check

Mastercard Identity Checkは、セキュリティとシームレスさという目標を達成するために、いくつかの中心的な技術コンポーネントの高度な相互作用に依存しています。これらのコンポーネントを理解することは、システムがどのようにリスクを評価し、ユーザーを認証するかを理解する上で不可欠です。

2017年にMastercardに買収されたNuDataの行動生体認証技術は、Mastercardの高度な認証能力の礎です。従来の認証がユーザーが知っていること（パスワード）や持っているもの（OTP用の電話）に焦点を当てるのとは異なり、行動生体認証はユーザーがデバイスやアプリケーションとどのように対話するかを分析します。これは、本質的でしばしば無意識の対話パターンであるパッシブ生体認証に焦点を当てています。

• 仕組み：オンラインセッション中（決済や口座開設時など）、NuData技術は数百もの微妙な行動シグナルを受動的に収集・分析します。これには以下のようなものが含まれます。

  • タイピングの動態（速度、リズム、圧力）

  • マウスの動き（パターン、速度、クリック）

  • デバイスの持ち方（角度、加速度計データ）

  • タッチスクリーンの操作（圧力、スワイプパターン）

  • ナビゲーションパターン（Tabキーの使用 vs クリック、フォームの進行、'戻る'行動）

  • セッション行動（フォームへの慣れ、所要時間、コピー＆ペーストの使用、ウィンドウの切り替え）

• 目的と統合：この行動データは、機械学習モデルに供給され、正当なユーザーごとに独自のプロファイルを構築します。システムは年間数十億のデータポイントを分析し、これらのプロファイルを継続的に学習・洗練させます。Mastercard Identity Check内でのその主な機能は、盗まれた認証情報を持っている場合でも、本物の人間を自動化されたボットや高度な詐欺師から区別することです。異常や高リスクのシグナルをリアルタイムで検出し、リスクベース認証エンジンに重要な情報を提供します。

NuData技術は、Mastercardの多層的なセキュリティ戦略に不可欠であり、NuDetectのようなソリューションを強化し、Mastercard Identity Checkの背後にあるインテリジェンスに大きく貢献しています。特に、クレデンシャルスタッフィングやアカウント乗っ取りの試みのような自動化された攻撃に対して効果的です。

WSJ Mastercard Nudata

EMV 3DS 2.0の豊富なデータ交換能力を活用し、Mastercard Identity Checkは包括的なデバイスインテリジェンスを組み込んでいます。これには、取引を開始するデバイスに固有の幅広いデータポイントを収集・分析することが含まれます。

• データポイント：EMV 3DSプロトコルは150以上の変数の送信を可能にします。これには以下のような情報が含まれます。

  • デバイスの種類、モデル、オペレーティングシステム

  • ブラウザの種類、バージョン、言語、インストールされているプラグイン

  • IPアドレスと地理位置情報データ

  • ネットワーク接続タイプとタイムゾーン

  • デバイス識別子またはフィンガープリント

  • 画面解像度およびその他のデバイス特性

  • Mastercardは、Ekataのような企業と提携して、デバイスと本人確認データをさらに充実させることもあります。

• 目的：この豊富なデバイス情報は、包括的なリスクプロファイルの構築に役立ちます。これにより、システムは信頼できるデバイスを認識し、場所の不一致やデバイス情報のなりすましの試みなどの異常を検出し、高リスクのネットワーク接続を特定し、見慣れないまたは侵害されたデバイスからの潜在的な不正行為にフラグを立てることができます。デバイスインテリジェンスは、RBAエンジンにとって別の重要な入力情報です。

RBAエンジンはMastercard Identity Checkの中核をなすインテリジェンスハブであり、取引の全体的なリスクをリアルタイムで評価し、適切な認証パスを決定する責任があります。

仕組み：エンジンは複数の情報源からの情報を統合します。

• EMV 3DSデータフィールド（取引詳細、加盟店情報、デバイスインテリジェンス）

• NuDataの行動生体認証シグナル

• 過去の取引データとユーザープロファイル

• グローバルなネットワークデータで訓練されたMastercard独自のAIと機械学習モデル

目的：この包括的な分析に基づいて、RBAエンジンは取引のリスクスコアを計算します。このスコアは、フリクションレス認証（低リスク取引の場合）に進むか、ステップアップチャレンジ（高リスク取引の場合）を開始してカード会員の本人確認をさらに行うかの決定に役立ちます。結果（スコアまたは推奨）は通常、カード発行会社のACSに送信され、最終的な認証決定を支援します。Mastercardはまた、カード発行会社自身のACSが利用できない場合や、まだ3DSに対応していない場合に備えて、スタンドインRBAサービスも提供しています。

Mastercard Identity Checkの力は、これらのコンポーネント間の相乗効果にあります。EMV 3DSからの豊富なデバイスデータと取引データが不可欠なコンテキストを提供する一方で、NuDataの行動生体認証の統合が重要な防御層を追加します。NuDataは、有効な認証情報を使用したアカウント乗っ取りや、人間の対話を模倣するように設計されたボットなど、従来のデータポイントのみに依存するシステムを回避する可能性のある高度な不正試行をしばしば検出できます。この多面的なアプローチにより、RBAエンジンはより微妙で自信のあるリスク評価を行うことができ、堅牢なセキュリティを維持しながら、より高い率のフリクションレス承認を可能にします。

Mastercard Identity Check Program

Mastercard Identity Checkの主な目的の1つは、可能な限りフリクションレスな認証フローを有効にすることで、オンライン決済時の混乱を最小限に抑えることです。認証がバックグラウンドで静かに行われるこのシームレスな体験は、データ駆動型の承認、免除のインテリジェントな使用、そしてライアビリティ（賠償責任）への明確な理解に大きく依存しています。

フリクションレスフローの基盤は、リスクベース認証（RBA）です。EMV 3DSプロトコルは、加盟店の環境（3DSサーバー経由）とカード発行会社の環境（ACS）との間で、膨大な量のデータ（150以上の潜在的な要素）の交換を促進します。Mastercardは、独自のネットワークインテリジェンス、AIアルゴリズム、NuDataの行動生体認証の洞察でこのデータを強化します。カード発行会社のACS（またはMastercardのRBAサービス）は、この包括的なデータセットをリアルタイムで分析します。分析の結果、認識されたデバイス、典型的な購入行動、慣れ親しんだ場所、一貫した行動パターン、その他の文脈的な手がかりなどの要因に基づいて不正の可能性が低いと判断された場合、取引はカード会員が何らかのアクション（OTPの入力や指紋の使用など）を実行することなく、受動的に認証されます。これがデータ駆動型の承認がフリクションレスフローを可能にする本質であり、認証の90～95%をカバーすることを目指しています。

欧州の決済サービス指令（PSD2）のような規制が適用される地域では、強力な顧客認証（SCA）—通常は2つの独立した認証要素を要求—がオンライン決済に義務付けられていることがよくあります。しかし、この規制とEMV 3DSプロトコルは、SCAが不要な特定の免除を認めており、フリクションレスな体験をさらに促進します。Mastercard Identity Checkは、これらの免除の適用をサポートしています。主な免除には以下が含まれます。

• 取引リスク分析（TRA）：アクワイアラーまたはカード発行会社のいずれかがリアルタイムのリスク分析を行い、取引が低リスクであると判断し、かつ取引額が事業体の全体的な不正利用率に連動する特定のしきい値を下回る場合、SCAは免除されます。

• 少額決済：特定の値（例：欧州では30ユーロ）未満の取引は免除されますが、累積制限（例：最後のSCA以降の合計金額または取引回数）が適用されます。

• 信頼できる受益者（加盟店のホワイトリスト登録）：カード会員は、特定の加盟店をカード発行会社に「信頼できる」として指定できます。これらのホワイトリストに登録された加盟店とのその後の取引は、SCAから免除される場合があります。

• 継続決済と加盟店主導取引（MIT）：継続決済やカードオンファイル契約の初期設定には通常SCAが必要ですが、それらの認証情報を使用したその後の加盟店主導の決済は、特定の条件下で適用範囲外または免除と見なされる場合があります。EMV 3DS 2.2以降のバージョンでは、これらの3RI（3DS Requestor Initiated）取引を具体的にサポートしています。

• 安全な法人決済：専用の安全なプロトコルを使用して行われる法人決済には、特定の免除が適用される場合があります。

加盟店とPSPは、EMV 3DS認証メッセージ内で免除の要求を示すことができます。

Corbado Outcome Based SCA Passkey

3-Dセキュアを使用する大きなメリットは、常に特定の種類の不正チャージバックに対するライアビリティ（賠償責任）のシフトの可能性でした。

• 正常に認証された取引：取引がMastercard Identity Checkを通じて正常に認証された場合（フリクションレスフローまたはチャレンジ経由）、通常、「不正利用」として申し立てられたチャージバックに対するライアビリティは、加盟店からカード発行会社にシフトします。この保護は、認証がフリクションレスであった場合でも適用されますが、特定のカードスキームのルールやシナリオが適用される場合があります。

• 免除の影響：これは重要なポイントです。加盟店またはそのPSPがSCA免除（TRAや少額決済など）を要求し、カード発行会社がそれを許可した場合、不正利用に対するライアビリティは通常、加盟店に残ります。加盟店はよりスムーズな決済の利点を得ますが、不正利用の金銭的リスクは保持します。しかし、カード発行会社が一方的に免除を適用すると決定した場合（例：独自のリスク評価に基づく）、ライアビリティはカード発行会社にシフトする可能性があります。

• 認証試行/失敗：認証が試みられたが失敗した、または完了できなかった場合（例：カード発行会社のACSが利用不可）のライアビリティに関するルールは複雑であり、特定の状況やカードスキームのルールに依存します。Mastercardのルールでは、カード発行会社が完全に移行していなくても、特定のシナリオで加盟店保護が提供される場合があります。

• データのみのフロー：Mastercardの「Identity Check Insights」のような特定のフローは、完全な認証試行を行わずにリスク評価のためにデータを共有するものであり、加盟店へのライアビリティシフトは明示的に付与されません。

これにより、加盟店とPSPにとって重要な戦略的決定点が生まれます。免除を要求することは、フリクションレスな体験を確保することでコンバージョン率を最適化できますが、不正利用のライアビリティを保持するという代償が伴います。逆に、認証を強制すること（それがカード発行会社によって承認されたフリクションレスフローになる場合でも）は、ライアビリティシフトを確保するかもしれませんが、チャレンジが必要になった場合にフリクションを導入する可能性があります。したがって、コンバージョン目標と不正利用リスク許容度とのバランスを取りながら、取引ごとに最適なアプローチを決定するための高度なリスク管理戦略が必要です。

さらに、フリクションレスフローの成功とRBA決定の正確性は、加盟店とそのPSPがEMV 3DSメッセージを通じて提供するデータの品質と完全性に大きく依存します。不完全または不正確なデータは、カード発行会社が信頼性の高いリスク評価を行う能力を妨げ、より多くのチャレンジや拒否につながる可能性があり、システムの利点を損なうことになります。最適なフリクションレスパフォーマンスを達成することは、アクワイアリング側での勤勉なデータ管理を必要とする共同作業です。

Mastercard Identity Check Program

Mastercard Frictionless Future

カード発行会社にとって、Mastercard Identity Checkプログラムとの統合は、そのセキュリティとユーザー体験の利点を活用するために不可欠です。これには、自社のカードポートフォリオ（銀行識別番号、またはBINで識別）を有効にし、主にアクセス・コントロール・サーバー（ACS）を介して認証インフラに接続することが含まれます。

ACSはカード発行会社のドメイン内に存在し、発行会社の観点から見た認証プロセスの技術的な心臓部です。その主な責任は以下の通りです。

• 加盟店からMastercard Directory Server（DS）経由でルーティングされた認証リクエスト（AReqメッセージ）を受信する

• 特定のカード番号がMastercard Identity Checkに登録され、対象であるかを確認する

• リスク評価を実行する（多くの場合、RBAエンジンやMastercard Smart Authenticationスコアなどのデータを活用）

• フリクションレスで認証するか、チャレンジを開始するかを決定する

• 必要に応じてチャレンジプロセスを管理する（例：SMSでOTPを送信、銀行アプリ経由で生体認証を促す）

• 認証レスポンス（AResメッセージ）を生成して返す。これには、正常に認証された取引のための重要な口座名義人認証値（AAV）が含まれ、DSに返送される

カード発行会社は、ACS機能を実装するためにいくつかの方法があります。

1. 自社開発ACS：カード発行会社は、自社のIT環境内で独自のACSソフトウェアソリューションを構築、展開、ホスト、管理することを選択できます。

   • 長所：認証ロジック、リスクルール、ユーザー体験のカスタマイズ、および内部システムとの統合に対する最大限の制御を提供します。

   • 短所：相当な内部技術専門知識、大規模な開発および保守リソース、および継続的なEMVCoおよびPCI 3DSコンプライアンス標準への厳格な準拠が必要です。

2. ホスト型ACS（サードパーティベンダー）：カード発行会社は、ACSをマネージドサービスとして提供する、Mastercardが承認した専門のACSベンダーと提携できます。このモデルのカード発行会社は、しばしば「ホスト型プリンシパル」と呼ばれます。

   • 長所：カード発行会社の運用上の複雑さ、インフラコスト、およびコンプライアンスの負担を軽減します。ベンダーの専門知識を活用し、市場投入までの時間を短縮できる可能性があります。

   • 短所：自社開発ソリューションと比較して、きめ細かい制御やカスタマイズが少なくなる可能性があります。重要な機能についてサードパーティに依存することになります。

   • ベンダーエコシステム：Mastercardは、Entersekt、Netcetera、GPayments、Logibiztechなどの企業を含む、準拠したACSベンダーのリストを維持しています。

3. Mastercard補足サービス：Mastercardは、カード発行会社が選択したACSパスを補強できる付加価値サービスを提供しています。

   • Mastercard Smart Authentication for ACS/Issuers：ACSの意思決定能力を強化するためのRBAインテリジェンスを提供します。

   • Mastercard Stand-In RBA：カード発行会社のプライマリACSが利用できない場合や、特定のBINがまだEMV 3DSに完全に対応していない場合に、バックアップのRBA処理を提供します。

   • Mastercard 3-D Secure Authentication Challenge Service：ACSフローと統合できる生体認証チャレンジ機能（FIDO標準を活用）を提供します。

自社開発ACSとホスト型ACSの選択は、カード発行会社にとって重要な戦略的決定であり、制御への欲求と、効率性、コスト効果、実装速度の必要性とのバランスを取る必要があります。

特定の銀行識別番号（BIN）レンジをMastercard Identity Checkで有効にするには、一連の調整された手順が必要です。

1. ACSパスの選択：自社開発ACSを使用するか、ホスト型プロバイダーを使用するかを決定します。

2. ACSコンプライアンスの確保：選択したACSソリューション（自社開発またはベンダー）が、現在のMastercard Identity Checkプログラムルールおよび関連するEMV 3DS仕様バージョンに準拠していることを確認します。これには通常、ACSオペレーターがMastercardのコンプライアンステストを完了することが含まれます。

3. Mastercard Identity Checkへの登録：Mastercard ConnectのMastercard Identity Checkテストプラットフォームを介して発行機関をプログラムに登録し、利用規約に同意し、会社ID（CID）や銀行間カード協会（ICA）番号などの必要な識別子を提供します。

4. Directory ServerへのBINレンジの登録：Mastercard ConnectのIdentity Solutions Services Management（ISSM）ツールを使用して、Identity Checkに参加する特定のBINレンジを登録します。登録された各レンジについて、対応するACSのURLを提供する必要があります。以前にMastercard SecureCode（3DS 1.0）に登録されたBINレンジは、Identity Check（EMV 3DS）のために別途登録が必要であることに注意してください。

5. 認証ルールの設定：登録されたBINに使用する主要な認証方法（例：RBA）およびステップアップチャレンジ方法（例：SMS OTP、生体認証）を定義します。フリクションレスフローとチャレンジフローの両方のサポートが設定されていることを確認します。

6. 証明書の管理：Mastercard Directory Serverとの安全な通信のために必要なTransport Layer Security（TLS）サーバー/クライアント証明書、および該当する場合はデジタル署名証明書を、Mastercard Key Management Portalを使用して取得・管理します。

7. AAV検証の実装：認証された取引の承認メッセージで受信した口座名義人認証値（AAV）を検証するプロセスを設定します。これは内部で行うか、MastercardのAAV検証サービスを使用して行うことができます。

8. プロセッサーとの調整：カード発行会社の決済プロセッサーが、Digital Transaction Insightsなど、Mastercard Identity Checkに関連する新しいデータ要素を処理できることを確認します。

9. 本番稼働と監視：設定とテストが完了したら、本番環境で登録されたBINレンジを有効にし、取引のパフォーマンスとKPIを継続的に監視します。

BIN管理は継続的なプロセスであることを認識することが重要です。6桁から8桁へのBIN移行などの業界の変化により、カード発行会社はポートフォリオを積極的に評価し、BINを統合する可能性があり、Mastercard Identity Checkのような認証サービスの継続的なシームレスな運用を確保するために、システムと設定を更新する必要があります。

Mastercard Identity Check Program

Mastercard Identity Checkおよびその基盤となるEMV 3DS Mastercardプログラムの採用は、加盟店およびそれらをサポートする決済サービスプロバイダー（PSP）に大きな利点をもたらします。その中心的な影響は、取引成功率の向上、顧客体験の強化、そしてグローバルなeコマース環境における運用の簡素化にあります。

最も説得力のある利点の1つは、オーソリゼーション承認率を向上させる可能性です。

• 仕組み：EMV 3DSを通じて交換される豊富なデータと、AIや行動分析を用いた高度なRBAエンジンが組み合わさることで、カード発行会社は取引の正当性についてより深い洞察を得ることができます。これにより、本物の顧客と詐欺師をより正確に区別できるようになり、正当な取引が不正の疑いで誤って拒否される「フォールスディクライン」が減少します。

• 定量的な結果：調査やレポートによると、大幅な改善が示されています。Mastercardのデータでは、年間数十億件の取引で平均10～12ベーシスポイント（0.10～0.12%）の承認率向上、あるいは最大14%もの向上が見られました。他の情報源では、12%の向上の可能性が言及されています。ある衣料品小売業者を対象としたケーススタディでは、Identity Checkによる承認率の改善と不正利用の削減により、売上が大幅に増加したことが示されました。

• 利点：加盟店にとって、承認率の向上は、完了した売上の増加、収益の増加、顧客満足度の向上に直接つながります。PSPにとっては、顧客の承認率を明確に向上させるソリューションを提供することで、自社の価値提案と競争力を高めることができます。

効果的なRBAの直接的な結果として、カード会員が本人確認の追加証明を求められるステップアップ認証の必要性が大幅に減少します。

• 仕組み：目標は、取引の大部分（しばしば90%以上または95%と引用される）がリスク評価に基づいてフリクションレスに認証されることです。これは、顧客にとって決済時の割り込みが少なくなることを意味します。

• 利点：これにより、不要なハードルを取り除くことでユーザー体験が劇的に向上します。フリクションの削減は、ショッピングカートの放棄率の低下と、加盟店のコンバージョン率の向上に直接つながります。

Mastercard Identity CheckがグローバルなEMV 3DS標準に基づいていることは、国境を越えて事業を展開する企業にとって、実装と管理を容易にします。

• 仕組み：EMV 3DSは、世界中の参加カード発行会社とアクワイアラーに認識される、認証のための共通の技術言語とフレームワークを提供します。

• 利点：この標準化により、国際的な加盟店やPSPの複雑さが軽減されます。彼らは、そうでなければ複数の、地域ごとに異なる認証ソリューションを統合する必要があるかもしれません。統合は、Mastercardとそのパートナーが提供する標準化されたプロトコル、API、SDKを通じて合理化されます。さらに、Mastercard Identity CheckのようなEMV 3DSベースのソリューションを使用することは、企業が欧州のPSD2 SCAや他の地域で出現している同様の規制要件を満たすのに役立ちます。

PSPにとって、これらの加盟店の利点はさらに増幅されます。Mastercard Identity Checkのような堅牢で、グローバルに一貫性があり、高性能な認証ソリューションを提供することで、PSPはより多くの加盟店を引き付け、多様な認証方法の管理に関連する自社の運用オーバーヘッドを削減し、加盟店から転嫁される不正関連コストへのエクスポージャーを潜在的に低減できます。

Mastercard Identity Check

Mastercard Identity Checkのパフォーマンスを効果的に管理し、最適化するためには、カード発行会社、アクワイアラー、加盟店は明確な重要業績評価指標（KPI）のフレームワークが必要です。これらのメトリクスを追跡することで、ユーザー体験、セキュリティの有効性、およびEMV 3DS Mastercardプログラムルールへの準拠に関する洞察が得られます。

プログラムガイドとベストプラクティスに基づき、Mastercard Identity Checkのパフォーマンスを監視するためには、以下のKPIが重要です。

1. チャレンジ率：認証リクエストのうち、カード会員が積極的にチャレンジされた（例：OTPや生体認証を求められた）割合を測定します。チャレンジ率が低いほど、より良い、フリクションレスなユーザー体験を示します。Mastercardのガイダンスでは、取引の10%未満でチャレンジを目指し、大部分はRBAに依存することを推奨しています。

2. 認証成功率：認証試行（フリクションレスとチャレンジの両方）のうち、カード会員によって正常に完了し、カード発行会社によって検証された割合を追跡します。高い成功率は、取引の放棄を最小限に抑えるために不可欠です。Mastercardは、認証済み取引全体の承認率（例：90%）に最低しきい値を設定し、特にチャレンジ成功率を監視する場合があります。

3. フリクションレス率：チャレンジ率の逆で、カード会員の操作を必要とせずに正常に完了した認証の割合を測定します。高いフリクションレス率はEMV 3DSの主要な目標であり、全体的な成功率の高さとより良いユーザー体験と強く相関しています。

4. 不正利用率：確認された不正取引の率、特にIdentity Checkを介して認証された取引の率を監視することは、システムの不正防止効果を評価するために不可欠です。Mastercardは、過剰不正加盟店（EFM）プログラムなどを通じて加盟店の不正レベルを監視しています。主な目標は、未認証の取引と比較して不正利用を削減することです。

5. オーソリゼーション承認率：取引成功の最終的な尺度は、カード発行会社による最終的なオーソリゼーション承認率です。Identity Checkは、フォールスディクラインを減らすことでこの率を向上させることを目指しています。

6. 技術的パフォーマンス：ACSおよび3DSサーバーの稼働時間（Mastercardはベンダーに99.0%の可用性を要求）、取引処理時間、認証メッセージングのエラー率などのメトリクスも重要です。

これらのKPIの監視は、さまざまなレポーティングチャネルに依存しています。

• Mastercardプログラムモニタリング：Mastercardは、確立されたプログラムKPIに対する参加者のパフォーマンスを積極的に監視しています。コンプライアンス違反は、DIMPやEFMなどのプログラムの下で通知や潜在的な査定、罰金を引き起こす可能性があります。

• データ完全性監視プログラム（DIMP）レポート：このプログラムは、Mastercardネットワークを流れる取引データの正確性と完全性に特に焦点を当てています。カード発行会社とアクワイアラーは、専用ポータルを介してDIMPレポートにアクセスし、データ完全性の問題でフラグが立てられた取引を特定できます。いくつかのDIMP「エディット」は、DS取引IDの欠落または無効、免除インジケーターの欠落、無効なAAV、取引金額の不一致など、EMV 3DSデータに直接関連しています。カード発行会社は、特にMastercardデータ完全性監視レポートを購読して、フリクションレス率の目標に対するパフォーマンスを追跡できます。

• 決済サービスプロバイダー（PSP）/ベンダーレポーティング：加盟店とカード発行会社は、多くの場合、PSP、3DSサーバープロバイダー、またはACSベンダーが提供するレポーティングダッシュボードと分析を利用して、認証パフォーマンスメトリクスを追跡します。

これらのKPIとレポーティングメカニズムを効果的に活用することで、ステークホルダーは改善点を特定し、設定（RBAルールなど）を最適化し、技術的な問題をトラブルシューティングし、最終的にMastercard Identity Checkプログラムの利点を最大化することができます。

Mastercard Identity Check Program

オンライン決済認証の状況は、セキュリティ強化、規制の変更、そしてよりスムーズなユーザー体験への要求によって絶えず進化しています。Mastercard Identity Checkは、EMV 3DS Mastercardプログラムに基づいて構築されているため、EMVCoが3-Dセキュアプロトコルのために設定したロードマップと本質的に関連しています。

EMV 3DSの進化（v2.1, v2.2, v2.3）

EMV 3DSプロトコルは、最初のリリース（バージョン2.0）以来、いくつかのイテレーションを経ており、それぞれが新しい機能と改良を導入しています。

• EMV 3DS 2.1：義務化されたベースラインとなり、3DS 1.0と比較して、より豊富なデータ交換と改善されたモバイル体験の基本的なサポートを組み込みました。Mastercardは2020年半ばまでのサポートを要求しました。

• EMV 3DS 2.2：SCA免除（アクワイアラーTRAやMastercardメッセージ拡張を介した信頼できる加盟店リストなど）のサポート向上や、データ要素の改良など、さらなる機能強化を導入しました。Mastercardは2.2のコンプライアンステストのサポートを開始し、その後義務化が続きました。Mastercard Gatewayは2024年9月に2.1のサポートを終了する予定で、2.2が事実上の最低要件となります。

• EMV 3DS 2.3（具体的には2.3.1）：2021年後半から2022年にかけてEMVCoによってリリースされたこのバージョンは、セキュリティ、ユーザー体験、チャネルサポートをさらに向上させることに焦点を当てた最新の重要な進歩を表しています。認証の未来に関連する主な機能には以下が含まれます。

  • 強化されたデータとフロー：認証をさらに合理化し、不正検出を改善するための追加のデータ要素とメッセージフロー。継続決済や決済トークンのためのより豊富なデータが含まれます。

  • Secure Payment Confirmation（SPC）のサポート：SPCの統合ポイント。3DSフロー内でFIDO認証器を使用して取引詳細の暗号化による確認を可能にします。

  • WebAuthnのサポート：W3CのWeb Authentication（WebAuthn）標準の使用を明示的にサポートし、パスキーやプラットフォーム認証器（デバイス生体認証など）をチャレンジに使用することを容易にします。

  • アウトオブバンド（OOB）認証の改善：認証が別のチャネル（銀行アプリなど）を介して行われる必要がある場合に、ユーザー体験を合理化するための自動遷移。

  • デバイスバインディング：ユーザーが信頼できるデバイスをアカウントにリンクできるようにし、そのデバイスでの将来のチャレンジを減らす可能性があります。

  • スプリットSDKモデル：従来のウェブ/モバイルや、IoTデバイスなどの新しいチャネルを含む多様なプラットフォームで3DS SDKを実装するための柔軟性を高めます。

  • UIの強化：カード発行会社と加盟店がチャレンジ中にユーザーインターフェースをカスタマイズするためのオプションが増えます。

MastercardはEMVCoの主要メンバーとして、これらの標準の開発に積極的に参加しています。彼らはSPCと、パスキーのような最新のパスワードレス認証方法への広範な移行を強力に支持しています。DECTAのような企業は、MastercardとのEMV 3DS 2.3.1.1の早期認証をすでに達成しており、採用が進んでいることを示しています。Secure Payment Confirmation（SPC）の統合 SPCは、EMV 3DSのような認証プロトコルと連携して機能するように設計されたW3Cのウェブ標準です。FIDO/WebAuthnクレデンシャル（パスキー）を活用して、ユーザーがデバイスに組み込まれた認証器（指紋、顔認証、PINなど）を使用して、ブラウザ内で直接取引詳細（金額、受取人）を認証し、明示的に確認できるようにします。

• EMV 3DS 2.3との統合方法：3DSチャレンジフロー中に、カード発行会社がSPCをサポートし、ユーザーがそのデバイスでカード発行会社に登録されたFIDOクレデンシャル（パスキー）を持っている場合、カード発行会社のACSはAResメッセージで必要な情報を返すことができます。加盟店のウェブサイトはその後、ブラウザのSPC APIを呼び出し、標準化された安全な確認ダイアログを表示します。ユーザーはローカルで認証し（例：生体認証経由）、取引詳細に暗号署名します。この署名されたアサーションは、検証のためにACSに送り返されます。

• 利点：SPCは、OTPと比較して非常に安全（フィッシング耐性あり）で、潜在的に非常に低フリクションなチャレンジ体験を約束し、コンバージョン率を向上させます。特定の取引詳細に結びついたユーザーの同意の強力な暗号的証明を提供します。Mastercardはパスキーの採用とSPCのサポートを積極的に推進しています。

Mastercardのより広範なビジョン：パスワードレスの未来へ 直近のEMV 3DSロードマップを超えて、Mastercardはオンライン認証の未来に対するより広範なビジョンを明確にしており、2030年までに手動でのカード入力とパスワードを完全に排除することを目指しています。この戦略は、以下の要素の融合に依存しています。

• トークン化：機密性の高いプライマリアカウント番号（PAN）を安全なネットワークトークン（MDES - Mastercard Digital Enablement Service経由）に置き換えて、基盤となるカードデータを保護します。Mastercardは、2030年までに欧州などの地域でeコマースのトークン化を100%にすることを目指しています。

• 生体認証：FIDO/WebAuthnのような標準や、SPCやMastercardのPayment Passkey Serviceのような技術を介して、デバイス上の生体認証（指紋、顔認識 - 「笑顔と指紋」）を活用します。

• Click to Pay：EMV Secure Remote Commerce（SRC）標準に基づくMastercardの合理化されたオンライン決済ソリューションで、トークン化と最新の認証とシームレスに連携するように設計されています。

この未来の姿は、ユーザーがカード番号やパスワードを手動で入力することなく、簡単な生体認証アクションで安全に認証し、支払いを確定する決済体験を想定しています。バージョン2.3やSPCの統合を含むEMV 3DSの継続的な進化は、この野心的な目標を実現するための重要な足がかりです。

Corbado EMV 3DS ACS Passkeys

EMV 3DS Mastercardプログラムを搭載したMastercard Identity Checkは、デジタル決済エコシステムを保護する上で重要な進化を表しています。前身であるMastercard SecureCodeの限界を超え、現代のeコマースにおける堅牢な不正防止とフリクションレス認証フローの必要性とのバランスという中心的な課題に取り組んでいます。

カード発行会社と加盟店にとって、その利点は具体的です。

• セキュリティの強化：豊富なデータ交換、高度なリスクベース認証（RBA）エンジン、NuData行動生体認証、およびデバイスインテリジェンスを活用することで、不正検出の精度が大幅に向上します。

• ユーザー体験の向上：フリクションレスフローに重点を置くことで、決済時の混乱を最小限に抑え、カート放棄を減らし、顧客ロイヤルティを育みます。

• 承認率の向上：より正確なリスク評価によりフォールスディクラインが減少し、正当な売上と収益が向上します。

• ライアビリティ保護：認証された取引に対するライアビリティシフトの可能性は、導入の重要なインセンティブであり続けます。

Mastercard Identity Checkを実装するには、インテグレーションパス、特にカード発行会社向けのACSの選択、そしてBINの有効化とデータ品質の勤勉な管理を慎重に検討する必要があります。データ完全性監視レポートなどの提供されたKPIフレームワークとレポーティングツールを通じてパフォーマンスを監視することは、最適化とコンプライアンスのために不可欠です。将来を見据えると、進化はEMV 3DS 2.3以降も続き、Secure Payment Confirmation（SPC）やWebAuthnのような標準を組み込み、パスキーやデバイス生体認証を使用して、さらに安全でユーザーフレンドリーな認証を可能にします。これは、トークン化と生体認証を基盤とする、2030年までのオンライン決済のパスワードレス、番号レスの未来というMastercardのより広範なビジョンと一致しています。

認証の状況がこれらのより現代的でフィッシング耐性のある方法へと移行する中で、Mastercard Identity Checkのようなプログラムによって築かれた基盤を理解することは極めて重要です。堅牢なセキュリティと比類のないユーザーの利便性を兼ね備えた次世代の認証を実装しようとする企業にとって、Corbadoのようなプロバイダーが提供するパスキーなど、FIDO標準に基づいて構築されたソリューションを検討することは、オンラインのインタラクションと決済を将来にわたって保証するための論理的な次のステップとなります。