3-D Secureは、インターネットを利用したクレジット決済をより安全に実現するスキームです。利用者はクレジットカード番号と有効期限に加え、本人専用のパスワードを入力することにより、カード発行会社が直接カード会員の本人認証を行うため、他人のなりすましを防ぐことができます。また、パスワードの入力は、クレジットカード発行会社が運用するサーバを利用するため、加盟店（ECサイト）ではパスワードが取得できない仕組みになっており、カードの不正使用等を防止することができます。この3-D Secureに対応した認証サービスとして、ビザ・インターナショナルが提供するVISA認証サービスや、マスターカードインターナショナルが提供するMasterCard^R Secure Code^TMなどがあります。

今回、弊社が発売した「ActiveMerchant」は、加盟店がVISA認証サービスなどの3-D Secureに対応した安全なクレジットカード決済を導入するにあたり、加盟店サーバに組み込まなければならないMerchant Plug-In（以下MPI）ソフトウェアです。複数の加盟店管理が可能な機能を備えているため、決済サービス事業者やクレジットカード会社、大型モール事業者等が加盟店に対し、ホスティングサービスを提供することで、加盟店では、加盟店サーバにMPIソフトを追加することなく、安全なクレジットカード決済が利用できます。本製品は、3-D Secure Protocolの最新版に対応しており、また、VISAおよびMaster Cardが定めるコンプライアンス規定に適合しています。なお、主な導入メリットは以下の通りです。

• 導入期間の短縮
  「ActiveMerchant」との接続インターフェースとして、https（http Security）でデータを送信する方式とXML電文を送受信する方式の2つが用意されているため、加盟店Webシステムと親和性が高く、短期間で導入できます。
• 高い安全性
  「ActiveMerchant」と加盟店サーバとの通信には、管理者用インターフェースも含め、全てhttpsを用いており、高い安全性を実現しています。

沖電気は、今後、決済サービス事業者やクレジットカード会社、大型モール事業者などを中心に、積極的に販売活動を展開していきます。

【販売計画】

【基本機能】

• 対応プロトコル：
  • 3-D Secure Protocol Version 0.7, 1.0.1, 1.0.2
  • SPA Version 1.01
• 対応プラットフォーム：
  • 100％JavaでOSに依存しません。
  • データベースはOracle、Microsoft SQL Serverに対応。
    ※実行環境としてJava Runtime Environment 1.3.1が必要です。

【主な特徴】

1. 加盟店既存Webシステムとのシームレスな連携可能
   「ActiveMerchant」では、加盟店が既存システムにあった方式を選択できるように、「ActiveMerchant」と加盟店サーバ間の通信方式として、リダイレクトモデルと呼ばれるデータ送信用のHTMLファイルを作成し、httpsでデータを送受信する方式と、APIモデルと呼ばれるXML電文を送受信する方式を提供し、Webシステムとのシームレスな連携を実現できます。
   
   
2. 高可用性／拡張性を実現
   負荷分散に完全対応し、高可用性／拡張性に優れています。また、トランザクションの増加に応じてシステム台数を増やす場合、複雑な設定なしで簡易に拡張できます。
   
   
3. 日本語対応
   3-D Secure Protocolで利用される電文は、日本語に対応しており、加盟店名などに日本語が使用できます。
   
   
4. 複数のアクワイアラに対応
   複数のアクワイアラ（加盟店契約クレジットカード会社）と複数の加盟店を1つの「ActiveMerchant」で管理しますので、ホスティングを行うことが可能です。決済サービス事業者やクレジットカード会社などが加盟店に対し、ホスティングサービスを提供することで、加盟店では、加盟店サーバにMPIソフトを追加することなく、3-D Secureに対応した安全なクレジット決済が利用できます。

＜参考資料＞VISA認証サービスのしくみ

VISA認証サービスの概念図

VISA認証サービスには3つのドメインがあります。

クレジットカード発行会社（イシュア）ドメインにおいてイシュアが利用者を認証し、加盟店契約クレジットカード会社（アクワイアラ）ドメインにおいてアクワイアラが加盟店を認証し、この2つのドメイン間での取引データの受け渡しを相互運用ドメインが行うことによって、認証を行います。

VISA認証サービスにおける認証は、以下の流れで行われます。

1. 利用者が加盟店サイトでクレジットカード番号・有効期限を入力し、購入ボタンを押すと、これらの情報が加盟店サーバに送信されます。
2. 加盟店サーバのMPIが、VISA Directory（サーバ）に対し、クレジットカード利用可否要求を送信します。VISA Directoryは、利用者のクレジットカードが3-D Secureに対応しているか否かを、MPIから送られたクレジットカード番号をもとに判定します。3-D Secureに対応しているクレジットカードである場合は、該当するACSのURLをMPIに送信します。
3. 利用者のブラウザを中継して、クレジットカード認証要求を2.で通知されたACSに送信します。
4. 各イシュアのACSによって利用者認証を行います。ACSが、3.の認証要求を受け、利用者画面にパスワード入力画面を表示します。利用者がパスワードを入力すると、ACSがクレジットカードの利用可否の判定、パスワードの認証を行います。
5. 利用者のブラウザを経由して、MPI経由で加盟店サーバにクレジットカード認証結果を送信します。
6. 加盟店サーバが、ACSより受け取った認証結果とクレジットカード番号をアクワイアラに送信します。

用語の解説：

※1 VISA認証サービス：

VISAが開発したインターネット向けセキュリティープロトコル「3-D Secure」を利用して、クレジットカード番号と有効期限に加え、本人の専用パスワードを、利用者とクレジットカード発行会社（イシュア）の間でやりとりし、クレジットカード発行会社が直接本人確認を行います。これにより、クレジットカード番号と有効期限の盗用（なりすまし）による不正利用を防止できます。さらに、パスワードの入力を、加盟店サイトのウインドウとは別のウインドウで行うため、加盟店サイトとセキュリティ上分離される仕組みとなっています。このサービスによって、利用者と加盟店は安心して取引することができます。

※2 MasterCard^R Secure Code^TM：

MasterCardRが商用化したサービスで、VISA認証サービスと同様にインターネット向けセキュリティープロトコル「3-D Secure」を利用して、クレジットカード番号と有効期限に加え、本人の専用パスワードを、利用者とクレジットカード発行会社(イシュア)の間でやりとりし、クレジットカード発行会社が直接本人確認を行うことにより、安全なクレジットカード決済を実現します。

※3 CAFIS BlueGate^TM：

株式会社NTTデータがサービス提供するインターネットを利用したクレジット決済サービスです。このサービスでは「3-D Secure」に対応した決済の実現を図っており、これにより加盟店サーバにMPIソフトを追加することなく、VISA認証サービスが利用できます。この「3-D Secure」対応部分に「ActiveMerchant」が採用されています。

• 本リリースに記載されている会社名、製品名等は一般に各社の登録商標または商標です。

本件に関するお客様からのお問い合わせ先

　　ネットビジネスソリューションカンパニー　
　　電話：03-3454-6047 / Email：nbc-info@oki.com
　　URL：http://www.oki.com/netbiz