この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
ECサイトなどでクレジットカード決済を行う際、「本人認証」を行うことでより安全な決済が可能となります。その本人認証サービスとして利用されているのが、「3Dセキュア」です。
3Dセキュアは、安全性の高さから様々なクレジットカード会社で登録が推奨されています。従来使われていた「3Dセキュア1.0」はサービスが終了し、2016年に登場した最新版の「3Dセキュア2.0」が業界のスタンダードとなっています。
今回の記事では、クレジットカード決済の安全性を向上させる3Dセキュアについて仕組みやメリット、注意点を解説していきます。
3Dセキュア(本人認証サービス)とは?
「3Dセキュア」とは、ECサイトなどインターネット上でクレジットカード決済を行う際の本人認証サービスです。クレジットカードを使っているのが本人かどうかを確認するために活用され、第三者のなりすましによる不正利用を防ぎます。
クレジットカード決済の際にカード番号や有効期限の入力をしますが、カードさえあれば所有者本人でなくても入力できてしまいます。また、スキミングで番号を読みとられてしまうこともあり、安全面に課題が残ります。そこで追加で行われるのが、本人認証です。
3Dセキュアによる本人認証の代表的な方法は、以下の通りです。
- 認証パスワードの入力(事前にカード会社に登録したパスワード)
- ワンタイムパスワードの入力(一度だけ使えるパスワードで、登録した携帯電話番号やメールアドレスに本人認証時に送られてくる)
- パーソナルメッセージの入力(事前にカード会社に登録した合言葉)
- 生体認証(顔認証や指紋認証など)
2024年3月に発表された日本クレジット協会の調査によると、2023年通年のクレジットカードの不正利用被害額は540.9億円と過去最高でした。クレジットカードのセキュリティ対策が早急に求められます。
3Dセキュアの最新版「3Dセキュア2.0」は本人認証サービスの世界標準となっており、Visa・Mastercard・JCB・American Expressの国際ブランドに推奨されています。EC加盟店は、2025年3月末までに導入することが義務づけられています。
3Dセキュアとセキュリティコード(CVV)の違い
セキュリティコード(CVV)とは、「Card Vertification Value」の略で、クレジットカードの裏面にある3桁の数字のことです(American Express®は表面の4桁の数字)。カードが利用者の手元にあるかどうかを確認するために利用されます。
3Dセキュアとの共通点は、セキュリティ対策の一環として扱われていることです。どちらもカードの磁気ストライプには情報が入っていないため、スキミング防止に役立ちます。また、不正利用の判定をするのがEC事業者ではなく、クレジットカード会社であることも共通点です。
一方で3Dセキュアと異なる点は、セキュリティコードは本人認証ではないということです。磁気ストライプには情報が入っていないものの、カードにはセキュリティコードの数字が書かれており、カードが盗まれたら簡単に悪用されてしまいます。また、フィッシング詐欺によりセキュリティコードが盗まれてしまう危険性もあります。
本人認証を行っていないと、クレジットカードの不正利用があった場合にチャージバックが発生し、損害を被るのはEC事業者になります。セキュリティコードの入力は本人認証ではなく、旧バージョンの3Dセキュア1.0もサービスが終了しているためチャージバック補償の対象にはなりません。チャージバックのリスクに備えるためにも、3Dセキュア2.0の導入が求められます。
3Dセキュア2.0の仕組み
3Dセキュア2.0と、旧バージョン3Dセキュア1.0の相違点は以下の通りです。
| 3Dセキュア2.0 | 3Dセキュア1.0(サービス終了) |
本人認証の方法 |
| クレジットカードのIDとパスワードの入力 |
本人認証の対象 | 高リスクと判断されたインターネット上のクレジットカード決済のみ | インターネット上の全てのクレジットカード決済 |
使用可能なカードブランド |
|
|
3Dセキュア2.0の本人認証の方法は、ワンタイムパスワードや生体認証など、記憶しておく必要がないものもあり、スムーズに決済ができます。また、本人認証の対象が全てのクレジットカード決済ではないことも特徴です。仕組みは、以下の図の通りです。
カード発行会社が決済のリスクを判定し、高リスクと判断された決済に限定して認証を行います。決済時に毎回行う必要がなく、利用者の入力の手間が省けるため、サイト離脱率が低くなるのが特徴です。
3Dセキュア2.0のメリット
3Dセキュア2.0を導入すると、EC事業者と顧客の両方にメリットがあります。代表的なメリットは以下3つです。
- 不正利用の防止
- チャージバックのリスク低減
- 安全性のアピール
一つずつ解説していきます。
不正利用の防止
3Dセキュア2.0を導入すると、なりすましなどのクレジットカード番号盗用被害を未然に防ぐことができます。
前述した通り、3Dセキュア2.0はワンタイムパスワードなどで本人認証を行うサービスです。クレジットカードに記載されている情報だけでは決済が行えないようになるため、決済の安全性が高まります。
チャージバックのリスクの低減
3Dセキュア2.0を導入すると、EC事業者がチャージバックを行うリスクを低減できます。
チャージバックとは、クレジットカードの不正利用被害から利用者を守る制度のこと。利用者がカード会社へ異議申し立てを行うことで、不正利用された決済を取り消すことができるのです。
EC事業者が3Dセキュアなどの本人認証サービスを導入しない場合、不正利用のリスクはEC事業者が負います。利用者からチャージバックの申し入れがあると、クレジットカード会社からEC事業者への入金が取り消され、不正利用された分の売上が損失となります。
EC事業者が3Dセキュア2.0を導入し本人認証を行っている場合は、不正利用のチャージバックはクレジットカードが補償してくれます。
安全性のアピール
最新の3Dセキュア2.0が導入済みであることは、セキュリティ面に十分配慮している事業者だというメッセージにもなります。クレジットカード決済は、ECショップで最もよく利用されている決済手段です(参考:令和5年 通信利用動向調査報告書 )。安全性を強化すれば、顧客により安心して商品を購入してもらえるでしょう。
カゴ落ちの改善
カゴ落ちとは、利用者がECサイトでカートに商品を入れたままサイトを離脱することです。決済は行われていないため、売上にはなりません。
カゴ落ちの原因として考えられるのが、決済までの行程が複雑なことです。支払いまでに手間がかかると、途中でサイトを離脱してしまいます。しかし、3Dセキュア2.0は毎回追加認証が行われるわけではなく、リスクが高いと判断されたときのみ行われるのが特徴です。そのため、高いセキュリティを維持しつつもスムーズに決済ができ、カゴ落ちを防ぐことができます。
3Dセキュア2.0の利用条件
3Dセキュア2.0は無料であり、簡単な手続きで利用することができます。利用するための条件は以下の3つです。
- 3Dセキュア2.0対応のカードブランドであること(Visa・Mastercard®・JCB・American Express®など)
- 3Dセキュア2.0対応のECサイトであること
- カード利用者が、カード発行会社で必要な情報を事前登録していること
3Dセキュア2.0の「3D」とは、3つのドメイン(領域)という意味です。国際カードブランド、EC加盟店管理会社とEC加盟店(EC事業者)、カード発行会社とカード会員の3つのドメインが連携して本人認証が行われます。そのため、3つのドメイン全てが3Dセキュア2.0に対応できていることが必要です。
3Dセキュア2.0に対応しているかどうか、公式ホームページや問い合わせなどでも確認しておきましょう。国際ブランドによって3Dセキュア2.0の名称は以下のように異なります。
- Visa(Visa Secure)
- Mastercard®(Mastercard ID Check)
- JCB(J/Secure)
- American Express®(American Express SafeKey®)
- Dinders Club(ProtectBuy®)
- UnionPay(UnionPay 3-D Secure)
3Dセキュア2.0の利用手順(利用者向け)
実際に利用者がECサイトで決済する際の手順をご紹介します。
1. カード発行会社で事前登録
本人認証に必要な情報を登録しておきます。IDやパスワードの他、ワンタイムパスワードの送り先である携帯電話番号やメールアドレスの登録も必要です。
2. 決済ページでクレジットカード情報の入力
ECサイトのショッピングで購入品を決めたら、決済ページに移ります。決済方法でクレジットカード決済を選択し、カード番号や有効期限、セキュリティコードなどを入力します。
3. 3Dセキュア2.0による本人認証
決済に高リスクがあると判断された場合、ワンタイムパスワードや生体認証など3Dセキュア2.0による追加認証を受けます。高リスクでなければ、追加認証はありません。これで、クレジットカード決済は完了です。
まとめ
「3Dセキュア2.0」はインターネット上のクレジットカード決済時に本人認証を行うサービスであり、決済の安全性を高めるのが目的です。本人認証をしないまま不正利用が発生すると、EC事業者が被害額を負担しなければなりません。EC事業者は2025年3月末までの導入が義務付けられているため、早めに導入して被害を未然に防ぎましょう。KOMOJUのブログでは「3Dセキュア」以外にもオンライン決済に関するサービスの導入について様々なトピックをご紹介していますので、ショップ運営の参考にして下さい。
【この記事の監修者】
鍛廣和紀
株式会社DEGICA・COO(最高執行責任者)
複数の企業でプログラマとして勤務した後、2014年に決済サービス「KOMOJU」の初期開発メンバーの一人としてDEGICAに入社。その後、SRE・セキュリティ担当VPやプロダクト担当VPとしてKOMOJUの初期の成長に貢献。現在はCOO(最高執行責任者)としてKOMOJUの運営全体を統括している。
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。