【2022年10月から】3Dセキュア 2.0(EMV3Dセキュア)への切替え進む!加盟店がすべき対応

2021/09/27

2016年6月に本人認証サービス「3Dセキュア」の新バージョンである「3Dセキュア 2.0(EMV3Dセキュア)」の仕様が発表されました。3Dセキュア 2.0(EMV3Dセキュア)はAmerican Express、Discover、JCB、MasterCard、銀聯、Visaの国際ブランド6社で構成された、クレジットカード決済の安全性向上と普及促進を図る機関「EMVco」によって規格が定められています。

2021年8月現在、3Dセキュア 1.0を利用することは可能ですが、クレジットカード業界全体で3Dセキュア 2.0(EMV3Dセキュア)への切り替えを推進しています。3Dセキュア 1.0では導入加盟店でのチャージバック負担がありませんでしたが、各カードブランドで3Dセキュア 2.0(EMV3Dセキュア)への切替え期限が定められています。それ以降対応していない場合、加盟店がチャージバック負担を追う必要があるため、ECサイトやオンラインサービスの加盟店は早めに対応しておくことが重要です。

本コラムでは、3Dセキュア 1.0とEMV3Dセキュア(EMV3Dセキュア)の違いや主な変更点、メリット、移行方法などを解説します。

そもそも本人認証サービス「3Dセキュア」とは?

3Dセキュアとは、オンライン上でのクレジットカード情報の不正利用を防ぎ、カード決済をより安全に行うために、国際ブランドが推奨する本人認証サービスです。3Dセキュアは、クレジットカードのセキュリティ向上を目標に毎年改訂されてきた「実行計画」の後継文書「クレジットカード・セキュリティガイドライン2.0版」が定める、オンラインでのクレジットカード決済の不正利用対策の一つとして指定されています。

出典:一般社団法人日本クレジット協会『クレジットカード・セキュリティガイドライン【2.0 版】』

ECサイト事業者が気を付けたいチャージバック対策として必須

3Dセキュアは、ECサイト運営で発生するチャージバック対策として不可欠です。

そもそもチャージバックとは、「第三者による不正利用」「商品の未発送」「届いた商品の破損」といった理由で利用者がクレジットカード取引に対して同意しない場合に、カード会社が売上を取り消して、利用者(カード所有者)に返金する仕組みを指します。

チャージバックはカード利用者を守るための仕組みである一方、事業者にとっては、チャージバックが発生すると商品・サービスを提供しているにもかかわらず、売上が入金されないため損失を被ってしまうリスクもあります。不正利用が発生した場合は、カード会社の調査への協力や警察への被害届の提出といった労力が生じるのも問題です。

事業者がチャージバックによる損失を回避するためには、3Dセキュアの導入が必須といえます。3Dセキュアを導入していれば不正利用を防止することにつながるだけでなく、不正利用によるチャージバックが発生しても、決済時に3Dセキュアによる本人確認がされていれば、損失を加盟店が負担する事態を回避できる可能性が高まるためです。

現行の3Dセキュア 1.0が抱える課題

現状利用されているのは3Dセキュア 1.0というバージョンですが、3Dセキュア 1.0には以下のような問題がありました。

  • 全取引でID・パスワードによる認証が必要でカード会社の認証画面に遷移するため、認証フローの途中で利用者が離脱してしまう「カゴ落ち」リスクが高い
  • 利用者自身が設定したID・パスワードを忘れてしまうと決済できない
  • ID・パスワードが流出すると不正利用されてしまう(フィッシングのリスク)
  • 近年利用が増えているスマホアプリ内課金では非推奨
■3Dセキュア 1.0の仕組み
3Dセキュアとは

次世代規格の3Dセキュア 2.0(EMV3Dセキュア)は、このような課題を克服すべく誕生したものです。利用者と事業者双方の利便性を高めるとともに、クレジットカードの不正利用を防止する機能も改善されており、今後の普及が期待されています。

3Dセキュア 2.0(EMV3Dセキュア)への移行は急速に進んでいる

3Dセキュア 1.0では、認証済取引に関してクレジットカード会社がチャージバックを補償する「ライアビリティシフト」という制度があります。しかし、現在複数の国際ブランドが2022年10月までに、この3Dセキュア 1.0におけるライアビリティシフトやサポート自体を終了することを発表しています。

つまり、3Dセキュア 2.0(EMV3Dセキュア)に移行済みのカード発行会社と契約している場合、2022年10月を過ぎると、カードの不正利用発生時は3Dセキュア 1.0での本人確認が実施されている取引であってもチャージバック補償の対象外となってしまうのです。

各カード発行会社では加盟店に対して3Dセキュア 2.0(EMV3Dセキュア)への切替えを依頼しており、加盟店も早期対応が求められています。

また、加盟店が3Dセキュア 1.0に対応していても、3Dセキュア1.0に対応していないカード発行会社のカードを利用した取引で不正利用があった場合、VISAは2021年10月16日から、MasterCardは2021年10月1日から実質加盟店のリスク負担となります。

大半のカード発行会社が2022年10月までは3Dセキュア 1.0への対応を継続する見込みではあるものの、経過途中で意向を変更するカード発行会社が発生する可能性があります。
また、海外のクレジットカード会社の3Dセキュアへの対応の有無までを判別できないことを考慮すると、特に海外取引が多い加盟店ではチャージバックリスクが大きくなることが予想されるため、3Dセキュア 2.0(EMV3Dセキュア)への早めの移行が推奨されます。

3Dセキュア 1.0と2.0の違い・変更点|3Dセキュア 2.0(EMV3Dセキュア)のメリットは?

3Dセキュア 1.0 3Dセキュア 2.0
認証方式 利用者が設定したID・パスワードを入力 ワンタイムパスワード、生体認証(指紋・顔)、QRコードスキャンなど
認証が必要なケース 全取引 カード発行会社が高リスクだと判断した場合のみ(リスクベース認証)
モバイル対応 ブラウザ取引のみ推奨、アプリ非推奨 アプリ対応により利便性向上、認証強化
非決済分野への対応 非対応 モバイルウォレットのカード登録など決済を伴わない取引にも対応

利便性・セキュリティに優れた認証方法に対応

3Dセキュア 1.0では、クレジットカード利用者が事前にID・パスワードを設定した上で、決済時にそれを入力して追加認証する方式でした。

一方、3Dセキュア 2.0(EMV3Dセキュア)では、SMSやアプリを用いたワンタイムパスワードや、指紋や顔などの生体認証、モバイル端末によるQRコードスキャンなど、さまざまな認証方法に対応しています。このように、スムーズな認証手段が取り入れられながらも、より本人確認が厳重となることで、利便性とセキュリティが向上しました。

認証プロセスにおけるカゴ落ちリスクの軽減

3Dセキュア 1.0では、全取引において別画面に遷移したりポップアップウィンドウを表示したりして、利用者にID・パスワードを入力してもらい追加認証を行う必要がありました。

この方法では認証フローが煩雑であり、また利用者が設定していたID・パスワードを忘れてしまうと決済できないため、決済の途中で離脱してしまういわゆる「カゴ落ち」のリスクが高い状況でした。

3Dセキュア 2.0(EMV3Dセキュア)では、PC・スマートフォンのデバイスからIPアドレス・OS・ブラウザなどの情報を取得して、カード発行会社が高リスクだと判断した場合のみ追加認証する「リスクベース認証」を採用しています。

Visaによると、全取引のうち95%は低リスクとして追加認証なしの「フリクションレス・フロー」で認証が完了すると説明しています。追加認証が必要な「チャレンジ・フロー」の場合でも、SMSやアプリを活用したワンタイムパスワードや生体認証を行うことでスムーズに認証が完了するとされています。

Visaの発表では、決済処理時間は85%短縮し、カゴ落ち率は70%改善したとされています
UI/UX(ユーザー側の表示・入力の仕組みやユーザーの体験)が改善され、カゴ落ち率の大幅な低減が期待できるといえるでしょう。

出典:Visa『3-D Secure 2.0』

■3Dセキュア 2.0(EMV3Dセキュア)セキュアでの処理フロー
3Dセキュア 2.0(EMV3Dセキュア)セキュアでの処理フロー図

スマホアプリでの認証が可能に

3Dセキュア 1.0ではiOSやAndroidなどスマホ・タブレットのモバイルアプリ内での認証は非推奨とされていましたが、3Dセキュア 2.0(EMV3Dセキュア)では可能になりました。モバイルアプリ用のSDK(ソフトウェア開発キット)が用意されており、加盟店は簡単にモバイルアプリに3Dセキュア 2.0(EMV3Dセキュア)を実装することが可能です。

現在はECサイトをモバイルアプリ化した「ECアプリ」も普及していますが、「決済時のセキュリティが心配で導入に踏み切れない」「より決済の安全性を高めたい」という事業者でも、3Dセキュア 2.0(EMV3Dセキュア)を導入することで便利かつ安全性の高い決済手段を提供しやすくなっています。

※DGフィナンシャルテクノロジーではスマホアプリでの認証の対応時期は未定となっております。

3Dセキュア 2.0(EMV3Dセキュア)に対応するために加盟店がやるべきこと

個人情報保護法への遵守対応

3Dセキュア 2.0(EMV3Dセキュア)では決済に必要な情報に加え、リスクベース認証を実現するためにデバイス情報や属性情報など、個人情報または個人情報になり得る情報を扱います。

そのため加盟店は個人情報保護法で定めるところの「個人情報取扱事業者」として、自社のサービス上で利用者から同意を取得する必要があります。

システム開発(ECサイトとの連携)

3Dセキュア 2.0(EMV3Dセキュア)と現行の3Dセキュア 1.0は仕様が異なるため、加盟店側で作業が発生する場合があります。

また、3Dセキュア 2.0の利用に際し、コストが発生する可能性もあるため、3Dセキュア 2.0(EMV3Dセキュア)の導入や1.0から2.0への移行において必要な対応や料金についてはご利用の決済代行会社に確認が必要です。

3Dセキュア1.0のサポート終了期限

2021年6月現在、クレジットカードの主要国際ブランド各社で公表されているスケジュールは以下の通りです。

ブランド名 3Dセキュアのサービス名 3Dセキュア 1.0サポート終了時期
Visa 3-D Secure 2022年10月15日まで
Mastercard Mastercard ID Check® 2022年10月13日まで
JCB J/Secure™ 2022年後半以降2023年までに終了
American Express SafeKey 2022年10月までに終了
Diners Club ProtectBuy 未定

出典:
Visa『Visa Will Discontinue Support of 3-D Secure 1.0.2』
Mastercard『Mastercard® Authentication Best Practices』
三菱UFJニコス『本人認証サービス(3Dセキュア)/新バージョン(EMV3Dセキュア)への切り替えのお願い』
JCB『J/Secure™』
American Express『American Express SafeKey® Frequently Asked Questions』

3Dセキュア 2.0(EMV3Dセキュア)への対応もDGフィナンシャルテクノロジーにお任せください

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は、サイト内で全カードブランドについて3Dセキュア 2.0(EMV3Dセキュア)の接続仕様を公開しており、サービスは順次提供を開始する予定です。詳細はお問合せください。

■3Dセキュア 2.0の接続仕様のご確認はこちらから
■3Dセキュア 2.0に関するお問い合わせ
      
セキュリティ
お気軽にお問い合わせ・ご相談ください
決済代行、越境EC、EC総合支援サービスの導入なら決済代行専業会社のDGフィナンシャルテクノロジー(旧:ベリトランス)へ。お急ぎの場合はお電話にてご連絡ください。

受付時間 平日10:00〜16:00 03-6367-1510

  • 資料請求
  • お問い合わせ

    すぐにお見積り送付!

    すぐにお見積り送付!

  • 試用プログラム

【ご案内】ベリトランスはDGフィナンシャルテクノロジー(DGFT)に社名変更しました。また、グループ会社イーコンテクストの決済事業も承継し、DGFTにて提供しております。