3Dセキュア2.0(EMV 3Dセキュア)とは?
ECサイトに導入が義務付け予定のセキュリティ強化のためにアップデートされたクレジットカードの本人認証を徹底解説

近年、急速に進んでいるキャッシュレス化。PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が86%とキャッシュレス決済の中で最も利用率が高いです。
しかし、そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2021年のクレジットカードの不正利用被害額は過去最高の330.1億円となりました。また、2022年の上期(1月〜6月)だけで206.5億円もの被害が発生しており、2021年の被害総額をさらに上回ることが予想されます。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
近年、急速に進んでいるキャッシュレス化。PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が86%とキャッシュレス決済の中で最も利用率が高いです。
しかし、そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2021年のクレジットカードの不正利用被害額は過去最高の330.1億円となりました。また、2022年の上期(1月〜6月)だけで206.5億円もの被害が発生しており、2021年の被害総額をさらに上回ることが予想されます。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
3Dセキュアとは
3Dセキュアとは、ECでなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。実店舗等での対面決済におけるサインや暗証番号をイメージしていただければ分かりやすいかと思います。
Visaでは「Visa Secure」、マスターカード では「Mastercard SecureCode」といったようにブランドごとでサービスの呼称は異なりますが、総称して「3Dセキュア」と呼ばれています。
「3Dセキュア」という言葉における“3D”とは
・EC事業者などの加盟店
・カード発行会社(ex:楽天カード、イオン銀行、りそなカード)
・3Dセキュア提供元(ex:Visa、マスターカード、アメリカン・エキスプレス、JCB)
の3つの領域を表す「ドメイン(Domain)」を意味しており、この三者間で適切な認証を行ないながらカード利用者の安全性を確保しています。
カードの保有者であるユーザーが3Dセキュアを利用するには、事前に3Dセキュア提供元にパスワードを登録する必要があります。また利用時は、カード情報の入力後3Dセキュアパスワード入力画面に遷移し、パスワードを入力することになります。 仮にカードを盗難された場合でも、本人しか把握していない情報であるため、不正利用防止に繋がるのです。
3Dセキュア導入時における不正利用とチャージバック
チャージバックとは、クレジットカードの保有者が不正利用による被害を受けないための仕組みのことです。
チャージバックを利用することで、クレジットカードの保有者は不正利用など同意のない支払に対して異議申し立てを行い、 それが認められた際には売上を取消しすることが可能になります。
チャージバック発生時に取り消された売上は、3Dセキュア等でカード利用者の本人確認が完了している場合にはクレジットカード会社が、本人確認が取れていない場合には加盟店が負担します。
すなわち、本人確認がなされていない場合に販売元であるEC事業者などの加盟店はクレジットカード会社に利用代金を返金することになり、 商品を提供したにも関わらず売上金が入金されない状況に陥るということです。
セキュリティコードと3Dセキュアは何が違うの
セキュリティコードとは、セキュリティ保護のためクレジットカードで決済を行う時に入力されたカード情報が本当に本人のものであるかを確認するコード番号です。このセキュリティコードは店頭でカードの磁気情報を盗むスキミング等の犯罪を防ぐ際に、有効な手段とされています。
しかし、多くのクレジットカードにおいてセキュリティコードは裏面に記載してあるため、カード自体が盗難されてしまった場合には不正利用を防ぐことは難しくなります。
また、セキュリティコードの入力は法的に義務付けられているわけではないので、コード入力なしで利用できるECサイトも数多くあるのが現状です。
また、セキュリティコードは3つの認証要素(パスワードなどの知識要素、SMSなどを介した所有要素、指紋認証などの生体要素)のうち所有要素のみに依存します。 それに対し3Dセキュアは、知識要素と所有要素の2つの要素に依存することになるので、セキュリティコードと比較するとより強固なセキュリティを実現できます。
3Dセキュア1.0とはどういうもの?
3Dセキュア1.0は1999年にVisaが開発した本人認証システムであり、2002年から他のクレジットカードブランドにライセンス提供されるようになりました。
先にも説明したように、3Dセキュア1.0はECでの決済など非対面での決済時に、カード番号や有効期限などのカード情報の他に、 設置したパスワードを入力することでセキュリティを強固にする仕組みです。
例えば、スマートフォンのように換金率の高い商材や高額商材を取り扱っている場合、決済代行会社から3Dセキュアの導入必須を要求される場合があります。
また、2011年3月以降、新たにインターネット取引におけるクレジットカード決済加盟店として登録するEC事業者は、 「セキュリティコードと3Dセキュア等」による本人認証を行うことが、必須になりました。
さて、ここからは3Dセキュアを導入することのメリットとデメリットを見てみましょう。
メリット
本人確認が厳重になり、セキュリティの強化・不正防止に繋がります。カードそのものを盗難されたり、 カード番号を取得されたりしても3Dセキュアを導入しているサイトではパスワードが入力されなければ決済が実行されることはありません。
デメリット
3Dセキュアのパスワードを入力することで安全性が向上する反面、ユーザーにとってはパスワード入力の手間が増えることになります。 また、見慣れないポップアップウィンドウによる不信感を与えてしまうこともあります。
3Dセキュアのパスワード入力は当然ながら決済手続きの途中に表示され、EC加盟店のWebサイトから別のサイトに遷移しパスワード入力を要求させるため、 手間を感じたり、3Dセキュアのパスワードを忘れていたりとユーザーの「かご落ち」が生じる原因となります。
決済まで進んでいるにも関わらず、購入意欲の高い顧客をそのひと手間で逃してしまうことは、EC事業者にとっての影響はとても大きいものです。
3Dセキュア2.0(EMV 3Dセキュア)とは
3Dセキュア1.0は、かご落ちが増えるというデメリットがあったこともあり、なかなか普及しませんでした。こうした状況を背景にユーザーの利便性向上、安全な環境のために提案されたのが「EMV 3Dセキュア」とも呼ばれる「3Dセキュア2.0」です。
先述の通り3Dセキュア1.0はVisaが開発し、2002年から他のブランドにライセンス提供されるようになりました。 また、アメリカン・エキスプレスはVisaやJCBとは異なる形式で3Dセキュアを提供しました。
このように各社がそれぞれの形式・タイミングで提供を開始したため、3Dセキュア1.0は統一されたものではありませんでした。 また、3Dセキュア1.0が提供開始された頃はスマートフォンなどのモバイル端末がまだまだ普及していなかったため、モバイル端末に対応していませんでした。
3Dセキュア1.0と3Dセキュア2.0の違いとは
2016年秋にリリースされた3Dセキュア2.0での大きな変更点は以下の3つです。
- 3Dセキュアの仕様策定をICカードのEMV規格(Euro Pay、Mastercard International、Visa Internationalの間で統一規格されたクレジットカード仕様)の発行機関(EMVCo)が行う
- モバイル端末、モバイルアプリケーションへの対応
- ワンタイムパスワードの導入
最大の特徴はSMSやアプリを使用したワンタイムパスワードの導入です。ワンタイムパスワードとは、その名の通り、一度きりしか使えないパスワードのことです。ECでの決済など非対面でのクレジットカード決済の際、カード情報入力後に3Dセキュアパスワード入力画面が表示され、それと同時にSMS等にワンタイムパスワードが送信されてきます。 ユーザーが送付されたパスワードを入力するだけで本人確認が完了するという仕組みです。
ワンタイムパスワードであれば固定のパスワードを覚える必要がないため忘れることがない上、セキュリティコードのようにクレジットカード本体が盗難に遭った際に不正利用されるリスクもありません。
また、3Dセキュア2.0ではリスクベース認証(なりすましを防ぐ認証技術)により、 リスクの高い取引のみに対して承認を要求することができるようになったため、ユーザーにとっての障壁が低くなりました。
切り替えが進む3Dセキュアの今
2022年10月11日、経済産業省が開催した「クレジットカード番号等不正利用対策の強化検討会」の第3回会合で、3Dセキュア2.0(EMV 3Dセキュア)の導入を日本国内における全てのEC事業者に義務付ける方針の提言を行い、検討会に出席した委員全員がこれに賛同しました。
これにより、カード会社が環境の整備をしながら2025年をめどに全EC事業者の導入を目指すことになりました。
3Dセキュア2.0(EMV 3Dセキュア)の義務付けが決まった背景
前述の会合でクレジットカードの不正利用を防止する基本的な対策として、下記のような内容が提言されました。
・非対面の取引では利用者の確認を間接的にしかできないので、知識・所有・生体の要素を組み合わせた「本人認証」が基本と考えられる
・加盟店・カード会社が保有する顧客の属性情報の活用による不正判定技術が向上しているので、それを活用した不正利用の防止も有効
・3Dセキュア2.0(EMV 3Dセキュア)はこれらの機能を全て含んでいる手法であるため、現時点の不正利用対策としては全てのEC加盟店で3Dセキュア2.0(EMV 3Dセキュア)による「利用者であるのか適切な確認」を実施すべきではないのか
また、将来的に不正利用防止の法的義務を引き上げていくためには、段階的な指針を示すことが期待されるということで、まずはイシュア―(カード発行会社)がEMV 3Dセキュアを完備した上で順次EC加盟店で導入をしていくことが必要であるという導入に向けたスケジュール案も提示されています。
第3回「クレジットカード番号等不正利用対策の強化検討会」で提言された
不正防止義務引き上げに向けたスケジュール案
そしてこうした提言を基に
・加盟店での対応
・決済代行会社での対応
・カード発行会社での対応
という三つの視点から議論が行われました。
特に加盟店での対応に関しては3Dセキュア2.0(EMV 3Dセキュア)による確認の進め方や、カード番号入力以外の方法による決済などイレギュラーな場合の対策のあり方、効果的な導入方法と時期について話し合われました。
その結果、2025年の3月までに全てのEC加盟店にEMV 3Dセキュアの導入を必須とする方針で全会一致となったのです。
1.0のサポート終了で注目が集まる3Dセキュア2.0(EMV 3Dセキュア)
2025年の全EC加盟店への導入が義務付けられること以外にも、3Dセキュア2.0(EMV 3Dセキュア)が注目されている理由があります。それは各クレジットカードブランドが2022年10月をもって3Dセキュア1.0のサポートを終了したということです。
これに伴い、非対面のカード決済時の本人確認は3Dセキュア2.0(EMV 3Dセキュア)以外の方法は認められなくなりました。そして3Dセキュアを導入していてもバージョンが1.0だった場合、本人確認が完了していないということになるため不正利用が発生した際にカード会社が負担していたチャージバックの負担が加盟店側にかかることになっています。
ですので、EC事業者の2.0の導入は2025年の義務化を待たずとも今後さらに進んでいくでしょう。
3Dセキュア2.0リリースによって変わること
3Dセキュア2.0では動的パスワード認証、端末認証等により、過去の取引履歴などを基にリスクベースの認証が実施されます。従来の3Dセキュアではブランド認証ページに遷移させる動きが必要でしたが、3Dセキュア2.0ではワンタイムパスワード等の認証であるため、お客様の負担であった認証手順が改善され、かご落ちのリスクが削減されます。
リスクベースの認証に関して言えば、カード利用者の決済情報等を基に判断するため、取引の大半は追加認証なしに認証が完了いなりますが、高リスクと判断される取引のみ、ワンタイムパスワード等の追加認証が実施される形になります。
入力の手間やパスワード失念など、3Dセキュア1.0が抱えていた課題を大幅に改善し、安全かつスピーディーなオンライン決済を実現しながらも、顧客の利便性やかご落ち率改善による売上向上が期待できます。
まとめ
3Dセキュアを利用することで、より安全な環境でクレジットカードを利用することができます。しかし、3Dセキュアを利用しても100%不正利用を防止できるわけでも、絶対安全ということでもありません。 そもそものクレジットカード自体の取り扱い、パスワードの使いまわしをしない等の注意を払うことが必要になります。
2016年にリリースされた3Dセキュア2.0(EMV 3Dセキュア)は、一度しか使えないワンタイムパスワードの導入やリスクベース認証により、利用者の障壁を下げつつより強固なセキュリティ対策を実現させました。
また、カードブランド各社の3Dセキュア1.0のサポートが終了し、2025年には日本国内における3Dセキュア2.0(EMV 3Dセキュア)のEC加盟店への導入が義務付けられるといったように、3Dセキュアを取り巻く情勢が変わりつつあるので、今後はさらに導入が進んでいくと予想されます。
