すべてのECサイト事業者が対象!EMV 3-Dセキュア(3Dセキュア2.0)が義務化へ。義務化のポイントと注意点を解説

2024/03/07

すべてのECサイト事業者が対象!EMV 3-Dセキュア(3Dセキュア2.0)が義務化へ。義務化のポイントと注意点を解説

原則すべてのECサイト事業者に対して、2025年3月末までにEMV 3-Dセキュア(3Dセキュア2.0)を導入することが義務づけられました。
期限までおよそ一年になった今、その具体的なガイドラインついて詳しく解説します。

(2024/3/21追記)
2024年3月15日に、クレジット取引セキュリティ対策協議会からクレジット・セキュリティガイドライン【5.0版】が公表されました。
本記事は主に、同ガイドラインにおけるEMV3-Dセキュア義務化の部分にフォーカスして解説するものです。
EC事業者様には、そのほかにもカード情報保護対策が求められますので、クレジットカードを取り扱っているEC事業者様は同ガイドラインに沿った適切なセキュリティ対策を行っていただきますようお願いいたします。

クレジット・セキュリティガイドライン【5.0版】原文はこちら
https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_5.0_published.pdf

この記事の目次

EMV3-Dセキュア(3Dセキュア2.0)とは?

EMV3-Dセキュア(3Dセキュア2.0)とは、クレジットカード決済時に本人認証を行うサービスのことです。
カード会社がカード利用者のデバイス情報などを用いて不正利用のリスク判断を行い、必要に応じてパスワード入力等を求めることで取引の安全性を高める仕組みです。

■本人認証サービスの仕組み
3Dセキュアとは

EMV 3-Dセキュアの仕組みや注意点について、詳しくは以下のページをご覧ください。

義務化に至った経緯

経済産業省は2023年1月に、クレジットカードのセキュリティ対策を強化する報告書を発表しました。
その内容は、

  1. カード情報の漏洩防止
  2. 不正利用防止
  3. 犯罪抑止・広報周知
を柱として、カード会社や決済代行会社、そしてECサイト事業者(以下EC加盟店)など、クレジットカード決済に関わるすべてのプレイヤーに実行的な対応を求めるものです。
そのなかに、2025年3月末までにすべてのEC加盟店に対してEMV 3-Dセキュアの導入を義務づける内容が明記されました。
また、2023年3月には、割賦販売法に基づき法的拘束力があるセキュリティガイドラインにも義務化の方針が明記されました。
これにより、原則すべてのEC加盟店は、クレジットカードの本人認証の有効な手段として、EMV3-Dセキュア(3Dセキュア2.0)を2025年3月末までに導入することが求められます。
それに伴い2023年9月には、クレジット取引セキュリティ対策協議会からEMV3-Dセキュアの導入に関するガイドラインが公表されています。
すでにクレジットカード決済を取り扱っているEC加盟店はもとより、これから取り扱う予定のECサイト事業者も、計画的な導入をする必要があります。

経済産業省の報告書はこちらからご覧いただけます。

クレジット取引セキュリティ対策協議会が公表した「EMV 3-Dセキュア導入ガイド 」はこちらからご覧ください。

EMV 3-Dセキュア義務化の背景には、キャッシュレス化の発展と、拡大し続けるクレジットカードの不正利用被害の実状があります。

進むキャッシュレス化

日本国内におけるキャッシュレス決済比率は、2021年に32.5%に達しています。国は2025年6月までに4割程度とすることを目指しており、今後も引き続き拡大することが見込まれます。
このキャッシュレス決済のうち、約9割がクレジットカードの取引です。また、社会のデジタル化や新型コロナウィルス禍を受けた巣ごもり需要の拡大によってEC取引は増え、2021年のECの市場規模は約21兆円にまで拡大しています。
これらに伴って、ECサイトでの主要な決済手段としてクレジットカードが利用される機会も増加しており、今後も増加が見込まれています。

ピークがみえない不正利用被害

一方、クレジットカードの不正利用被害額は近年増加傾向にあり、 2022年は過去最高の約436.7億円でした。2023年はさらに更新する見込みです。

■カード不正利用被害の発生状況(単位:億円)

出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』

不正に利用されているクレジットカード情報は、EC加盟店をはじめとしたクレジットカードの決済処理に関わる事業者からの漏えいだけでなく、近年はECサイトのカード決済の処理の仕組みを悪用してカード情報を割り出すクレジットマスターや、電子メールやSMS等を通じて利用者からカード情報を騙しとるフィッシングなどにより窃取されています。

このように、サイバー攻撃の手法の変化や、消費者のオンラインツールの利用機会の増加等により、クレジットカードの不正利用を招く原因となる盗用の手法も多様化・巧妙化しています。
このような背景から、クレジットカードの決済インフラとしての持続可能性を維持するためにも、対策の強化が喫緊の課題となっています。

クレジットマスターについて、詳しくは以下の記事をご覧ください。

クレジットカード決済に関わるそれぞれのプレイヤーに求められる具体的な対策は、前述のセキュリティガイドラインに詳しく示されていますが、EC加盟店に求められているのは大きくふたつです。

クレジットカードの不正利用対策

不正利用対策を強化するためにEMV3-Dセキュアが義務化されましたが、EC加盟店ができる不正利用の対策はほかにもあります。
以下に代表的な手法をご紹介します。

方策 特徴 利点と欠点
セキュリティコード カード裏面に印字されている数字によって、そのカードが本物であることを認証する手法。 利点:普及率100%、利用者が失念する心配がない、開発が軽い。
欠点:カードが本物であることは確認できても、利用者がカード会員本人かどうかまでは確認できない。
属性確認 利用者の属性情報(住所氏名など)とカード会社に登録しているカード会員の情報を照合する手法。 利点:利用者がパスワードを失念することなどを懸念することなく運用可能。
欠点:認証に時間がかかる(数時間~数日)。有償の場合がある。
配送先情報 不正利用に使われた住所のブラックリストと照合することで、商品の発送を事前に止める手法。 利点:独自にブラックリストを持たない小規模EC加盟店でも蓄積されたデータを使える。
欠点:有償の場合がある。
不正検知システム 利用者のデバイス情報やIPアドレスなど様々な情報を分析し、瞬時に不正リスクの程度を評価する手法。AIを使ったモデルも。 利点:疑わしい取引を即時に検知・排除できる。自社に最適な条件設定に調整できる。(※サービスによって異なる)
欠点:効果維持のためには継続的なチューニングによる最適化が必要。サービスによっては高コスト。
認証アシスト 利用者の属性情報を、決済処理の電文でカード会社に送信し、カード会社に登録しているカード会員の情報と照合する手法。 利点:利用者がパスワードを失念することなどを懸念することなく運用可能。
欠点:決済代行会社によっては非対応の場合がある。
目視検査 人の目によって疑わしい取引を検出する手法。 利点:今すぐできる。システム投資が不要。
欠点:人手が必要。すべての取引をチェックすることは物理的に困難。

DGフィナンシャルテクノロジーの不正検知サービスラインナップはこちら

上記のように、方策によって特徴が異なるため、自社が取扱う商材や販売手法に応じて有効な方策を取り入れることが大切です。
特に、高リスク商材を取り扱うEC加盟店(デジタルコンテンツ、家電、電子マネー、各種チケット、宿泊予約)は、この中から最低ひとつ(できれば複数)を導入することを強くお勧めします。

クレジットカード情報保護の対策

もうひとつはカード情報の保護です。
前述のとおり、クレジットカードの不正利用を招く原因となる、カード情報盗用の手法が多様化・巧妙化しています。
特に、ECサイトにおいて、システムの脆弱性対策やウイルス対策、管理者権限の管理、デバイス管理などの基本的なセキュリティ対策が実施されていないことにより、外部からの不正アクセスやウイルスの侵入、システム改ざんを許し、結果クレジットカード情報を不正に窃取される事案が多く発生しています。
そのため現在は、ECサイト事業者が新規に決済代行会社と契約をする際、適切なセキュリティ対策を実施していることをチェックリスト使って申告する取り組みが始まっています。
この動きは今後ますます重視されていく見通しで、EC加盟店は適切なセキュリティ対策を実施することによるカード情報の保護が求められています。

義務化の例外

クレジットカード取引と一口にいっても、その運用は様々です。要件を満たす一部の取引については、以下のとおり例外的にEMV3-Dセキュアの認証を行わないことが認められます。

要件 対象取引
EMV3-Dセキュアの利用ができないもの 利用者から電話やメールによりカード情報を受ける取引
ゲーム機やスマートスピーカーなど、EMV3-Dセキュアが利用できない機器での取引
取引可能な者が限定される措置がシステム的に講じられており、極めて不正利用が発生しづらいもの 契約主体が法人のクレジットカードに限定したサイトでのBtoB取引(法人間取引専用サイトなど)
イントラネット環境やIPアドレス制限により、不特定多数の者が利用できない取引(従業員専用サイトなど)
カード情報が通知(入力)される取引の次回以降に、利用者からカード情報の通知(入力)が行われない取引
※ただし、初回取引時(カード情報の登録時)や、契約内容変更、商品追加など、顧客接点が生じた場合はEMV3-Dセキュア認証が必要
定期的な商品・サービスの購入における同一のカード情報による継続的な支払い(いわゆるサブスクリプション)
チャージ型決済手段におけるオートチャージ
決済済みの取引において、EC加盟店側の事情による再オーソリ(予約商品の金額確定時決済など)

ただし、上記に該当する取引であっても、第三者による不正利用が発生した場合はチャージバックとなり、EC加盟店側の負担が発生しますので注意が必要です。

チャージバックについて、詳しくは以下の記事をご覧ください。

導入までのロードマップ

クレジット取引セキュリティ対策協議会は2023年11月に導入推進のロードマップを公表し、EC加盟店の不正利用リスクに応じて優先順位が設定されました。
最も優先順位が高いのは不正利用が多発しているECサイトで、次いで過去に不正利用が発生したことがあるECサイト、その次に不正利用は発生していないが、換金性の高い商材を扱っているECサイト、の順となっています。
いずれのEC加盟店も2025年3月末までに導入しなければならないため、計画的な準備が求められます。

クレジット取引セキュリティ対策協議会が公表したロードマップはこちら

もし導入しなかったらどうなる?

割賦販売法においては、EMV3-Dセキュアの導入についての罰則規定はありませんが、行政の措置としてEC加盟店に対して報告徴収や立入検査を行うことができる規定があります。
また、セキュリティ対策が不十分なEC加盟店は、カード会社などによる調査を通じて、必要な措置を早急に講じるよう指導が行われることがあります。
そのような指導にもかかわらず必要なセキュリティ対策が講じられない場合は、最悪の場合クレジットカードの加盟店契約が解除される可能性があります。

EMV 3-Dセキュアを導入するには、ご契約とECサイトへのシステム実装が必要になります。
DGフィナンシャルテクノロジーはEMV 3-Dセキュアへの対応をサポートしています。
詳細はお問合せください。

公開日 2020/10/13、更新日 2024/03/07

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。