近年日本でもキャッシュレス化が急速に進んでおり、経済産業省の調査によるとキャッシュレス比率は、2010年では13.2％だったのが2020年には29.7％へと倍増しています。経済産業省ではキャッシュレス比率を2025年までに40%、将来的には世界水準の80%まで引き上げることを目指しており、この潮流は今後さらに勢いを増すことでしょう。

株式会社JCBの調査によると、キャッシュレス決済の中でもクレジットカードは2019年時点で保有率が85%以上になっており、キャッシュレス決済の代表格となっています。しかしながら、クレジットカードの普及と共に不正利用被害も増加の一途を辿っており、その中でもECサイトでのなりすましによる被害が大部分を占めています。

そこで本記事では、クレジットカードの不正利用を防ぐ最新の手段である「3Dセキュア2.0」について解説します。

3Dセキュアとは？

ここでは3Dセキュアを理解するために、基礎知識とともにセキュリティコードとの違い、3Dセキュアを導入するべき理由について解説します。

3Dセキュアの概要

実店舗でのクレジットカードを使った買い物では、顧客にサインをしてもらうか、もしくは端末に暗証番号を入力させるかのいずれかで本人であることを確認します。しかし、ECサイトでの買い物のように非対面の場合ではそのような照合もできず、なりすましによる不正利用が懸念されています。その対策として誕生したのが3Dセキュアという認証方法です。

3Dセキュアでは、従来のカード番号の認証だけでなく、本人が事前に登録したパスワードや生体認証、ワンタイムパスワードなどを使ってカード会員ご本人の認証を同時に行います。3Dセキュアは国際ブランドのクレジットカード会社各社が採用しており、現在世界的に標準の本人認証方法となりつつあります。

セキュリティコードとの違い

セキュリティコードとは、ネットでのクレジットカード決済時にカード番号とともに入力する、クレジットカードの券面に印字された3桁もしくは4桁の数字のことです。 スキミングなどでカードの磁気情報を盗まれた時でも、インターネット上で不正利用されないような本人認証の仕組みに利用されます。

セキュリティコードの適用には事前の登録も費用も必要ありませんが、カードに記載されている情報であるため、カードが第三者の手に渡ってしまっている場合には本人認証として機能しません。その点、3Dセキュアであればカードを不正に取得されて悪用されても、そしてスキミングされても設定されたパスワードが漏れる心配はありません。

3Dセキュアを導入するべき理由

不正に利用されたことが明らかな場合では、カードの所有者は決済を拒否することが可能です。その場合はクレジットカード会社がカード所有者に返金を行います。このような処理をチャージバックと呼び、カード保有者を不正利用から保護するための仕組みですが、事業者にとっては商材を提供していてもカード会社からの入金が行われず損失を被るものです。

一般社団法人日本クレジット協会が2019年に行った調査によると、不正利用による被害額は約275億円に達しています。被害の多くはクレジットカード情報を盗用されたことによるもので、チャージバックの発生件数を押し上げています。

チャージバックによる損失を防ぐためにも、カード情報によらないセキュリティ対策として3Dセキュアの導入はEC事業者にとっては必須のものと言っていいでしょう。

3Dセキュアの最新版「3Dセキュア 2.0」とは？

現在の3Dセキュアは、3Dセキュア1.0から3Dセキュア2.0への過渡期にあります。以下に両者の違いと切り替わるタイミングについて解説します。

3Dセキュア1.0との違い

3Dセキュア1.0を設定している場合では、設定しているカード所有者全員に対して本人認証が行われていました。しかし、ECサイトなどで買い物をする際、決済のたびに認証を求められることから、パスワードの入力が面倒になったなどの理由で購入をやめるカゴ落ちが発生する原因として指摘されています。

その点3Dセキュア2.0では、不正利用の疑いが高いとされた場合にのみ本人認証画面が表示されるリスクベース認証が導入されています。これにより、カード所有者の手間を軽減しつつ、カードが盗難された場合でも不正利用を防ぐことができます。他にも3Dセキュア2.0では、指紋や顔を使った生体認証、1度きりだけ有効なワンタイムパスワード、QRコードスキャンなどが新たに導入されました。また、スマートフォンなどのモバイル端末やブラウザ以外のアプリにも対応しており、利便性とセキュリティの向上が図られています。

3Dセキュア1.0から切り替わるタイミング

現在、各クレジットカード会社は3Dセキュア1.0から3Dセキュア2.0への移行を進めている最中です。各社の予定を見ると、Visaは2021年10月、Mastercardは2022年10月、JCBは2022年後半から2023年までの間、Amexは2022年10月としています。

現行の3Dセキュア1.0では、3Dセキュアを導入している加盟店でチャージバックが発生した場合、カード会社が加盟店の売上代金を補償します。これはライアビリティシフトと呼ばれる制度ですが、3Dセキュア1.0のサポート終了と共にこの制度は終了となります。以後は3Dセキュア1.0で本人認証が行われている場合でもチャージバックは補償されません。

3Dセキュア2.0のメリット

3Dセキュア2.0のメリットとしては、優れた認証方法に対応していることと、かご落ちリスクの軽減が可能なことの2点が挙げられます。以下にそれぞれについて解説します。

優れた認証方法に対応している

3Dセキュア1.0による本人認証では、カード利用者が前もってカード会社にIDとパスワードを登録・設定し、クレジットカードで決済をする際にそれらを入力して追加認証します。3Dセキュア 2.0では、先にも触れたように生体認証やQRコードスキャンに対応している他、SMSやアプリを用いた1回限り有効なワンタイムパスワードで認証する方法も取られています。

3Dセキュア1.0のようにIDとパスワードだけの認証よりも幅が広く、よりスムーズで確実な本人認証が可能です。特にワンタイムパスワードは1回しか使用できず、クレジットカード情報が流出しても不正に利用されることはありません。このように3Dセキュア 2.0は利便性とセキュリティの両面において優れた認証方法に対応しているのが特徴です。

かご落ちリスクの軽減

3Dセキュア 1.0では、取引があるごとに別の画面に遷移するか、ポップアップウィンドウを表示するかのいずれかの方法でカード利用者にIDとパスワードによる追加認証が求められます。この方法では認証フローが煩雑となってカード利用者が煩わしい思いをしたり、カード利用者がIDやパスワードを忘れて決済できなくなったりします。
その結果として、カード利用者が決済を途中でやめてサイトから離脱してしまうカゴ落ちが発生するリスクの高いことが指摘されていました。

3Dセキュア 2.0では、カード利用者が使っている端末からIPアドレス、使用しているブラウザやOSなどの情報を取得し、不正利用リスクが高いと判断された時のみ追加認証します。ユーザーインターフェースや入力の仕組みが改善されることで、カゴ落ちに至る率が大幅に低減されることが期待されています。

3Dセキュア2.0に切り替えるために会社がするべきこと

3Dセキュア2.0に切り替えるためには、個人情報に対応することと、ECサイトへの連携を行うことの2点が必要です。

個人情報への対応

3Dセキュア2.0では決済に必要なクレジットカード情報に加えて、リスクベース認証実現のために、カード利用者の端末情報や氏名、生年月日などの属性情報を含む個人情報を取り扱います。そのためカード加盟店は、個人情報保護法で定められている個人情報取扱事業者としての同意をカード利用者から取得しなければなりません。

個人情報には他にもクレジットカードの利用履歴、配送先住所、ネットワーク情報なども含まれ、リスクベース認証ではこれらをリアルタイムに分析します。そして、いつもの利用とは状況や環境が異なる場合に不正利用の可能性が高いと判断して本人認証画面を表示します。

このように広範な個人情報を取り扱うものであることから、事業者は個人情報保護のための厳重な施策が必要です。

ECサイトへの連携

3Dセキュア2.0への移行にあたっては、ECサイトの運営元である事業者が決済を委託している決済代行会社や、採用しているECカートシステムによって対応策が異なってきます。したがって、まずはこれらの会社に確認することから始めましょう。

3Dセキュア2.0と3Dセキュア1.0とでは仕様が異なることから、ECサイトとの連携のために加盟店側でシステム開発などの作業が発生するケースも多々あることでしょう。3Dセキュア2.0ではモバイルアプリ用のSDK（ソフトウェア開発キット）が用意されており、加盟店が自ら実装する場合は対応が必要です。
また、3Dセキュア2.0への移行に伴ってコストが発生する可能性もあります。対応策に加えて必要な費用に関しても、契約している決済代行会社に確認しておきましょう。

3Dセキュア2.0の注意点

3Dセキュア2.0を導入するにあたってはいくつかの注意点があります。
1つ目は、新たにAPI（Application Programming Interface：外部アプリとの連携機能）を構築せねばならず、開発のための時間やコストを要することです。

2つ目は、リスクベース認証の精度に関する情報が少なく、なりすましが発生するリスクを完全に取り除くことはできない点です。特に悪意のある第三者が、何らかの方法でリスクベース認証を通過した場合には不正を見抜くことはできません。

3つ目は、3Dセキュア1.0は無償で提供されていたのに対し、3Dセキュア2.0は有償での提供となる可能性があり、導入に際してコスト面が障壁になる恐れがあることです。

高セキュアな決済システムは「サブスクペイ」にお任せ！

クレジットカードの導入には、高いセキュリティ対策が求められます。また、事業者がクレジットカード会社と個別に契約を結ぶのはハードルが高く、現実的ではありません。
そこで、5大カードブランドに対応し、サブスクリプションサービスにも適した「サブスクペイ」の導入をご検討ください。