「クレジットカードの不正利用による売上取消しを防ぎたい」
「2025年3月の義務化に備えて早めに3Dセキュアを導入したい」
「3Dセキュア1.0から2.0に移行しないと困ることはあるの?」
ECサイトのクレジットカード決済に関して、上記のような悩みを抱えていませんか。クレジットカードの不正利用が増加していることを受けて、経済産業省は本人認証サービスである3Dセキュア2.0の導入を義務付けました。2025年3月末が期限に設定されているため、早めに準備する必要があります。
そこで本記事では、3Dセキュアの仕組みや最新の2.0と1.0の違い、本人認証サービスをECサイトに導入するメリットを解説します。導入方法や注意点も理解できる内容になっているので、まだ3Dセキュア2.0への変更対応を行っていない企業担当の方は、ぜひ確認してください。
自社ECサイトの運営で必須な7つのチェックリスト
無料で資料を受け取る
Contents
クレジットカードの3Dセキュアとは?ECサイトへの導入が義務化された背景を解説
3Dセキュアは、クレジットカードの不正利用防止を目的に開発されました。ここでは3Dセキュアの仕組みと、ECサイトへの導入が義務化された背景を解説します。
1. 3Dセキュアとは
3Dセキュアとは、ネットショッピングのクレジットカード決済を安全に行うための本人認証サービスです。ECサイトが3Dセキュアを導入している場合、クレジットカードのIDとパスワードが一致しないと決済に失敗して商品を購入できないようになっています。
3Dセキュアの規格を定めているのは、有名国際ブランド6社で構成された組織の「EMVco」です。EMVcoに参画している国際ブランドは以下のとおりです。
- VISA
- Mastercard
- JCB
- American Express
- Diners Club
- 銀聯
3Dセキュア1.0は1999年に開発されましたが、EMVcoによって改良されて現在は3Dセキュア2.0が提供されています。
2. ECサイトへの導入が義務化された背景
一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は2014年の114億円から増加の一途をたどっています。2022年は436億円にのぼり、その内の94.3%である411.7億円を番号盗用による被害が占めている状況です。2014年の番号盗用による被害額は67.3億円だったため、9年間で約6倍になっていることがわかります。
適切に本人認証が行われないネットショッピングでのクレジットカード決済では、券面番号とセキュリティコードがわかってしまうと簡単に不正利用が可能です。紛失やフィッシングサイトへのクレジットカード情報の入力を原因とする、不正利用の防止を目的に3Dセキュアの提供が開始されました。
それでもECサイトが3Dセキュアを導入していない場合、不正利用のリスクは残り続けます。そこで、経済産業省はクレジットカードの不正利用対策として、2025年3月末までに最新の本人認証サービスである3Dセキュア2.0の導入を義務化しました。
3Dセキュア2.0の仕組みと1.0との違い
3DセキュアをECサイトで利用している場合でも、2.0の変更点がわからない方は多いです。ここでは3Dセキュア2.0の概要を説明した後に、1.0から変わった点も紹介します。
1. 3Dセキュア2.0の仕組み
3Dセキュア2.0は、以下のような流れで本人認証を実施しています。
- 顧客がインターネット上でクレジットカードの情報を入力
- 不正利用のリスクを検知すると本人認証パスワード入力画面を表示
- ワンタイムパスワードの入力や生体認証を実施
- 本人確認が取れると商品の購入が完了
決済時に不正利用が疑われるケースのみ、クレジットカードのIDやパスワードの入力を求めるリスクベース認証が、新しい機能として搭載されています。これは、クレジットカードの利用履歴や利用端末(スマホ・パソコン・タブレットなど)をリアルタイムで分析することによって、実現されています。
- 普段利用しないオンラインショップでの高額決済
- 配送先住所の突然の変更
- 利用履歴のない端末からの注文
上記のような異常を検知した場合のみ、本人認証が実施される仕組みです。
2. 3Dセキュア2.0と1.0の違い
3Dセキュア2.0 | 3Dセキュア1.0 | |
リスクベース認証 | 採用 | 不採用 |
本人認証 | ワンタイムパスワード | IDとパスワード |
生体認証 | 対応 | 非対応 |
3Dセキュア1.0は、購入する度にパスワードの入力を求められます。一方、リスクベース認証を採用した3Dセキュア2.0で本人認証が必要なのは、不正利用のリスクを感知した場合のみです。
またクレジットカードのIDやパスワードがわからなくて、購入を途中で辞めてしまう顧客は多いです。そのため、これらの情報入力が必要な3Dセキュア1.0の認証には、カゴ落ちのリスクがともないます。
しかし、3Dセキュア2.0はワンタイムパスワードや生体認証(顔認証・指紋認証)に対応しているため、IDやパスワードを覚えていなくても本人認証が完了できます。ワンタイムパスワードとは、登録電話番号やメールアドレスに届く使い捨ての暗号のことです。このように安全性を高めながら、カゴ落ち対策にもなっている仕組みです。
カゴ落ちについては関連記事の「カゴ落ちとはカートに入れた商品を購入せず離脱されること!サイトを離れる理由と対策を紹介」にて詳しく解説しているので、ぜひ参考にしてください。
ECサイトにクレジットカードの3Dセキュア2.0を導入しなければならない理由
「義務化期限の2025年3月末までに3Dセキュア2.0を導入すれば問題ない」と考えている方は多いです。しかし、対応が遅れるとセキュリティ上のリスクがあるため、なるべく早めに導入することをおすすめします。ここでは、ECサイトが3Dセキュア2.0を導入しなければならない理由を解説します。
1. チャージバックのリスクを軽減できるため
3Dセキュア2.0を導入すれば、ECサイトはチャージバックのリスクを軽減可能です。チャージバックとは、クレジットカードを保有する顧客が利用代金の支払いに同意しない場合に、クレジットカード会社がその決済にともなう売上を取り消すことです。
「第三者による不正利用」「商品の未発送」「商品の破損」から顧客を守る仕組みであるチャージバックが発生すると、ECサイトは売上代金をクレジットカード会社に返還します。そのうえ発送した商品は返還されないため、ECサイトに残るのは損失だけです。
不正利用がチャージバックの主な要因になっているため、本人認証サービスの導入によってリスクを抑えられます。また、万が一不正利用によるチャージバックが発生した場合でも、3Dセキュア2.0を導入しているECサイトは返金対応が不要です。その場合の顧客への返金は、クレジットカード会社が行います。
2022年9月までは3Dセキュア1.0を導入しているECサイトにも、補償サービスは適用されていました。しかし、2022年10月以降は3Dセキュア2.0に限定されているため、損失を防ぐには移行が必須です。
2. 不正利用防止の強化につながるため
3Dセキュア1.0では、券面番号と有効期限、セキュリティコードを入力すると本人認証が行われます。遷移先の画面でクレジットカードのIDとパスワードを入力した時点で決済が完了するため、すべての情報がわかると不正利用が可能でした。
つまり、顧客はフィッシングサイトにこれらの情報を入力すると、3Dセキュア1.0を導入しているECサイトでは第三者に使用されるリスクがあります。しかし3Dセキュア2.0の認証は、1度利用すると効力が消える「ワンタイムパスワード」もしくは生体認証で行われます。
そのため、万が一フィッシングサイトにクレジットカード情報を入力してしまっても、3Dセキュア2.0を導入しているECサイトでは第三者による不正利用は難しいです。不正利用が発生しにくい体制を整えておくことで、顧客は安心してECサイトを利用可能です。
本人認証サービスの導入をECサイト内に掲載しておけば、顧客から信頼してもらえる可能性が高まります。
セキュリティ対策については関連記事の「ECサイトに導入すべき5つのセキュリティ対策!事故が発生する要因も解説」にて詳しく解説していますので、ぜひ参考にしてください。
3Dセキュア2.0を導入する際の3つの注意点
ここでは、ECサイトに3Dセキュア2.0を導入する際の注意点を紹介します。導入後にギャップを感じないよう、事前に確認しておきましょう。
1. カゴ落ちのリスクがある
リスクベース認証を導入している3Dセキュア2.0ですが、カゴ落ちのリスクは完全にはなくなっていません。認証が必要になった場合に、ワンタイムパスワードを取得できないことがあるからです。ワンタイムパスワードを正常に取得できない原因として、以下の理由が考えられます。
- 迷惑メールに振り分けられている
- 電波が悪くてメールの受信が遅い
- 機種変更によって電話番号やメールアドレスが変わった
また、ワンタイムパスワードの確認や入力が面倒になり、購入画面から離脱するケースもあります。
2. 不正利用から100%守れるわけではない
3Dセキュア2.0は不正利用の防止に役立ちますが、100%被害から守れるわけではありません。そもそもクレジットカード会社が、3Dセキュア2.0を導入していないケースがあります。
ECサイトのセキュリティを万全にしたい場合は、不正検知サービスの利用がおすすめです。不正検知サービスとは、第三者によるクレジットカードの利用や「なりすまし」のような不正取引を、事前に検知するセキュリティ技術です。3Dセキュア2.0非対応のクレジットカードが利用できる状況であれば、不正検知サービスの導入を検討しましょう。
3. 導入には手間と時間がかかる
3Dセキュアを導入する場合、ECサイトが追加で行う業務が多く、導入に向けた手続きの完了までに、かなりの手間と時間を要します。
まずリスクベース認証のために顧客情報を第三者であるカード会社に伝えるため、ユーザーからの同意が必要です。そして、リスクベース認証に必要な顧客情報を国際ブランドを経由し、リアルタイムでカード会社と共有できる3Dセキュアサーバーの運用も必須になります。
そこでおすすめなのが、これらの業務を代わりにやってくれる決済代行サービスや、ECコンサルタントのような外部組織へ依頼することです。3Dセキュア機能をスムーズに導入でき、効率的なECサイト運営が可能になります。
3Dセキュア2.0をECサイトに導入する相談をしたいならFORCE-R
3Dセキュア2.0の導入には手間と時間がかかるため、外部組織への依頼がおすすめです。FORCE-Rでは、ECサイトのセキュリティ管理に詳しいコンサルタントが、本人認証サービスの導入をサポートします。
「3Dセキュアの導入義務化に向けて2024年中に準備したい」とお悩みの方は、FORCE-Rへご相談ください。過去の運用実績などの所定の条件を満たした者のみをコンサルタントに起用しているため、3Dセキュア2.0に限らずより高度な戦略提案が可能です。
まとめ|3Dセキュア2.0の完全義務化に向けて早めに準備しよう
経済産業省によって、2025年3月末までにクレジットカード決済を安全に行うための3Dセキュアの導入が義務化されました。不正利用の防止につながり、チャージバックやカゴ落ちを防げるメリットがあります。
ただ導入には手間と時間がかかるため、期限間近まで先送りにしている企業は多いです。スムーズに導入してEC事業に専念したい方は、お気軽にFORCE-Rへご相談ください。経験豊富なコンサルタントが、本人認証サービスの導入をサポートいたします。