本人認証サービスとは?3Dセキュアのメリットや注意点、その他の不正利用対策も解説

2022/10/05

本人認証サービスとは?3Dセキュアのメリットや注意点、その他の不正利用対策も解説

本人認証サービスとは、クレジットカード決済の際にカード情報に加えて「認証コード」を入力することで、不正利用やなりすましを防ぐ仕組みです。本記事では本人認証サービスの仕組みや導入するメリット、注意点やその他の不正利用対策を紹介します。

この記事の目次

クレジットカードの本人認証サービスと言えば、一般的に「3Dセキュア」を指します。これはビザ・インターナショナル社が開発した技術です。ユーザーがあらかじめ登録した認証コードを決済時に入力、照合することで不正利用を防ぐ仕組みです。

現在はVISAだけでなく、MasterCard、JCB、American Express、Diners Clubの5大国際ブランドで採用されており、世界標準の本人認証方法といえます。なお、各社とも本人認証の仕組みは同じですが呼称は異なり、VISAは「Visa Secure」、MasterCardは「Mastercard ID Check™」、JCBは「J/Secure™」、AMEXは「American Express SafeKey©」、そしてDiners Clubは「ProtectBuy」と呼ばれています。

従来主に利用されている3Dセキュアは、「3Dセキュア 1.0」というバージョンでした。認証コードは固定パスワードの他、カード会社と事前に共有した合言葉「パーソナルメッセージ」を表示することで、認証コードの入力画面が正しいものかどうか確認できるサービスもあります。

出典:
Visa Inc.『安全なネットショッピング』
Mastercard『Mastercard ID Check™ のご紹介』
株式会社ジェーシービー『本人認証サービス「J/Secure™」』
American Express International, Inc.『American Express SafeKey©』

本人認証サービス(3Dセキュア1.0)の仕組み

3Dセキュアとは
  1. カードを保有するユーザーがクレジットカード発行会社のWebサイトで任意のパスワードを設定
  2. ECサイトなどのオンラインサービスで支払方法にクレジットカード決済を選択し、カード番号・有効期限・セキュリティコードなどの情報を入力
  3. 別画面に遷移して、事前に1.で設定したパスワードを入力して決済完了

3Dセキュアの名称は国際ブランドごとに異なりますが、本人認証の流れや認証画面の内容は同様です。

3Dセキュアの認証画面で表示される項目は以下の通りです。

  • 加盟店名
  • 利用金額
  • 利用日
  • カード番号
  • パーソナルメッセージ
  • パスワード

画面の左上には国際ブランドのロゴ、右上にはカード会社のロゴが記載されます。

パーソナルメッセージとは、カード保有者と各カード会社の間で決める合言葉のようなものです。あらかじめ設定されたパーソナルメッセージが正しく表示されているかどうかを確認することで、セキュリティを高める仕組みです。パーソナルメッセージはカードを保有するユーザー任意で変更可能です。

3Dセキュアは1.0→2.0への移行が進んでいる

「3Dセキュア 1.0」には以下のような課題があり、これまで普及の妨げになっていました。

  • 認証フローが煩わしいためユーザー離脱の一因となり、コンバージョン率(購入率)が低下する。
  • iOSやAndroidのアプリ課金に対応していない。
  • フィッシングにより、第三者にカード情報を盗まれてしまうリスクがある。
  • クレジットカード決済の都度入力が必要となり、ユーザーがパスワードを覚えておく必要がある。

そのような状況の中、2016年6月に3Dセキュアの新バージョンである「3Dセキュア 2.0」の仕様が発表されました。American Express、Discover、JCB、MasterCard、銀聯、Visaの国際ブランド6社で構成され、カード決済の安全と普及促進を図る機関である「EMVco」により規格が定められています。2022年2月時点で3Dセキュア 1.0の継続利用は可能ですが、3Dセキュア 2.0へ順次切り替えが進められており、Visa・Mastercard・American Expressは2022年10月まで、JCBは2022年後半以降~2023年までに3Dセキュア1.0のサポートを終了することを発表しています。

出典:
Visa『Visa Will Discontinue Support of 3-D Secure 1.0.2』
Mastercard『Mastercard® Authentication Best Practices』
三菱UFJニコス『本人認証サービス(3Dセキュア)/新バージョン(EMV3Dセキュア)への切り替えのお願い』
JCB『J/Secure™』
American Express『American Express SafeKey® Frequently Asked Questions』

3Dセキュア1.0と2.0の違い

新バージョンの3Dセキュアは、ワンタイムパスワードや生体認証などを取り入れており、3Dセキュア 1.0のようにポップアップウインドウや別画面に遷移させないことや、固定のパスワード管理が必要ないため、スムーズな本人認証が実現します。

また、加盟店と共有する付加情報をもとにリスクベース認証を行うので、リスクのない9割強のユーザーは3Dセキュアの認証を行わずに決済ができ、カート離脱率(かご落ち)の低下や支払いの時間短縮が見込めます。もし不正の疑いがある決済の場合でも、ユーザーに対して本人確認のための追加情報を入力させることで安全性を確保できるようになっています。

3Dセキュア 2.0では、3Dセキュア1.0では不可能だったiOSやAndroidのアプリ内でも認証ができるようになります。モバイルアプリ用のSDK(ソフトウェア開発キット)が用意されており、加盟店は簡単にモバイルアプリに3Dセキュア2.0を実装することができます。

※DGフィナンシャルテクノロジーではスマホアプリでの認証の対応時期は未定となっております。

このように次世代規格の3Dセキュア 2.0では、ユーザーと事業者双方の利便性を高めるとともに、クレジットカードの不正利用を防止する機能も改善されており、今後は急速に移行が進むと想定されます。

出典:株式会社アクル『3-Dセキュア2.0とは?』

カード会社各社でワンタイムパスワードへの移行が進んでいる

国際ブランド各社は3Dセキュア1.0のサポート終了に向けて3Dセキュア2.0への移行を進めており、JCBもホームページでワンタイムパスワードの利用を強く推奨しています。

また、三井住友カード、dカード、イオンカード、セゾンカード、オリコカードなどカード会社もワンタイムパスワードへの移行を進めています。

出典:
本人認証サービス「J/Secure™」|クレジットカードなら、JCBカード
Visa Secure(VISAカード会員の方)|クレジットカードの三井住友VISAカード
dカード | インターネットショッピング本人認証サービス(3Dセキュア)
本人認証サービス(3Dセキュア) | イオンカード 暮らしのマネーサイト
本人認証サービス | クレジットカードはセゾンカード
本人認証サービスについて|クレジットカードのオリコカード

本人認証サービスは、クレジットカードの不正利用防止に高い効果を発揮します。

一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は増加傾向にあり、2020年は約253.0億円でした。最も被害額が大きかったのは、番号盗用によるものです。この番号盗用被害額とは、クレジットカード番号などの情報だけを用いて不正に決済された金額で、典型例としてはネットショッピングでのなりすまし利用が挙げられます。

■カード不正利用被害の発生状況(単位:億円)

出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』

『クレジットカード・セキュリティガイドライン』でも、不正利用対策の具体的な方策として、本人認証サービスの導入が推進されています。

クレジットカード・セキュリティガイドラインとは、安全安心なクレジットカードの利用環境の整備を進めるため、クレジット取引セキュリティ対策協議会がカード会社や加盟店などのセキュリティ対策やその取組事項を取りまとめたものです。安全・安心なクレジットカード決済の普及を促進するため、すべての加盟店に対応が求められています。

出典:クレジット取引セキュリティ対策協議会『クレジットカード・セキュリティガイドライン【2.0 版】』

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

本人認証サービスを導入するメリットは、不正防止効果が高いことで顧客の安心感を高められる点と、実際に事業者のリスクを軽減できる点です。

顧客に対して安心感を与えられる

国内のBtoC-ECの市場規模は、2020年時点で約19.2兆円でした。

出典:経済産業省『令和2年度 電子商取引に関する市場調査)』

また、総務省の「通信利用動向調査」によると、インターネットで購入する際の決済方法は、クレジットカード払いが79.8%と圧倒的なシェアを占めています。

■インターネットで購入する際の決済方法(2020年)

出典:総務省『令和3年版 情報通信白書|インターネットの利用状況』

一方で、前述の通り不正利用の被害額は年々増加傾向にあります。2020年度の「通信利用動向調査」では、インターネット利用時に感じる不安要素として、「電子決済の信頼性」を挙げた人は40.5%にのぼりました。

■インターネット利用における不安の内容
インターネット利用時における不安
インターネット利用における不安の内容

出典:総務省『令和2年通信利用動向調査の結果』

こういった背景から、5大国際ブランドが採用する国際標準の本人認証サービス「3Dセキュア」を自社ECサイトに導入することは、顧客に対する信頼性のアピールにもなります。

不正利用およびチャージバックのリスクを軽減できる

本人認証サービスは、不正利用やチャージバックのリスクを減少させます。

チャージバックとは、不正利用、商品の未発送、届いた商品の破損といった理由で利用者が決済に対して同意しない場合に、クレジットカード会社が売上を取り消して、利用者に返金する仕組みです。

これはカードの利用者を守るための仕組みですが、チャージバックが発生すると事業者は商品・サービスを提供しているにもかかわらず入金されないため損失を被ります。不正利用の場合は、カード会社の調査への協力や警察へ被害届の提出といった労力も費やすことになるデメリットもあります。

チャージバックによる損失を回避するためには、3Dセキュアの導入が重要です。不正利用の発生が完全になくなるわけではありませんが、3Dセキュアを導入していればチャージバックが発生しても取り消された売上を加盟店が負担する事態を避けられる場合があります。

ただし、3Dセキュア 2.0(EMV3Dセキュア)に移行済みのカード発行会社においては、2022年10月以降の3Dセキュア1.0のサポート終了後は、3Dセキュア 1.0での本人確認済み取引でもチャージバック補償の対象外となってしまうので注意が必要です。

このように、本人認証サービスの導入は不正利用のリスクを軽減し、顧客はもちろん事業者の利益を守ることにもつながります。

本人認証サービスはセキュリティに優れている一方で、注意点もあります。

まず、利用者があらかじめ本人認証サービスの設定をしていないと本人認証が行われないため、顧客に設定を促すように周知を徹底することが必要です。また、設定が完了していても、IDやパスワードの使いまわしによるセキュリティリスクや、利用者がIDやパスワードを忘れてしまうことで販売機会を逸失するリスクは残ります。

3Dセキュア 1.0の最大の課題のひとつは、前述した通り、ECサイトで顧客が商品をカートに入れたまま離脱してしまう、いわゆる「かご落ち」でした。3Dセキュア 2.0では、決済ごとに発行されるワンタイムパスワードや生体認証を利用することで固定のパスワードを覚える手間を減らすので、かご落ちリスクが減少することが期待されています。

「クレジットカード・セキュリティガイドライン」では、不正利用対策として本人認証以外にもさまざまな方法が推奨されています。ここでは3つの対策を紹介します。

券面認証(セキュリティコード)

クレジットカードには、裏面または表面に3桁または4桁のセキュリティコードが印字されています。券面認証とは、決済時にこのセキュリティコードとカード番号のどちらも入力させる方法です。この仕組みを導入すれば不正利用を防止する効果が一定程度期待できます。

券面認証は100%普及しており、パスワードのように利用者が失念する懸念はありません。しかし、クレジットカードそのものの盗難や「バックドア※1」を使って不正にアクセスされればカード情報とともに盗まれてしまう恐れもあるため、3Dセキュアや以下で紹介するその他の不正利用対策と組み合わせて利用するのがおすすめです。

※1: 悪意のある攻撃者が、コンピュータやサーバに不正アクセスするために仕込む侵入経路。

なお、以下の表の通り、コードの名称や印字箇所はカード会社によって異なります。

ブランド 名称 印字箇所 桁数
VISA CVV2(Card Verification Value) 裏面 3桁
Mastercard CVC2(Card Validation Code) 裏面 3桁
JCB セキュリティコード 裏面 3桁
American Express CID(Card Identification Number) 表面 4桁
Diners Club セキュリティコード 裏面 3桁

不正検知システム(属性・行動分析)

不正検知システムとは、氏名、クレジットカード番号、メールアドレス、利用者のデバイス情報、IPアドレス、過去の取引情報、取引頻度といった情報を多面的に検証して不正利用リスクを事前に検知する仕組みで、不正検知サービスとして各社から提供されています。

不正利用の手口や傾向は、業種や商材によって異なり日々変化しています。そのため、事業者に合わせて細かく条件を設定した上で、できる限りリアルタイムで調整し続けることが大切です。

配送先情報

不正利用時の配送先情報を蓄積し、取引成立後であっても商品などの配送を事前に止めることで不正利用被害を防止する手法もあります。自社のみのデータでは情報量が足りないため、クレジットカード・セキュリティガイドラインでは外部の実績あるサービスを利用することが有効とされています。なお、DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)でもオプションとしてご提供しています。

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は、金融機関に求められる高度なセキュリティ環境・管理体制のもと、事業者様へ決済サービスを提供しています。

「VeriTrans4G」は、クレジットカードを含め、ECに必要な決済手段を一括導入できるマルチ決済サービスです。この決済システムではクレジットカード決済のセキュリティオプションとして本人認証サービスの「セキュリティコード認証」を標準提供しているほか、3Dセキュア2.0の利用を推奨しています。

また、DGフィナンシャルテクノロジーの不正検知サービスは、事業者の業種・商材や、不正利用の発生状況、予算などに応じて5種類から選択でき、不正被害やチャージバックのリスクを高い確率で抑止します。クレジットカード決済の安全性と利便性を高めたい事業者様は導入を検討されてはいかがでしょうか。

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は、サイト内で全カードブランドについて3Dセキュア 2.0(EMV3Dセキュア)の接続仕様を公開しており、サービスは順次提供を開始する予定です。詳細はお問合せください。

■3Dセキュア 2.0の接続仕様のご確認はこちらから
■3Dセキュア 2.0に関するお問い合わせ

公開日 2020/10/13、更新日 2022/10/05

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。