3Dセキュア2.0（EMV 3Dセキュア）とは？

ECサイトに導入が義務付け予定のセキュリティ強化のためにアップデートされたクレジットカードの本人認証を徹底解説

3Dセキュアとは

3Dセキュアとは、ECでなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。実店舗等での対面決済におけるサインや暗証番号をイメージしていただければ分かりやすいかと思います。

Visaでは「Visa Secure」、マスターカード では「Mastercard SecureCode」といったようにブランドごとでサービスの呼称は異なりますが、総称して「3Dセキュア」と呼ばれています。

｢3Dセキュア｣という言葉における“3D”とは
・EC事業者などの加盟店
・カード発行会社（ex：楽天カード、イオン銀行、りそなカード）
・3Dセキュア提供元（ex：Visa、マスターカード、アメリカン・エキスプレス、JCB）
の3つの領域を表す「ドメイン（Domain）」を意味しており、この三者間で適切な認証を行ないながらカード利用者の安全性を確保しています。

カードの保有者であるユーザーが3Dセキュアを利用するには、事前に3Dセキュア提供元にパスワードを登録する必要があります。また利用時は、カード情報の入力後3Dセキュアパスワード入力画面に遷移し、パスワードを入力することになります。 仮にカードを盗難された場合でも、本人しか把握していない情報であるため、不正利用防止に繋がるのです。

3Dセキュア導入時における不正利用とチャージバック

チャージバックとは、クレジットカードの保有者が不正利用による被害を受けないための仕組みのことです。
チャージバックを利用することで、クレジットカードの保有者は不正利用など同意のない支払に対して異議申し立てを行い、 それが認められた際には売上を取消しすることが可能になります。

チャージバック発生時に取り消された売上は、3Dセキュア等でカード利用者の本人確認が完了している場合にはクレジットカード会社が、本人確認が取れていない場合には加盟店が負担します。
すなわち、本人確認がなされていない場合に販売元であるEC事業者などの加盟店はクレジットカード会社に利用代金を返金することになり、 商品を提供したにも関わらず売上金が入金されない状況に陥るということです。

セキュリティコードと3Dセキュアは何が違うの

セキュリティコードとは、セキュリティ保護のためクレジットカードで決済を行う時に入力されたカード情報が本当に本人のものであるかを確認するコード番号です。このセキュリティコードは店頭でカードの磁気情報を盗むスキミング等の犯罪を防ぐ際に、有効な手段とされています。

しかし、多くのクレジットカードにおいてセキュリティコードは裏面に記載してあるため、カード自体が盗難されてしまった場合には不正利用を防ぐことは難しくなります。

また、セキュリティコードの入力は法的に義務付けられているわけではないので、コード入力なしで利用できるECサイトも数多くあるのが現状です。

また、セキュリティコードは３つの認証要素（パスワードなどの知識要素、SMSなどを介した所有要素、指紋認証などの生体要素）のうち所有要素のみに依存します。 それに対し3Dセキュアは、知識要素と所有要素の2つの要素に依存することになるので、セキュリティコードと比較するとより強固なセキュリティを実現できます。

メリット

本人確認が厳重になり、セキュリティの強化・不正防止に繋がります。カードそのものを盗難されたり、 カード番号を取得されたりしても3Dセキュアを導入しているサイトではパスワードが入力されなければ決済が実行されることはありません。

デメリット

3Dセキュアのパスワードを入力することで安全性が向上する反面、ユーザーにとってはパスワード入力の手間が増えることになります。 また、見慣れないポップアップウィンドウによる不信感を与えてしまうこともあります。
3Dセキュアのパスワード入力は当然ながら決済手続きの途中に表示され、EC加盟店のWebサイトから別のサイトに遷移しパスワード入力を要求させるため、 手間を感じたり、3Dセキュアのパスワードを忘れていたりとユーザーの「かご落ち」が生じる原因となります。
決済まで進んでいるにも関わらず、購入意欲の高い顧客をそのひと手間で逃してしまうことは、EC事業者にとっての影響はとても大きいものです。

切り替えが進む3Dセキュアの今

2022年10月11日、経済産業省が開催した「クレジットカード番号等不正利用対策の強化検討会」の第3回会合で、3Dセキュア2.0（EMV 3Dセキュア）の導入を日本国内における全てのEC事業者に義務付ける方針の提言を行い、検討会に出席した委員全員がこれに賛同しました。
これにより、カード会社が環境の整備をしながら2025年をめどに全EC事業者の導入を目指すことになりました。

3Dセキュア2.0（EMV 3Dセキュア）の義務付けが決まった背景

前述の会合でクレジットカードの不正利用を防止する基本的な対策として、下記のような内容が提言されました。

・非対面の取引では利用者の確認を間接的にしかできないので、知識・所有・生体の要素を組み合わせた「本人認証」が基本と考えられる

・加盟店・カード会社が保有する顧客の属性情報の活用による不正判定技術が向上しているので、それを活用した不正利用の防止も有効

・3Dセキュア2.0（EMV 3Dセキュア）はこれらの機能を全て含んでいる手法であるため、現時点の不正利用対策としては全てのEC加盟店で3Dセキュア2.0（EMV 3Dセキュア）による「利用者であるのか適切な確認」を実施すべきではないのか

また、将来的に不正利用防止の法的義務を引き上げていくためには、段階的な指針を示すことが期待されるということで、まずはイシュア―（カード発行会社）がEMV 3Dセキュアを完備した上で順次EC加盟店で導入をしていくことが必要であるという導入に向けたスケジュール案も提示されています。

第3回「クレジットカード番号等不正利用対策の強化検討会」で提言された
不正防止義務引き上げに向けたスケジュール案

出典：クレジットカード番号等不正利用対策の強化（2022）

そしてこうした提言を基に
・加盟店での対応
・決済代行会社での対応
・カード発行会社での対応
という三つの視点から議論が行われました。

特に加盟店での対応に関しては3Dセキュア2.0（EMV 3Dセキュア）による確認の進め方や、カード番号入力以外の方法による決済などイレギュラーな場合の対策のあり方、効果的な導入方法と時期について話し合われました。
その結果、2025年の3月までに全てのEC加盟店にEMV 3Dセキュアの導入を必須とする方針で全会一致となったのです。

1.0のサポート終了で注目が集まる3Dセキュア2.0（EMV 3Dセキュア）

2025年の全EC加盟店への導入が義務付けられること以外にも、3Dセキュア2.0（EMV 3Dセキュア）が注目されている理由があります。それは各クレジットカードブランドが2022年10月をもって3Dセキュア1.0のサポートを終了したということです。

これに伴い、非対面のカード決済時の本人確認は3Dセキュア2.0（EMV 3Dセキュア）以外の方法は認められなくなりました。そして3Dセキュアを導入していてもバージョンが1.0だった場合、本人確認が完了していないということになるため不正利用が発生した際にカード会社が負担していたチャージバックの負担が加盟店側にかかることになっています。
ですので、EC事業者の2.0の導入は2025年の義務化を待たずとも今後さらに進んでいくでしょう。

3Dセキュア2.0リリースによって変わること

3Dセキュア2.0では動的パスワード認証、端末認証等により、過去の取引履歴などを基にリスクベースの認証が実施されます。従来の3Dセキュアではブランド認証ページに遷移させる動きが必要でしたが、3Dセキュア2.0ではワンタイムパスワード等の認証であるため、お客様の負担であった認証手順が改善され、かご落ちのリスクが削減されます。

リスクベースの認証に関して言えば、カード利用者の決済情報等を基に判断するため、取引の大半は追加認証なしに認証が完了いなりますが、高リスクと判断される取引のみ、ワンタイムパスワード等の追加認証が実施される形になります。
入力の手間やパスワード失念など、3Dセキュア1.0が抱えていた課題を大幅に改善し、安全かつスピーディーなオンライン決済を実現しながらも、顧客の利便性やかご落ち率改善による売上向上が期待できます。