更新日|2025/11/14
EMV3-Dセキュア(3Dセキュア2.0)とは、クレジットカード決済時に本人認証を行うサービスのことです。
カード会社がカード利用者のデバイス情報などを用いて不正利用のリスク判断を行い、必要に応じてパスワード入力等を求めることで取引の安全性を高める仕組みです。
本コラムでは、EMV3Dセキュア(3Dセキュア2.0)の変更点、メリット、必須化された内容を徹底解説します。
この記事の目次
そもそも本人認証サービス「3Dセキュア」とは?
3Dセキュアとは、オンライン上でのクレジットカード情報の不正利用を防ぎ、カード決済をより安全に行うために、Visa、Mastercard、JCBなど国際ブランドが推奨する本人認証サービスです。
クレジットカード・セキュリティガイドラインでは「2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュアの導入を求める」との方針を出し、
原則すべてのEC加盟店は、クレジットカードの本人認証の有効な手段として、EMV3-Dセキュア(3Dセキュア2.0)を2025年3月末までに導入することが求められます。
ECサイト事業者が気を付けたいチャージバック対策として必須
3Dセキュアは、ECサイト運営で発生するチャージバック(※)対策として不可欠です。
※チャージバック:「第三者による不正利用」「商品の未発送」「届いた商品の破損」といった理由で利用者がクレジットカード取引に対して同意しない場合に、カード会社が売上を取り消して、利用者に返金する仕組みを指す。
チャージバックはカード利用者を守るための仕組みである一方、事業者にとっては、チャージバックが発生すると商品・サービスを提供しているにもかかわらず、売上が入金されないため損失を被ってしまうリスクもあります。不正利用が発生した場合は、カード会社の調査への協力や警察への被害届の提出といった労力が生じるのも問題です。
事業者がチャージバックによる損失を回避するためには、3Dセキュアの導入が必須といえます。3Dセキュアを導入していれば不正利用を防止することにつながるだけでなく、不正利用によるチャージバックが発生しても、決済時に3Dセキュアによる本人確認がされていれば、損失を加盟店が負担する事態を回避できる可能性が高まるためです。
3Dセキュア 1.0における課題
これまでの「3Dセキュア 1.0」では以下のような課題がありました。
- 全ての取引でID・パスワードによる認証が必要でカード会社の認証画面に遷移するため、認証フローの途中で利用者が離脱してしまう「カゴ落ち」リスクが高い
- 利用者自身が設定したID・パスワードを忘れてしまうと決済できない
- ID・パスワードが流出すると不正利用されてしまう(フィッシングのリスク)
- 近年利用が増えているスマホアプリ内課金では非推奨
EMV3-Dセキュア(3Dセキュア2.0)は、このような課題を克服すべく誕生したものです。
EMV3-Dセキュア(3Dセキュア2.0)への移行は必須
経済産業省は2023年1月に、クレジットカードのセキュリティ対策を強化する報告書を発表しました。 その内容は、
- カード情報の漏洩防止
- 不正利用防止
- 犯罪抑止・広報周知
を柱として、カード会社や決済代行会社、そしてECサイト事業者(以下EC加盟店)など、クレジットカード決済に関わるすべてのプレイヤーに実行的な対応を求めるものです。
そのなかに、2025年3月末までにすべてのEC加盟店に対してEMV 3-Dセキュアの導入を求める内容が明記されました。
また、2023年3月には、割賦販売法に基づき法的拘束力があるセキュリティガイドラインにも必須化の方針が明記されました。
これにより、原則すべてのEC加盟店は、クレジットカードの本人認証の有効な手段として、EMV3-Dセキュア(3Dセキュア2.0)を2025年3月末までに導入することが求められます。
それに伴い2023年9月には、クレジット取引セキュリティ対策協議会からEMV3-Dセキュア(3Dセキュア2.0)の導入に関するガイドラインが公表されています。
すでにクレジットカード決済を取り扱っているEC加盟店はもとより、これから取り扱う予定のECサイト事業者も、計画的な導入をする必要があります。
▽関連記事
すべてのECサイト事業者が対象!EMV 3-Dセキュア(3Dセキュア2.0)が必須化へ。必須化のポイントと注意点を解説
DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら
■EMV3-Dセキュア(3Dセキュア2.0)での処理フロー
EMV3-Dセキュア(3Dセキュア2.0)の注意点
EMV 3-Dセキュア(3Dセキュア2.0)の導入は全EC事業者で原則必須ですが、導入にあたっての注意点を解説します。
追加で取得する属性情報(デバイス情報等)は、個人情報に該当する可能性があるため、プライバシーポリシーの明示・同意取得が必須です。
利用には仕様変更が必要となる場合があるため、事前に自社のシステム要件との適合性を確認しましょう。
EMV3-Dセキュア(3Dセキュア2.0)を利用したクレジット決済の手順
利用者が実際どのような手順で決済を行うか、EMV 3-Dセキュア(3Dセキュア2.0)を利用した本人認証の流れについて解説します。
手順1:決済情報の送信
利用者が決済ページでカード情報(番号や有効期限)を入力すると、ユーザーのブラウザからカード会社に情報が送られます。
手順2:リスクベース認証を行い、不正利用のリスクを判定
カード会社がリスクベース認証(※)で不正利用のリスクを判断し、リスクが低いと判断された場合は追加認証を省略して与信取得に進みます。
※リスクベース認証:決済時のデバイス情報、取引内容、過去の利用履歴といった多角的な情報から、取引の不正利用リスクをリアルタイムに判定。リスクが低い場合は認証を省略し、高い場合のみ追加認証を要求することで、安全性と利便性を両立させる認証方式。
手順3:追加認証の有無を判断、チャレンジ認証
不正利用の疑いがある取引の場合は、EMV 3-Dセキュアによる本人認証画面が表示され、ワンタイムパスワードや生体認証により本人確認。認証成功後、与信取得に進みます。
EMV3-Dセキュア(3Dセキュア2.0)に対応するために加盟店がやるべきこと
EMV3-Dセキュア(3Dセキュア2.0)の申し込み
事業者は、EMV3-Dセキュア(3Dセキュア2.0)を利用する決済システム会社またはカートベンダー等に相談して申し込みます。ただし、アカウントにEMV3-Dセキュア(3Dセキュア2.0)の登録がされない場合は利用ができないため、注意が必要です。
個人情報保護法への遵守対応
EMV3-Dセキュア(3Dセキュア2.0)では決済に必要な情報に加え、リスクベース認証の精度を高めるためにデバイス情報や属性情報など、個人情報または個人情報になり得る情報を扱います。
そのため加盟店は個人情報保護法で定めるところの「個人情報取扱事業者」として、自社のサービス上で利用者から同意を取得する必要があります。
システム開発(ECサイトとの連携)
EMV3-Dセキュア(3Dセキュア2.0)と現行の3Dセキュア 1.0は仕様が異なるため、加盟店側で作業が発生する場合があります。
また、EMV3-Dセキュア(3Dセキュア2.0)の利用に際し、コストが発生する可能性もあるため、EMV3-Dセキュア(3Dセキュア2.0)の導入や1.0から2.0への移行において必要な対応や料金についてはご利用の決済代行会社に確認が必要です。
EMV3-Dセキュア(3Dセキュア2.0)への対応もDGフィナンシャルテクノロジーにお任せください
DGフィナンシャルテクノロジー(DGFT)は、サイト内で全カードブランドについてEMV3-Dセキュア(3Dセキュア2.0)の接続仕様を公開しています。詳細はお問合せください。
■3Dセキュア 2.0(EMV3-Dセキュア)の接続仕様のご確認はこちらから
■3Dセキュア 2.0(EMV3-Dセキュア)に関するお問い合わせ
3Dセキュア 2.0(EMV3-Dセキュア)に関するよくある質問
EMV 3-Dセキュア(3Dセキュア2.0)を導入しないとどうなる?
割賦販売法においては、EMV3-Dセキュアの導入についての罰則規定はありませんが、行政の措置としてEC加盟店に対して報告徴収や立入検査を行うことができる規定があります。
また、セキュリティ対策が不十分なEC加盟店は、カード会社などによる調査を通じて、必要な措置を早急に講じるよう指導が行われることがあります。
そのような指導にもかかわらず必要なセキュリティ対策が講じられない場合は、最悪の場合クレジットカードの加盟店契約が解除される可能性があります。
EMV 3-Dセキュア(3Dセキュア2.0)はなぜ必須化したのですか?
EMV 3-Dセキュア必須化の背景には、キャッシュレス化の発展と、拡大し続けるクレジットカードの不正利用被害があります。不正に利用されているクレジットカード情報は、EC加盟店をはじめとしたクレジットカードの決済処理に関わる事業者からの漏えいだけでなく、近年はECサイトのカード決済の処理の仕組みを悪用してカード情報を割り出すクレジットマスターや、電子メールやSMS等を通じて利用者からカード情報を騙しとるフィッシングなどにより窃取されています。
公開日 2021/09/27
関連情報
お問い合わせ