銀行やクレジットカード、さらには電子決済の普及により様々なサービスがデジタル化されていく昨今。その流れに乗じるようにフィッシング詐欺被害も増加しており、金融庁や警察庁が警鐘を鳴らすなど喫緊の課題として注目を集めています。

より安全でかつ安心できるアカウント管理が求められている時流の中、メルカリは、パスワード不要で、生体認証やPINコードなどを用いてログインができる認証方式「パスキー」を導入しました。

パスキーは、FIDOアライアンスが策定した国際標準規格に基づいた仕組みで、メルカリはFIDOアライアンスにも参画。日本だけではなく世界的に有名なビッグテックカンパニーと並び、ボードメンバーとしてパスキーの社会実装に向けた議論にも加わっています。

2023年3月にメルコインにパスキーを導入してから、お客さまにパスキー登録/利用を促す取り組みを進めてきました。その結果、開始からわずか2年で、2025年5月3日には登録者数が1,000万人を突破。社内でも驚かれるほど、想定を超えるスピードでの達成となりました。

では、どのようにパスキーの登録者数を伸ばしたのか。パスキーの登録者が増加していくことでサービスはどのように変わっていくのか。そして、FIDOアライアンスでメルカリはどのような役割を担っているのか。

PM（Product Manager、以下PM)の田中啓介（@kei.t）、同じくPMの大井光太郎（@koi）、マーケティング担当の岡本翔平（@okamoto）、データアナリティクス担当の丸岡信晃（@maruoka）に、プロジェクトの舞台裏と、今後のセキュリティ対策の展望を聞きました。

フィッシング攻撃に恒久対策を。パスキー導入の背景

——本題に入る前に、「FIDO」と「パスキー」の意味、そして既存のパスワードの危険性について、簡単にご説明いただけますか？

@kei.t：​​FIDOは「Fast IDentity Online」の略称で、パスワードに依存しない新しい認証技術の標準規格を指します。​このFIDOの技術に基づいて開発されたのが「パスキー」です。​パスキーは、指紋認証や顔認証といった生体認証、またはデバイスの画面ロック（PINコードやパターン）を利用して、パスワードを使わずに安全かつ簡単にログインできる仕組みです。

従来のパスワード認証の問題は、覚えやすい簡単なパスワードを設定したり、パスワードを使い回したりすることによって、漏洩や不正アクセスのリスクが高まること。また、サービスごとにパスワードを覚える必要がありお客さまに負担をかけてしまうという課題もあります。

一方、パスキーであれば、お客さまは指紋や顔認証などでログインできるため、パスワードのように覚える必要がありません。また、本人の認証であることを検証できるためフィッシングリスクは低減。​さらに、ログインにかかる時間が短縮され、お客さま体験を向上することができます。

——パスキーは、「安全性」と「使い勝手」の両面でパスワード認証よりも優れているんですね。メルカリがパスキーの導入プロジェクトを組成した経緯を教えてください。

@kei.t：メルカリは過去に3度ほどフィッシングの被害に見舞われています。そこで、SMS OTP（SMSにワンタイムパスワードを送る二要素認証）を導入するなどの対策を施してきました。しかし、フィッシングの手法もどんどん変わる中で、リアルタイムの攻撃を完全に防ぐことはできていませんでした。

歴史的に、大体2〜3年に一度繰り返されることがわかってきたなかで、2022年のフィッシング発生時の恒久対策を急ぐべきだと社内合意を得て、パスキーを導入することにしました。

このプロジェクトのフェーズは大きく分けて5つあります。フェーズ1はメルコインでのパスキー導入。フェーズ2と3は、アプリとウェブにおいてログイン以外の場所でのパスキー導入。フェーズ4でログインの部分にパスキーを導入し、フェーズ5で登録者数を増やしていくという流れでした。登録者数の目標は1,000万人で、この度、プロジェクト開始から約2年で達成しました。

——1000万人という目標設定はどこからきたのでしょうか？また、達成の難易度はどの程度だと捉えていましたか？

@koi：当時のメルカリの月間アクティブユーザー（MAU）は、約2,000万人（現時点では約2,300万人）。そのうち半数がパスキーを利用する状態ができれば、攻撃者に「割に合わない」と思わせられる。そうすれば、フィッシングの標的になりにくくなるのではと考えました。

ただ、1,000万人というのはあくまで通過点ですし、単に数を追えばいいという話ではありません。特に、メルペイの与信や残高を利用しているお客さまは被害に遭うリスクが高いため、そうした方々を優先的に守ることを重視してきました。

目標の難易度でいえば、かなり“Go Bold”だったと思います。というのも、この目標を設定したのは約1年前で、当時のパスキー登録者は200万人ほど。月あたり20〜30万人のペースで伸びてはいましたが、このままだと目標達成にはあと3年かかってしまう計算でした。

でも、次の攻撃が予測される2025年に備えるには、残り1年で800万人の新規登録が必要。月60〜80万人に登録してもらわなければならないというハードな状況でした。

——そうした状況下で目標達成ができた要因はなんだったと思いますか？

@koi：大きく3つの要素があったと思います。 1つ目は、特に決済サービスを利用している方の中で、フィッシング攻撃に対するお客さまの危機感が高まっていたことです。警察やメディアからも、パスワード使い回しのリスクについての注意喚起があり、個人でも対策するべきという共通認識が広がりました。

2つ目は、お客さまに対して、パスキーの認知と理解を促進できたことです。セキュリティを強化する技術であるだけでなく、「認証が早くてラクになる」という体験面のメリットを伝えたことも大きかったと思います。

3つ目は、チーム体制と社内連携のスムーズさです。データアナリストのmaruokaさんや、マーケテイング担当のokamotoさんをはじめ、フィッシングに対する危機意識を高く持ち、プロアクティブに協力してくれた多くのメンバーのおかげで、社内調整やお客さまとのコミュニケーションが非常にスムーズに進みました。クリエイティブを手がけてくれたデザイナーも含めて、みんなが“Be a Pro”にコミットしたことが、プロジェクトの推進力になったと感じています。

お客さま目線で磨いた「訴求」「接点」「表現」

——社会的な追い風と社内の円滑な連携が功を奏したとのことですが、具体的に登録者数の増加に大きく寄与した施策を教えてください。

@kei.t：SMSでログインしたお客さまに対するパスキーの訴求や、パスキー未登録者に対するログイン後のパスキー登録の啓発になります。後者では「パスキーを登録すると、より安心で使いやすくなります」というメッセージをお伝えしました。

@maruoka：普段はアプリ内の通知やお知らせでコミュニケーションを取っていましたが、今回はメールも活用した結果、想像以上に多くの方がそこから登録してくださいました。

——お客さまの認知と理解を深める上で、「訴求するメッセージ」「タッチポイント」「わかりやすい表現」の3つが重要だと思います。それぞれの工夫について、コミュニケーション施策を担当されたokamotoさんから教えていただけますか？

@okamoto：まず、「訴求するメッセージ」については、「セキュリティ対策として有益である」「パスキーを使うことが新しい標準である」など、さまざまな案がありました。その中で、実際にフィッシング被害に遭う方は少ないため、お客さまが日常的に感じている不便さに着目。「面倒なSMS OTPをしなくてよくなる」という訴求が、もっとも効果的でした。​

次に、「タッチポイント」についても工夫を重ねました。​アプリ内のお知らせやプッシュ通知に加え、メール通知も活用。​さらに、パスキー登録へのリンクをマイページに掲載して、通知を見落とした方にも見てもらうなど、カスタマージャーニーを意識しながら試行錯誤をしました。

——カスタマージャーニーはUXチームが得意とするところですね。連携された部分はありますか？

@koi：はい。たとえば、通知から直接パスキーの設定画面に遷移するのではなく、間にパスキーの機能や必要性をまとめたLPを挟むほうが良い、というアドバイスをいただきました。また、各所での訴求文言や説明画像を一貫させ、「どこから見ても同じ体験」を提供することで、徐々に興味・関心を高めることができる、といった助言もありました。

——3つ目のポイントである「どのような表現をするか」について、どのような試行錯誤がありましたか？

@okamoto：伝える場所に応じて最適な表現を検討しました。たとえば、アプリ内で通知を出す場合、メルカリではキャンペーン通知が多く、埋もれてしまう可能性があります。キャンペーン感をなるべく出さないように、あえて絵文字を使わず、「お知らせ」という文言を入れることで公式感を強めました。

また、パスキーについてテキストで説明するのは限界があるため、理解しやすい説明動画も作成。​すべてのお客さまが技術的な背景やメリット・デメリットを理解する必要は、必ずしもありません。まずは利便性を理解してもらい、登録して安全を確保してもらうことが大事だと考えました。

——okamotoさんは、これまでさまざまなマーケティング施策に携わってきましたが、今回のプロジェクトを振り返って、何か違いはありましたか？

@okamoto：これまでのマーケティング施策は、GMV（流通取引総額）を伸ばすといった攻めのプロジェクトが中心でした。しかし、今回は不正を防ぐという守りのプロジェクト。新しい領域で、新鮮な経験でした。

また、施策の効果検証を迅速に行うことを意識しました。このプロジェクトは、社内でも前例のない取り組みです。それに、通常のマーケティング施策と違って、流入経路やコンバージョンを細かく把握するのが難しかった。そのため、分析に時間をかけるよりも、プランニングやアクションに注力することが重要でした。

必要以上に作り込まない。ライトな分析と検証が生んだスピード感

——効果検証を素早く回すためには、リアルタイムの分析も重要ですよね。何か工夫されたことはありますか？

@maruoka：施策ごとの登録者数を日別に追えて、前月比も見られる“ライトめ”なダッシュボードが役に立ちました。okamotoさんも言ってくれたように、厳密に分析しすぎず、施策ごとの大体の影響と大まかな未来予測ができるように設計。「このままだとこのくらい不足しそうだから、次のアクションはこうしよう」と、“アクションにつながる粒度”を意識してつくりました。

▲実際に使用していたダッシュボード（掲載用に一部加工しています）

@kei.t：ライト目といっても、数値の精度はだいたい6割から高いもので9割近くありましたよね。それに、日ごとに前月比較ができるので、変化をリアルタイムに捉えられて、原因を探ったり対策を練ったりするのにすごく役立ちました。

——前例がなく、スピード感が求められるプロジェクトに適した設計だったと。ただ、それくらいの粒度の分析でうまくPDCAは回せるものでしょうか？

@maruoka：okamotoさんは元々データアナリスト出身ということもあって、データにめちゃくちゃ強い方です。分析した内容をすぐに理解して、効果検証につなげてくれる人がいたから、ある程度ライトな分析でも機能しました。また、「分析はある程度に抑えて、プランニングやアクションに時間を使おう」という共通認識をチームで持てていたのもありがたかったです。

@kei.t：今回、予算をほとんど使っていないというのも大きかったですよね。たとえば大きな予算があったら、「失敗できないからどこに投資するか」という議論が必要になりますけど、今回は限られた予算の中でスピーディにPDCAを回していくのが、進め方として合っていたと思います。

——maruokaさんがデータアナリストとしてこれまで関わってきたプロジェクトと比べて、今回のプロジェクトで特筆すべき点はありましたか？

@maruoka：関わりはじめたのは約1年前で、そのときの登録者数は200万人ほど。そこから1,000万人という目標を聞いたときは正直驚きました。「できる限りの施策を打ち、結果が上振れしてようやく届くかどうか」というレベルだと感じていました。まあ、メルカリらしいなって（笑）。

でも、目標に対して「どうすれば達成できるか」をポジティブに考え、地道にPDCAを回し続けたことで、ちゃんと結果につながりました。無理難題に見えても、「一旦信じてみる」ことが大事だと実感しました。

それから、1年以上にわたる長期プロジェクトにしっかり関わったのは今回が初めて。長いスパンで物事を捉えながら進めることができたのは、個人的にも大きな学びでした。先ほどのダッシュボードも、あくまでライトな作りではありましたが、「将来的にちゃんとインパクトを残せるものにしよう」と意識して設計することができました。

経営や他部署への影響の可視化で、社内調整がスムーズに

——チーム内でプロジェクトの進め方の共通認識を持つことが重要なんですね。他部署や経営との連携において、意識していたことはありますか？

@koi：一般的に、こうした守りの施策は社内での優先度をあげづらいものです。しかし、「お金と信用を失わないために必要なこと」だと、kei.tさんが丁寧に社内の意思決定者各所に説明してくれたおかげで、調整はスムーズに進みました。

たとえば、お客さまがフィッシング被害に遭った場合、メルカリが全額補填します。被害が大きくなれば、それだけ会社の負担も増えるし、安全性に不安を感じたお客さまが離れてしまうリスクもある。だからこそ、短期的な損得だけでなく、中長期的にお客さまとの信頼関係を大事にするという視点を伝えてくれました。

@kei.t：それに加えて、コスト面でのメリットも具体的に共有しました。たとえば、SMS OTPの送信にかかる費用は年間で数億円規模になりますが、パスキーを使えばその費用が削減できる。また、もし1億円分の補填が発生した場合、それを取り戻すには約10倍のGMVが必要になります。直接利益を生む施策ではなくても、将来の損失を減らすことの価値は大きいという話を、経営や関係部署に伝えていました。

——短期的な損得ではなく、将来的なインパクトまで含めて対話していたわけですね。

@koi：あとは、maruokaさんが他のサービスの領域への影響についても分析してくれたことが、社内の理解を得るうえで大きな助けになりました。「パスキーはセキュリティに効く」と言っても、それが自分たちの領域にどう関係するのかが見えないと、協力はしづらいもの。

たとえば、与信の高いお客さまと低いお客さまで、パスキーの登録率に違いがあるのか。あるいは、パスキーを登録している人のほうが、メルカリでの購入アクションに前向きかどうか、というような点を分析してくれました。

因果関係まで断言はできないものの、「メルカリでの購入が多い方ほどパスキー登録率が高い」傾向が判明。そうした方々に安心して使い続けてもらうためにも、パスキーの普及は必要だという話ができるようになりました。

FIDOアライアンスボードメンバーとして、パスキーの普及に貢献

——経営や他部署とも一緒に進めたからこその、1,000万人登録達成ですね。冒頭で「まだ通過点」とおっしゃっていましたが、今後さらに広げていくうえでの課題はどこにあるのでしょうか？

@koi：パスキーの認知や理解の促進は、まだまだ進めていきたいと思っています。実は初期の頃、パスキーのことを「生体認証」という言葉で伝えたため、「メルカリが生体情報を取得しようとしてる」という誤解を招いてしまったことがあるんです。実際には、パスキーを使ってもお客さまの情報が外に出ることは一切ないのですが、お客さまに不安を抱かせてしまいました。

その後、「パスキー」という言葉を使うようにして、「生体情報は取得しません」といった文言を明示するなど対応してきましたが、伝え方によって普及のスピードは大きく変わることを実感しています。今後さらに、誤解のないかたちで認知と理解を広げていきたいと思っています。

——登録を促すために、アプリ利用時にパスキーの設定を“強制”する選択肢もあるのでしょうか？

@kei.t：実装自体は可能です。実際、銀行や証券会社などでは、規約で義務化してパスキーへの移行を進めているケースもあります。ただ、現時点でメルカリとしては、特定の機能やサービスを守るためにパスキーによる認証を強制してもアプリ利用に対してパスキーの登録の必須化や強制には踏み込むべきではないと考えています。その理由は、パスキーにはまだ体験面の問題があるからです。

@koi：たとえば、複数端末を使っている場合、パスキーを持たない端末でログインしようとすると、QRコードを読み取らなければいけない仕様になっています。さらに、パスキーはApple IDやGoogleアカウントなどを介して共有されるのですが、「スマホはAndroid、PCはMac」というような組み合わせだと、うまく共有できないこともある。そもそも、プラットフォーム自体がパスキーに対応しておらず、ログインできないケースもあります。

@kei.t：そうした課題はあるものの、パスキーへの移行はお客さまの体験を向上させることは間違いありません。実際、メルカリでの調査では、SMS認証に平均約25秒かかるのに対し、パスキーではわずか約4.4秒で認証が完了します。さらに、認証の成功率もパスキーの方が高いという結果が出ています。

お客さまにとって安全で使いやすい仕組みを提供するため、将来的には全てのお客さまに対するパスキーの必須化も検討していきますが、現時点では技術的な制約もあるなかで、「どのように伝えるか」「どう理解して頂くか」に注力していきたいと考えています。

登録者数が1000万人を超えたとはいえ、僕らは今の状態に満足しているわけではありません。今もなお、お客さまに負担をかけている部分があることは自覚しているので、伝え方も体験面も進化させていきたいと思っています。

——プラットフォーム上の問題など、メルカリだけでは解決できない問題もあるんですね。そうしたものに対しては、どのようにアプローチされるのでしょうか？

@koi：そこに関しては、FIDOアライアンスでの活動が重要になってくると思います。FIDOアライアンスは、AppleやGoogleをはじめ、日本のIT企業や大手通信事業者も参加している業界団体で、FIDO認証やパスキーの社会実装を推進しています。

メルカリもその一員として、ボードメンバーに就任し、議決権を持って参画しています。また、今回の「パスキー登録者数の伸び」に対しては、アライアンスのなかで高く評価いただいており、一定の影響力を発揮できる立場にあります。

一般ユーザー向けのサービスを提供する企業として、「ここが伝わりづらい」「こんなフィッシング手口が出てきている」といった現場の知見を、FIDOアライアンスに対して継続的にインプットしていく。そうした働きかけを通じて、FIDO認証やパスキーの社会実装をリードしていきたいです。例えば、メルカリが主導して作成したホワイトペーパー（特定の課題やテーマについて、専門的な情報をまとめた報告書のこと）「Passkeys: The Journey to Prevent Phishing Attacks」 (パスキー：フィッシング攻撃を防ぐための道のり)でFIDOアライアンスへの提言を行いました。こうした継続的な働きかけを通じて、より安全で使いやすい認証方式の普及に貢献していきます。

パスキーをメルカリ成長の起爆剤に。そして、世界の当たり前に

——FIDOアライアンスとも連携しながら、社会全体の底上げを目指しているということですね。最後に、今後の目標について教えてください。

@kei.t：まずは、お客さま体験の改善にきちんと取り組んでいきたいです。不正対策というのは、基本的に“犯人に使いづらくする”ことであり、その分、お客さまにも使いにくさを感じさせてしまう可能性があります。しかし、僕らが目指したいのは、「犯人には使いにくいけど、お客さまにはストレスのない体験」です。その実現に向けて、今後もお客さまの声に真摯に向き合っていきたいと思っています。

一方で、課題だけでなく、ポジティブな声にも目を向けていきたいとも思っています。SNSなどではネガティブな意見が目立ちやすいのですが、それだけを見ていると「パスキーはよくないもの」といった誤解が広がってしまう可能性もある。

でも実際には、パスワードを覚えずに済むようになって助かったという声や、ログイン成功率が上がったことでお問い合わせが減ったというデータもあります。そうしたポジティブな成果を、きちんと可視化して伝えていくことも、僕らの役割だと思っています。

——良い面と課題の両方に向き合いながら、UXの向上に繋げていくわけですね。

@kei.t：もうひとつ大事なのは、今後パスキーに取り組む企業に対して、僕らの知見や実践内容を積極的に共有していくことです。フィッシングは国内外問わず多くの企業にとって共通の課題ですし、移行を進める上での難しさに直面している企業も多いはずです。少しでも参考になる情報を提供できればと思っています。

@okamoto：知見の共有やパスキーに対する社会的な理解を広げていくことは、マーケティングの視点でも重要なテーマです。今後はPRやメディアとの連携を通じて、フィッシング詐欺のリスクや、パスキー認証の便利さ・安全性について、より多くの人に伝えていきたいと思っています。それは結果的に、メルカリのパスキー登録者を増やすことにもつながるはずです。

@koi：パスキーは、まだ新しいものとして受け入れにくさがあるかもしれません。しかし、パスワードによるログインがそうであったように、日常の一部になれば、誰もそれを特別とは思わなくなる。「パスキーを世界の当たり前にしていく」というのが、僕らの長期的な目標です。

——プロダクト面での今後の展望についても教えてください。

@koi：プロダクトとしては、認証全体の体験をパスキーで刷新していきたいと考えています。たとえば、利用制限の復旧時の本人認証をパスキーで代替したり、パスキーでログインすることで安全性を担保し他の場面での認証を必要以上に求めないようにする、といった設計が考えられます。アプリ内のさまざまな認証プロセスを見直すことで、安心・安全を守りつつもっとシンプルで使いやすい体験を提供していきたいです。

@maruoka：パスキーの導入は、セキュリティ強化にとどまらず、ビジネスやマーケティングの面でも大きな可能性を秘めていると感じています。今回は、ほとんどコストをかけずに進めてきましたが、今後しっかりと投資していくことで、アプリの登録者数や購買率、利用頻度の向上にもつながる余地は大いにあるはずです。

こうした手応えを自信に変えて、社内にも積極的に働きかけていければ、会社全体を巻き込んだ新たな成長の起爆剤にもなり得ると思っています。そんな未来を信じて、これからも挑戦を続けていきたいです。