3Dセキュア2.0(EMV3-Dセキュア)とは?
公開日:2024年10月21日
更新日:2024年10月21日
3Dセキュア2.0(EMV3-Dセキュア)は、オンライン決済の安全性を高めるための本人認証サービスで、ECサイト事業者は2025年までに導入が必須となりました。この新システムは、利便性とセキュリティを両立させ、チャージバック対策としても重要な役割を果たします。
3Dセキュア認証サービスとは?
3Dセキュアとは、オンライン上でのクレジットカード情報の不正利用を防ぎ、カード決済をより安全に行うために、国際ブランドが推奨する本人認証サービスです。
2018年6月に施行された改正割賦販売法では、不正利用被害増加を背景に、クレジットカードのセキュリティ対策が必須となりました。
決済(オンライン決済)では、加盟店がクレジットカード情報を非保持化することで、ECサイトへの情報漏洩に伴う不正利用被害減少が期待されていました。
しかし、新たな情報漏えいについての被害は抑えられたものの、過去に保持していたデータを盗用されてしまう、また、ECサイト自体が改ざんされ番号を盗まれる(フィッシング)等盗用技術も巧妙化し、非保持化のみでは被害を抑えこむことが難しくなっています。
こうした背景からカード情報の盗用防止に加え、盗用された番号の不正利用防止という複数のセキュリティ対策の導入が推奨され、3Dセキュアに関して、既存のEC加盟店様においては2025年3月までに追加導入すること、新規EC加盟店においては導入することが必須となりました。
本人認証
- 3Dセキュア
カード会員が事前にカード会社へ登録したパスワード等により本人認証を行う手法のこと。国際カードブランドが推奨するサービス。 - 認証アシストサービス(当社独自サービス)
カード会社に登録されている属性情報と照合することで、カード利用者の本人認証を行う手法のこと。
券面認証
カードの券面に印字してある3桁または4桁の数字(セキュリティーコード)で認証を行う手法のこと。
カードが手元にあればセキュリティーコードを確認できるため、パスワードの失念懸念がない。
属性・行動分析
購入者のデバイス情報やIPアドレスといったWeb上で取得できる情報と、過去の取引状況や頻度等に基づいたリスク評価(スコアリング等)により不正を判定する手法のこと。
※加盟店が独自に開発することは困難なため、外部サービスの利用が有効。
配送先情報
過去に不正使用で利用された配送先情報を蓄積し、該当配送先からの注文は配送を停止する手法のこと。
※配送先情報の蓄積には時間を要するため、外部サービスの利用が有効。
ECサイト事業者が気を付けたいチャージバック対策
3Dセキュアは、ECサイト運営で発生するチャージバック対策として不可欠です。
チャージバックとは「第三者による不正利用」「商品の未発送」「届いた商品の破損」といった理由で利用者がクレジットカード取引に対して同意しない場合に、カード会社が売上を取り消して、利用者(カード所有者)に返金する仕組みを指します。
チャージバックはカード利用者を守るための仕組みである一方、事業者にとっては、チャージバ ックが発生すると商品・サービスを提供しているにもかかわらず、売上が入金されないため損失を被ってしまうリスクもあります。
不正利用が発生した場合は、カード会社の調査への協力や警察への被害届の提出といった労力が生じるのも問題です。
事業者がチャージバックによる損失を回避するためには、3Dセキュアの導入が必須といえます。3Dセキュアを導入していれば不正利用を防止することにつながるだけでなく、不正利用によるチャージバックが発生しても、決済時に 3D セキュアによる本人確認がされていれば、損失を加盟店が負担する事態を回避できる可能性が高めることができます。
3Dセキュア1.0における課題
これまでの3Dセキュア1.0では以下のような課題がありました。
- 全ての取引で ID・パスワードによる認証が必要でカード会社の認証画面に遷移するため、 認証フローの途中で利用者が離脱してしまう「カゴ落ち」リスクが高い
- 利用者自身が設定した ID・パスワードを忘れてしまうと決済できない
- ID・パスワードが流出すると不正利用されてしまう(フィッシングのリスク)
3Dセキュア1.0の仕組み
3Dセキュア2.0(EMV3-Dセキュア)への移行と導入
ソ前述の3Dセキュア1.0の課題を克服すべく、利用者と事業者双方の利便性を高めるとともに、クレジットカードの不正利用を防止する機能も改善されたのが、現行の「3Dセキュア2.0(EMV3-D セキュア)」です。
3Dセキュア1.0とEMV3-Dセキュアの違い
利便性・セキュリティに優れた認証方法に対応
3Dセキュア1.0では、クレジットカード利用者が事前に ID・パスワードを設定した上で、決済時にそれを入力して追加認証する方式でした。
3Dセキュア2.0(EMV3-Dセキュア)では、SMSやアプリを用いたワンタイムパスワードや、指紋や顔等の生体認証等、さまざまな認証方法に対応しています。
このように、スムーズな認証手段が取り入れられながらも、より本人確認が厳重となったことで、利便性とセキュリティが向上しております。
認証プロセスにおけるカゴ落ちリスクの軽減
3Dセキュア1.0では、全取引において別画面に遷移したりポップアップウィンドウを表示したりして、利用者にID・パスワードを入力してもらい追加認証を行う必要がありました。この方法では認証フローが煩雑であり、また利用者が設定していたID・パスワードを忘れてしまうと決済できないため、決済中の途中離脱が起きる「カゴ落ち」のリスクが高い状況でした。
3Dセキュア2.0(EMV3-Dセキュア)では、PC・スマートフォンのデバイスからIPアドレス・OS・ブラウザ等の情報を取得して、カード発行会社が高リスクだと判断した場合のみ追加認証する「リスクベース認証」を採用しています。
これにより、リスクが低いと判定された取引は購入者のパスワード等の入力が省略可能となりました。
3Dリスクベース認証
※リスクベース認証とは、不正購入防止の観点から本人認証強化のために、カード会社によって行われる不正度合いの評価を指します。
3Dセキュア2.0(EMV3-Dセキュア)に対応するために加盟店がやるべきこと
個人情報保護法への準拠対応
3Dセキュア2.0(EMV3-Dセキュア)では決済に必要な情報に加え、リスクベース認証を実現するためにデバイス情報や属性情報等、個人情報または個人情報になり得る情報を扱います。そのため加盟店は個人情報保護法で定めるところの「個人情報取扱事業者」として、自社のサービス上で利用者から同意を取得する必要があります。
システム開発(ECサイトとの連携)
3Dセキュア2.0(EMV3-Dセキュア)と現行の3Dセキュア1.0は仕様が異なるため、加盟店側で作業が発生する場合があります。
また、3Dセキュア2.0の利用に際し、コストが発生する可能性もあるため、3Dセキュア2.0(EMV3-Dセキュア)の新規導入や、3Dセキュア1.0からの移行において必要な対応や料金については弊社までお問い合わせください。
