3Dセキュア 2.0(EMV3Dセキュア)への切替え進む!加盟店がすべき対応

2022/09/21

3Dセキュア 2.0(EMV3Dセキュア)はAmerican Express、Discover、JCB、MasterCard、銀聯、Visaの国際ブランド6社で構成された、クレジットカード決済の安全性向上と普及促進を図る機関「EMVco」によって規格が定められています。

クレジットカード業界全体で遅くとも2022年10月までに3Dセキュア 2.0(EMV3Dセキュア)への切り替えを推進しています。3Dセキュア 1.0では導入加盟店でのチャージバック負担がありませんでしたが、各カードブランドで3Dセキュア 2.0(EMV3Dセキュア)への切替え期限が定められています。それ以降対応していない場合、加盟店がチャージバック負担を追う必要があるため、ECサイトやオンラインサービスの加盟店は2022年10月までに対応しておくことが重要です。

本コラムでは、3Dセキュア 1.0とEMV3Dセキュア(EMV3Dセキュア)の違いや主な変更点、メリット、移行方法などを解説します。

この記事の目次

3Dセキュアとは、オンライン上でのクレジットカード情報の不正利用を防ぎ、カード決済をより安全に行うために、国際ブランドが推奨する本人認証サービスです。3Dセキュアは、クレジットカードのセキュリティ向上を目標に毎年改訂されてきた「実行計画」の後継文書「クレジットカード・セキュリティガイドライン3.0版」が定める、オンラインでのクレジットカード決済の不正利用対策の一つとして指定されています。

出典:一般社団法人日本クレジット協会『クレジットカード・セキュリティガイドライン【3.0 版】』

ECサイト事業者が気を付けたいチャージバック対策として必須

3Dセキュアは、ECサイト運営で発生するチャージバック対策として不可欠です。

そもそもチャージバックとは「第三者による不正利用」「商品の未発送」「届いた商品の破損」といった理由で利用者がクレジットカード取引に対して同意しない場合に、カード会社が売上を取り消して、利用者(カード所有者)に返金する仕組みを指します。

チャージバックはカード利用者を守るための仕組みである一方、事業者にとっては、チャージバックが発生すると商品・サービスを提供しているにもかかわらず、売上が入金されないため損失を被ってしまうリスクもあります。不正利用が発生した場合は、カード会社の調査への協力や警察への被害届の提出といった労力が生じるのも問題です。

事業者がチャージバックによる損失を回避するためには、3Dセキュアの導入が必須といえます。3Dセキュアを導入していれば不正利用を防止することにつながるだけでなく、不正利用によるチャージバックが発生しても、決済時に3Dセキュアによる本人確認がされていれば、損失を加盟店が負担する事態を回避できる可能性が高まるためです。

3Dセキュア 1.0における課題

これまでの3Dセキュア 1.0では以下のような課題がありました。

  • 全ての取引でID・パスワードによる認証が必要でカード会社の認証画面に遷移するため、認証フローの途中で利用者が離脱してしまう「カゴ落ち」リスクが高い
  • 利用者自身が設定したID・パスワードを忘れてしまうと決済できない
  • ID・パスワードが流出すると不正利用されてしまう(フィッシングのリスク)
  • 近年利用が増えているスマホアプリ内課金では非推奨
■3Dセキュア 1.0の仕組み
3Dセキュアとは

次世代規格の3Dセキュア 2.0(EMV3Dセキュア)は、このような課題を克服すべく誕生したものです。利用者と事業者双方の利便性を高めるとともに、クレジットカードの不正利用を防止する機能も改善されており、今後の普及が期待されています。

3Dセキュア 2.0(EMV3Dセキュア)への移行は早急に

3Dセキュア 1.0では、認証済取引に関してクレジットカード会社がチャージバックを補償する「ライアビリティシフト」という制度があります。しかし、現在複数の国際ブランドが定めるサポート終了期限までに、この3Dセキュア 1.0におけるライアビリティシフトやサポート自体を終了することを発表しています。

つまり、3Dセキュア 2.0(EMV3Dセキュア)に移行済みのカード発行会社と契約している場合、サポート期限を過ぎると、カードの不正利用発生時は3Dセキュア 1.0での本人確認が実施されている取引であってもチャージバック補償の対象外となってしまうのです。

各カード発行会社では加盟店に対して3Dセキュア 2.0(EMV3Dセキュア)への切替えを依頼しており、加盟店も早期対応が求められています。

また、加盟店が3Dセキュア 1.0に対応していても、3Dセキュア1.0に対応していないカード発行会社のカードを利用した取引で不正利用があった場合、VISAは2022年10月14日まで、MasterCardは2022年10月17日までに切り替えていないと、実質加盟店のリスク負担となります。

また、海外のクレジットカード会社の3Dセキュアへの対応の有無までを判別できないことを考慮すると、特に海外取引が多い加盟店ではチャージバックリスクが大きくなることが予想されるため、3Dセキュア 2.0(EMV3Dセキュア)へ早急に移行することが推奨されます。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

3Dセキュア 1.0 3Dセキュア 2.0
認証方式 利用者が設定したID・パスワードを入力 ワンタイムパスワード、生体認証(指紋・顔)、QRコードスキャンなど
認証が必要なケース 全取引 カード発行会社が高リスクだと判断した場合のみ(リスクベース認証)
モバイル対応 ブラウザ取引のみ推奨、アプリ非推奨 アプリ対応により利便性向上、認証強化
非決済分野への対応 非対応 モバイルウォレットのカード登録など決済を伴わない取引にも対応

利便性・セキュリティに優れた認証方法に対応

3Dセキュア 1.0では、クレジットカード利用者が事前にID・パスワードを設定した上で、決済時にそれを入力して追加認証する方式でした。

一方、3Dセキュア 2.0(EMV3Dセキュア)では、SMSやアプリを用いたワンタイムパスワードや、指紋や顔などの生体認証、モバイル端末によるQRコードスキャンなど、さまざまな認証方法に対応しています。このように、スムーズな認証手段が取り入れられながらも、より本人確認が厳重となることで、利便性とセキュリティが向上しました。

認証プロセスにおけるカゴ落ちリスクの軽減

3Dセキュア 1.0では、全取引において別画面に遷移したりポップアップウィンドウを表示したりして、利用者にID・パスワードを入力してもらい追加認証を行う必要がありました。

この方法では認証フローが煩雑であり、また利用者が設定していたID・パスワードを忘れてしまうと決済できないため、決済の途中で離脱してしまういわゆる「カゴ落ち」のリスクが高い状況でした。

3Dセキュア 2.0(EMV3Dセキュア)では、PC・スマートフォンのデバイスからIPアドレス・OS・ブラウザなどの情報を取得して、カード発行会社が高リスクだと判断した場合のみ追加認証する「リスクベース認証」を採用しています。

Visaによると、全取引のうち95%は低リスクとして追加認証なしの「フリクションレス・フロー」で認証が完了すると説明しています。追加認証が必要な「チャレンジ・フロー」の場合でも、SMSやアプリを活用したワンタイムパスワードや生体認証を行うことでスムーズに認証が完了するとされています。

Visaの発表では、決済処理時間は85%短縮し、カゴ落ち率は70%改善したとされています
UI/UX(ユーザー側の表示・入力の仕組みやユーザーの体験)が改善され、カゴ落ち率の大幅な低減が期待できるといえるでしょう。

出典:Visa『3-D Secure 2.0』

■3Dセキュア 2.0(EMV3Dセキュア)セキュアでの処理フロー
3Dセキュア 2.0(EMV3Dセキュア)セキュアでの処理フロー図

スマホアプリでの認証が可能に

3Dセキュア 1.0ではiOSやAndroidなどスマホ・タブレットのモバイルアプリ内での認証は非推奨とされていましたが、3Dセキュア 2.0(EMV3Dセキュア)では可能になりました。モバイルアプリ用のSDK(ソフトウェア開発キット)が用意されており、加盟店は簡単にモバイルアプリに3Dセキュア 2.0(EMV3Dセキュア)を実装することが可能です。

現在はECサイトをモバイルアプリ化した「ECアプリ」も普及していますが、「決済時のセキュリティが心配で導入に踏み切れない」「より決済の安全性を高めたい」という事業者でも、3Dセキュア 2.0(EMV3Dセキュア)を導入することで便利かつ安全性の高い決済手段を提供しやすくなっています。

※DGフィナンシャルテクノロジーではスマホアプリでの認証の対応時期は未定となっております。

個人情報保護法への遵守対応

3Dセキュア 2.0(EMV3Dセキュア)では決済に必要な情報に加え、リスクベース認証を実現するためにデバイス情報や属性情報など、個人情報または個人情報になり得る情報を扱います。

そのため加盟店は個人情報保護法で定めるところの「個人情報取扱事業者」として、自社のサービス上で利用者から同意を取得する必要があります。

システム開発(ECサイトとの連携)

3Dセキュア 2.0(EMV3Dセキュア)と現行の3Dセキュア 1.0は仕様が異なるため、加盟店側で作業が発生する場合があります。

また、3Dセキュア 2.0の利用に際し、コストが発生する可能性もあるため、3Dセキュア 2.0(EMV3Dセキュア)の導入や1.0から2.0への移行において必要な対応や料金についてはご利用の決済代行会社に確認が必要です。

3Dセキュア1.0のサポート終了期限

2021年6月現在、クレジットカードの主要国際ブランド各社で公表されているスケジュールは以下の通りです。

ブランド名 3Dセキュアのサービス名 3Dセキュア 1.0サポート終了時期
Visa 3-D Secure 2022年10月14日まで
Mastercard Mastercard ID Check® 2022年10月17日まで
JCB J/Secure™ 2022年10月17日まで
American Express SafeKey 2022年10月13日まで
Diners Club ProtectBuy 2022年10月13日まで

出典:
Visa『Visa Will Discontinue Support of 3-D Secure 1.0.2』
Mastercard『Mastercard® Authentication Best Practices』
三菱UFJニコス『本人認証サービス(3Dセキュア)/新バージョン(EMV3Dセキュア)への切り替えのお願い』
JCB『J/Secure™』
American Express『American Express SafeKey® Frequently Asked Questions』

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は、サイト内で全カードブランドについて3Dセキュア 2.0(EMV3Dセキュア)の接続仕様を公開しています。詳細はお問合せください。

■3Dセキュア 2.0の接続仕様のご確認はこちらから
■3Dセキュア 2.0に関するお問い合わせ

公開日 2021/09/27、最終更新日 2022/09/21

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。