近年日本でもキャッシュレス化が急速に進んでおり、経済産業省の調査によるとキャッシュレス比率は、2010年では13.2％だったのが2023年には39.3%へと3倍に増えています。経済産業省ではキャッシュレス比率を2025年までに40%、将来的には世界水準の80%まで引き上げることを目指しており、この潮流は今後さらに勢いを増すことでしょう。

株式会社JCBの2023年度版調査によると、キャッシュレス決済の中でもクレジットカードは2023年時点で保有率が87%となっており、キャッシュレス決済の代表格となっています。しかしながら、クレジットカードの普及と共に不正利用被害も増加の一途を辿っており、その中でもECサイトでのなりすましによる被害が大部分を占めています。

そこで本記事では、クレジットカードの不正利用を防ぐ最新の手段である「3Dセキュア2.0」について解説します。

3Dセキュアとは？

3Dセキュアとは、インターネット上でのクレジットカード決済の際に、不正利用を防ぐために導入されている本人認証サービスのことです。
ここでは3Dセキュアを理解するために、基礎知識とともにセキュリティコードとの違い、3Dセキュアを導入するべき理由について解説します。

3Dセキュアの概要

実店舗でのクレジットカードを使った買い物では、顧客にサインをしてもらうか、もしくは端末に暗証番号を入力させるかのいずれかで本人であることを確認します。しかし、ECサイトでの買い物のように非対面の場合ではそのような照合もできず、なりすましによる不正利用が懸念されています。その対策として誕生したのが3Dセキュアという認証方法です。

3Dセキュアでは、従来のカード番号の認証だけでなく、本人が事前に登録したパスワードや生体認証、ワンタイムパスワードなどを使ってカード会員ご本人の認証を同時に行います。3Dセキュアは国際ブランドのクレジットカード会社各社が採用しており、現在世界的に標準の本人認証方法となりつつあります。

セキュリティコードとの違い

セキュリティコードとは、ネットでのクレジットカード決済時にカード番号とともに入力する、クレジットカードの券面に印字された3桁もしくは4桁の数字のことです。 スキミングなどでカードの磁気情報を盗まれた時でも、インターネット上で不正利用されないような本人認証の仕組みに利用されます。

セキュリティコードの適用には事前の登録も費用も必要ありませんが、カードに記載されている情報であるため、カードが第三者の手に渡ってしまっている場合には本人認証として機能しません。その点、3Dセキュアであればカードを不正に取得されて悪用されても、そしてスキミングされても設定されたパスワードが漏れる心配はありません。

3Dセキュアを導入するべき理由

不正に利用されたことが明らかな場合では、カードの所有者は決済を拒否することが可能です。その場合はクレジットカード会社がカード所有者に返金を行います。このような処理をチャージバックと呼び、カード保有者を不正利用から保護するための仕組みですが、事業者にとっては商材を提供していてもカード会社からの入金が行われず損失を被るものです。

一般社団法人日本クレジット協会が行った2023年度調査によると、不正利用による被害額は540.9億円に達しています。被害の多くはクレジットカード情報を盗用されたことによるもので、チャージバックの発生件数を押し上げています。

チャージバックによる損失を防ぐためにも、カード情報によらないセキュリティ対策として3Dセキュアの導入はEC事業者にとっては必須のものと言っていいでしょう。

3Dセキュアの最新版「3Dセキュア 2.0」とは？

3Dセキュア2.0とは、インターネット上のクレジットカード決済における不正利用を防止するために開発された、より安全で利便性の高い本人認証サービスです。従来の3Dセキュアをさらに進化させたもので、ユーザー体験を向上させながら、より高いセキュリティを実現しています。

増加の一途をたどる不正利用の状況を受け、経済産業省は2025年3月末を目処にECサイトへの3Dセキュア2.0の導入を義務化すると発表しています。
以下で従来の3Dセキュア1.0との違いやカード会社の対応などについてみていきましょう。

3Dセキュア2.0と3Dセキュア1.0の違い

従来の3Dセキュア1.0と、より進化した3Dセキュア2.0では、認証方法やユーザー体験、セキュリティレベルなどに大きな違いがあります。

3Dセキュア1.0は、事前に登録したパスワードを入力することで本人確認を行うというシンプルな方式でした。しかし、すべての取引で認証が必要だったため、ユーザーにとっては手間がかかり、購入を途中で断念してしまう「カゴ落ち」が発生しやすいという課題がありました。

一方、3Dセキュア2.0は、より安全かつスムーズな決済体験を提供するために開発されました。従来のパスワード入力以外にも、生体認証（指紋、顔認証など）、ワンタイムパスワード、デバイス認証など、多様な認証方法が利用可能になったことで、より高いセキュリティレベルを実現しています。
また、過去の取引履歴や端末情報などから、不正利用のリスクを評価し、リスクが高い取引のみ追加認証を要求する「リスクベース認証」を採用することで、ユーザーは不必要な認証手続きを行う必要がなくなりました。

3Dセキュア2.0に対応しているカード

クレジットカード会社や決済代行会社によって異なりますが、EMV（Europay, Mastercard, Visa）という国際的な決済ブランドの定めた新しいルールに基づき、2022年10月以降、多くの企業が3Dセキュア2.0への移行を進めており、1.0のサポートは段階的に終了しています。

すでに多くのクレジットカード会社が3Dセキュア2.0に対応したカードを発行しており、代表的なものとしては「VISAのVisa Secure」「MastercardのMastercard Identity Check」「JCBのJ/Secure™ 2.0」「American ExpressのSafeKey 2.0」「Diners ClubのProtectBuy 2.0」などが挙げられます。

なお、移行期間中は1.0と2.0が並行して運用されているケースもあり、カード発行会社やカード種別によって対応状況が異なる場合があります。EC事業者は、利用している決済代行会社に最新の対応状況を確認することをお勧めします。

3Dセキュア2.0のメリット

3Dセキュア2.0の主なメリットには、加盟店（事業者）側の視点からは「チャージバック（支払い拒否）のリスク減少」「コンバージョン率の改善」「運用負荷の軽減」の3点、ユーザー（購入者）側の視点からは「利便性の向上」「セキュリティの強化」「取引の円滑化」の3点が挙げられます。
それぞれみていきましょう。

加盟店（事業者）のメリット

取引リスクの軽減については、チャージバック（支払い拒否）のリスクが大幅に減少し、不正利用の防止効果が向上します。これにより、オンライン取引の安全性が従来よりも高まっています。

コンバージョン率の改善に関しては、認証プロセスが簡素化されたことで購入時の離脱率が低下しています。特にスムーズな決済体験の提供とモバイル対応の強化により、購入完了までの到達率が向上しています。

運用負荷の軽減では、リスクベース認証による自動判定システムの導入により、不正対策の効率が大幅に改善されました。その結果、カスタマーサポートへの問い合わせも減少し、運用コストの削減にもつながっています。

ユーザー（購入者）のメリット

利便性の向上については、リスクが低いと判断された場合にはパスワード入力が不要になるなど、認証プロセスが大幅に簡略化されました。また、スマートフォンでの操作性が向上し、生体認証にも対応するなど、より使いやすい仕組みとなっています。

セキュリティの強化に関しては、最新の認証技術による保護機能が強化され、不正利用からの安全性が向上しています。また、個人情報の保護も従来以上に強化されており、安心してオンライン取引を行うことができます。

取引の円滑化では、認証にかかる時間が大幅に短縮され、異なるデバイス間でもスムーズな認証が可能になりました。これにより、様々な決済シーンにおいて快適な取引体験を実現しています。

3Dセキュア2.0に切り替えるために会社がするべきこと

3Dセキュア2.0に切り替えるためには、個人情報に対応することと、ECサイトへの連携を行うことの2点が必要です。

個人情報への対応

3Dセキュア2.0では決済に必要なクレジットカード情報に加えて、リスクベース認証実現のために、カード利用者の端末情報や氏名、生年月日などの属性情報を含む個人情報を取り扱います。そのためカード加盟店は、個人情報保護法で定められている個人情報取扱事業者としての同意をカード利用者から取得しなければなりません。

個人情報には他にもクレジットカードの利用履歴、配送先住所、ネットワーク情報なども含まれ、リスクベース認証ではこれらをリアルタイムに分析します。そして、いつもの利用とは状況や環境が異なる場合に不正利用の可能性が高いと判断して本人認証画面を表示します。

このように広範な個人情報を取り扱うものであることから、事業者は個人情報保護のための厳重な施策が必要です。

ECサイトへの連携

3Dセキュア2.0への移行にあたっては、ECサイトの運営元である事業者が決済を委託している決済代行会社や、採用しているECカートシステムによって対応策が異なってきます。したがって、まずはこれらの会社に確認することから始めましょう。

3Dセキュア2.0と3Dセキュア1.0とでは仕様が異なることから、ECサイトとの連携のために加盟店側でシステム開発などの作業が発生するケースも多々あることでしょう。3Dセキュア2.0ではモバイルアプリ用のSDK（ソフトウェア開発キット）が用意されており、加盟店が自ら実装する場合は対応が必要です。
また、3Dセキュア2.0への移行に伴ってコストが発生する可能性もあります。対応策に加えて必要な費用に関しても、契約している決済代行会社に確認しておきましょう。

3Dセキュア2.0の注意点

3Dセキュア2.0を導入するにあたってはいくつかの注意点があります。
1つ目は、新たにAPI（Application Programming Interface：外部アプリとの連携機能）を構築せねばならず、開発のための時間やコストを要することです。

2つ目は、リスクベース認証の精度に関する情報が少なく、なりすましが発生するリスクを完全に取り除くことはできない点です。特に悪意のある第三者が、何らかの方法でリスクベース認証を通過した場合には不正を見抜くことはできません。

3つ目は、3Dセキュア1.0は無償で提供されていたのに対し、3Dセキュア2.0は有償での提供となる可能性があり、導入に際してコスト面が障壁になる恐れがあることです。

高セキュアな決済システムは「サブスクペイ」にお任せ！

クレジットカードの導入には、高いセキュリティ対策が求められます。また、事業者がクレジットカード会社と個別に契約を結ぶのはハードルが高く、現実的ではありません。
そこで、5大カードブランドに対応し、サブスクリプションサービスにも適した「サブスクペイ」の導入をご検討ください。「サブスクペイ」なら、2025年3月から義務化される3Dセキュアが標準搭載されているため、追加料金0円で対応可能です。