• TOP
  • ECサイトとは
  • 3Dセキュア2.0とは?ECサイトのセキュリティ強化のためのアップデートされたクレジットカードの本人認証

3Dセキュア2.0とは?ECサイトのセキュリティ強化のためのアップデートされたクレジットカードの本人認証

公開日:

近年、急速に進んでいるキャッシュレス化。PayPayやLINE Payなど様々なキャッシュレス決済のサービスが提供されていますが、クレジットカードは保有率85%(※1)と高く、キャッシュレス決済の代表格として挙げられます。しかし、国内のクレジットカードの不正利用被害は、2013年から増加の一途をたどり、2019年のクレジットカードの不正利用被害額は273.8億円(※2)と非常に多くなっており、8割が番号盗用による被害になっています。さらに、クレジットカードの不正利用の大部分を占めるのがECサイトにおけるなりすましです。それでは、そもそも3Dセキュアとは何なのか?そして今回のメインでもある3Dセキュアと3Dセキュア2.0との違いに関して紹介したいとおもいます。

近年、急速に進んでいるキャッシュレス化。PayPayやLINE Payなど様々なキャッシュレス決済のサービスが提供されていますが、 クレジットカードは保有率85%(※1)と高く、キャッシュレス決済の代表格として挙げられます。
しかし、国内のクレジットカードの不正利用被害は、2013年から増加の一途をたどり、 2019年のクレジットカードの不正利用被害額は273.8億円(※2)と非常に多くなっており、8割が番号盗用による被害になっています。
さらに、クレジットカードの不正利用の大部分を占めるのがECサイトにおけるなりすましです。
それでは、そもそも3Dセキュアとは何なのか?そして今回のメインでもある 3Dセキュアと3Dセキュア2.0との違いに関して紹介したいとおもいます。

※1:株式会社JCB 【クレジットカードに関する総合調査】2019年版 調査結果レポート
※2:一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について」


3Dセキュアとは

3Dセキュアとは、ECでの決済など、非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。
VisaではVisa Secure、MASTERCARD ではMastercard SecureCodeという名称があり、ブランドごとに呼称は異なりますが、総称して「3Dセキュア」と呼ばれています。
「3D」はEC事業者などの加盟店、カード発行会社(楽天カード、イオン銀行、りそなカード等)、3Dセキュア提供元 (VISA、MASTERCARD、American ExpressAMEX、JCB)の3つの領域を表す「ドメイン(Domain)」を意味しており、この三者間で適切な認証を行ない、安全性を確保しています。

ユーザーが3Dセキュアを利用するには、事前に3Dセキュア提供元にパスワードを登録する必要があります。
利用時には、カード情報の入力後、3Dセキュアパスワード入力画面に遷移し、パスワードを入力することになります。 仮にカードを盗難された場合でも、本人しかわからない情報であるため、不正利用防止につながります。

3Dセキュア導入時における不正利用とチャージバック

上記でも述べたように、国内のクレジットカードの不正利用被害は、2013年から増加の一途をたどっています。 チャージバックとは、クレジットカードの保有者が、不正利用による被害を受けないための仕組みのことです。
チャージバックを利用することで、クレジットカードの保有者は、不正利用などの同意のない支払に対して異議申し立てをし、 それが認められた際には売上を取消しすることが可能になります。
そのチャージバック時の取り消された売上は、カード利用者の本人確認がされている場合にはクレジットカード会社が、本人確認がなされてない場合には加盟店が負担します。

この本人確認が対面決済ではサインや暗証番号にあたり、ECなどの非対面決済では3Dセキュアにあたります。
本人確認がなされていない場合には販売元である、EC事業者などの加盟店はクレジットカード会社に利用代金を返金することになり、 商品を提供したのにもかかわらず、売上金が入金されない状況になってしまいます。
3Dセキュアを導入することでチャージバック発生時の返金リスクを回避できる可能性があります。

セキュリティーコードとは何が違うの

セキュリティーコードとは、クレジットカードで決済を行うときに、入力されたカード情報が本当に本人のものであるかを確認する、 セキュリティを保護するために入力をするコード番号です。
店頭でカードの磁気情報を盗むスキミング等の犯罪を防ぐのに、有効な手段とされています。
しかし、多くのクレジットカードの裏面に記載してあるため、カード自体が盗難されてしまった場合には、不正利用を防ぐことは難しくなります。
また、セキュリティーコードの入力は法的に義務付けられているわけではなく、セキュリティーコードなしで利用できるECサイトも数多くあるのが現状です。

セキュリティーコードは3つの認証要素(パスワードなどの知識要素、SMSなどを介した所有要素、指紋認証などの生体要素)のうち、所有要素のみに依存します。 それに対し、3Dセキュアは知識要素と所有要素の2つの要素に依存します。これにより、セキュリティがより強いものになります。

3Dセキュア1.0とはどういうもの?

もともと、3Dセキュア1.0は1999年にVisaが開発した本人認証システムであり、2002年からほかのブランドにライセンス提供されるようになりました。
先にも説明したように、3Dセキュア1.0はECでの決済など非対面での決済時に、クレジットカード番号や有効期限などのクレジットカード情報のほかに、 設置したパスワードを入力することでセキュリティを強固にする仕組みのことです。

スマートフォンのように換金率の高い商材や高額商材を取り扱っている場合、カード代行会社から3Dセキュアの導入必須を要求される場合があります。 また、2011年3月以降、新たにインターネット取引におけるクレジットカード決済加盟店として登録するEC事業者は、 「セキュリティーコードと3Dセキュア等」による本人認証を行うことが、必須になりました。

(参考:社団法人日本クレジット協会|「新規インターネット加盟店におけるクレジットカード決済に係る本人認証導入による不正使用防止のためのガイドライン」の制定について https://www.j-credit.or.jp/download/101215_news.pdf#zoom=100

メリット

本人確認が厳重になり、セキュリティの強化・不正防止につながります。カードそのものを盗難されたり、 カード番号を取得されたりしても、3Dセキュアを導入しているサイトではパスワードが入力されなければ決済が行われることはありません。

デメリット

3Dセキュアのパスワードを入力することで安全性が向上する反面、ユーザーにとっては3Dセキュアのパスワードを入力するという手間が増えることになります。 また、見慣れないポップアップウィンドウによる不信感を与えてしまっていることもありました。
3Dセキュアのパスワード入力は当然ながら、決済手続きの途中に表示され、EC加盟店のWebサイトから別のサイトに遷移しパスワード入力を要求させるため、 手間を感じたり、3Dセキュアのパスワードを忘れていたり、と「かご落ち」が生じてしまいます。
決済まで進んでいる、購入意欲の高い顧客をそのひと手間で逃してしまうことは、EC事業者にとっての影響はとても大きいものです。

Visa リスク& データ・プロダクツ SVP & Global Headのマーク・ネルソン氏は、 「Visaでは、3-Dセキュア 1.0を16年間展開してきましたが、現在、10%のコマースが活用しています」と言っており、 加盟店のうち3Dセキュアを導入しているのは1割にとどまっているのが現状です。

3Dセキュア2.0とは

デメリットのところで3Dセキュア1.0の「かご落ち」というデメリットによる普及率の低さについて述べましたが、 こうした状況を背景にユーザーの利便性向上、安全な環境のために提案されたのが、「3Dセキュア2.0」です。

先にも述べたように3Dセキュア1.0はVisaが開発し、2002年からほかのブランドにライセンス提供されるようになりました。 また、American ExpressはVisaやJCBとは異なる形式で3Dセキュアを提供しました。
このように各社がそれぞれの形式、タイミングで開始したため、統一されたものではありませんでした。 また、3Dセキュア1.0が提供開始されたころはスマートフォンなどのモバイル端末がまだまだ普及していませんでした。 そのため、3Dセキュア1.0はモバイル端末に対応していませんでした。

3Dセキュアと3Dセキュア2.0の違いとは

2016年秋にリリースされた3Dセキュア2.0での大きな変更点は以下の3つです。
・3Dセキュアの仕様策定をICカードのEMV規格(EuroPay、Mastercard International、Visa Internationalの間で統一規格されたクレジットカード仕様)の発行機関(EMVCo)が行う
・モバイル端末、モバイルアプリケーションへの対応
・ワンタイムパスワードの導入

最大の特徴はSMSやアプリを使用したワンタイムパスワードの利用です。ワンタイムパスワードとは、その名の通り、一度きりしか使えないパスワードのことです。
ECでの決済など非対面でのクレジットカード決済の際、カード情報入力後に、3Dセキュアパスワード入力画面が表示され、それと同時にSMS等にワンタイムパスワードが送信されてきます。 ユーザーは、その画面に送付されたパスワードを入力するだけで完了します。
ワンタイムパスワードであれば、パスワードを覚える必要がないため、忘れることもありません。 さらに、セキュリティーコードのように、クレジットカード本体を盗難された時に使用されてしまうこともありません。
また、3Dセキュア2.0ではリスクベース認証(なりすましを防ぐ認証技術)により、 リスクの高い取引のみに対して承認を要求することができるようになり、ユーザーにとっての障壁が少なくなります。

ECサイトの脆弱性を狙い、カード情報を抜き取る手口や、ECサイトを改ざんして決済時に偽の決済ページを表示し、 カード情報を取得する手口など、EC加盟店におけるカード情報流出事件が増加しています。
それを踏まえ、2019年3月にはクレジット取引セキュリティ対策協議会(事務局:(一社)日本クレジット協会)から、 『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画−2019−』が公表され、 2020年に向け、国際水準のクレジットカード取引のセキュリティ環境を実現し、安全・安心なクレジットカードの利用環境の整備を進めています。


(参考:経済産業省|クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」 https://www.meti.go.jp/press/2018/03/20190304004/20190304004.html

3Dセキュア2.0はいつから使えるの?

3Dセキュア2.0は主要な国際ブランドには取り入れられており、現在は移行期間になっています。 3Dセキュア2.0は、今年中にサービス開始できる可能性はあるようですが時期は未定になっています。

国際ブランドのVISAは、3Dセキュア2.0は決済時間を約85%短縮し、かご落ちを70%削減すると予想しています。今後の動きにも注目です。

まとめ

3Dセキュアを利用することで、より安全な環境でクレジットカードを利用することができます。しかし、3Dセキュアを利用しても100%不正利用を防止できるわけでも、絶対安全ということでもありません。 そもそものクレジットカード自体の取り扱い、パスワードの使いまわしをしない等の注意を払うことが必要になります。

3Dセキュア1.0と異なり、3Dセキュア2.0では、従来のECサイトでのかご落ちリスクが減ると予想されます。これを機にEC加盟店は3Dセキュアの利用登録をしてみてはいかがでしょうか。




03-3486-2631
営業時間 9:00〜19:00