2025年までに導入が義務化される3Dセキュア2.0
ECサイトで必須級の本人認証サービスを解説
ECサイトで必須級の本人認証サービスを解説
3Dセキュアとは、ECなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。
近年、急速に進んでいるキャッシュレス化において、PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が86%とキャッシュレス決済の中で最も利用率が高いです。
そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2023年のクレジットカードの不正利用被害額は過去最高の540.9億円となりました。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
3Dセキュア義務化にも対応
EC構築プラットフォーム ecbeing紹介資料はこちら
3Dセキュアとは、ECなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。
2025年から3Dセキュア2.0の導入が義務化されることになり、耳にした方も多いのではないでしょうか。
近年、急速に進んでいるキャッシュレス化において、PayPay・LINE Payといったコード決済や、Suica・PASMOといった電子マネーなどキャッシュレス決済の種類が増えてきています。その中でもクレジットカードは保有率が87%とキャッシュレス決済の中で最も利用率が高いです。
そんな根強いニーズがあるクレジットカードでも、日本国内における不正利用被害は2013年から増加の一途をたどっており、 2023年のクレジットカードの不正利用被害額は過去最高の540.9億円となりました。
この被害の内訳に目を向けてみると、全体の9割以上がカード番号などの情報だけで不正決済をされてしまう番号盗用によるものなのです。特に、この番号盗用による被害の大部分を占めているのが、ECサイト上でカードの保有者になりすまして決済を行うというパターンです。
今回は、そんなクレジットカードの不正利用を防ぐために注目されているセキュリティ対策「3Dセキュア2.0(EMV 3Dセキュア)」について紹介します。
3Dセキュアとは
3Dセキュアとは、ECでなどにおいて非対面でクレジットカード決済を行う際の不正利用対策として、カード会社が設定している本人認証サービスです。実店舗等での対面決済におけるサインや暗証番号をイメージしていただければ分かりやすいかと思います。
Visaでは「Visa Secure」、マスターカード では「Mastercard SecureCode」といったようにブランドごとでサービスの呼称は異なりますが、総称して「3Dセキュア」と呼ばれています。
「3Dセキュア」という言葉における“3D”とは
@ EC事業者などの加盟店
A カード発行会社(ex:楽天カード、イオン銀行、りそなカード)
B 3Dセキュア提供元(ex:Visa、マスターカード、アメリカン・エキスプレス、JCB)
の3つの領域を表す「ドメイン(Domain)」を意味しており、この三者間で適切な認証を行ないながらカード利用者の安全性を確保しています。
カードの保有者であるユーザーが3Dセキュアを利用するには、事前に3Dセキュア提供元にパスワードを登録する必要があります。また利用時は、カード情報の入力後3Dセキュアパスワード入力画面に遷移し、パスワードを入力することになります。 仮にカードを盗難された場合でも、本人しか把握していない情報であるため、不正利用防止に繋がるのです。
セキュリティコードと3Dセキュアは何が違うの
セキュリティコードとは、セキュリティ保護のためクレジットカードで決済を行う時に入力されたカード情報が本当に本人のものであるかを確認するコード番号です。このセキュリティコードは店頭でカードの磁気情報を盗むスキミング等の犯罪を防ぐ際に、有効な手段とされています。
しかし、多くのクレジットカードにおいてセキュリティコードは裏面に記載してあるため、カード自体が盗難されてしまった場合には不正利用を防ぐことは難しくなります。
また、セキュリティコードの入力は法的に義務付けられているわけではないので、コード入力なしで利用できるECサイトも数多くあるのが現状です。
また、セキュリティコードは3つの認証要素(パスワードなどの知識要素、SMSなどを介した所有要素、指紋認証などの生体要素)のうち所有要素のみに依存します。 それに対し3Dセキュアは、知識要素と所有要素の2つの要素に依存することになるので、セキュリティコードと比較するとより強固なセキュリティを実現できます。
3Dセキュア1.0とはどういうもの?
3Dセキュア2.0の説明の前に、3Dセキュア1.0について解説します。
3Dセキュア2.0の前身である3Dセキュア1.0は1999年にVisaが開発した本人認証システムであり、2002年から他のクレジットカードブランドにライセンス提供されるようになりました。
3Dセキュア1.0はECでの決済など非対面での決済時に、カード番号や有効期限などのカード情報の他に、 設置したパスワードを入力することでセキュリティを強固にする仕組みです。
後ほど詳しく解説いたしますが、3Dセキュア2.0は生体認証やワンタイムパスワード、QRコード等による認証が可能になったことを考えると3Dセキュア1.0と3Dセキュア2.0ではセキュリティの強度に大きな差があることが分かります。
このようなセキュリティ強度の差もあり、2025年には日本国内における3Dセキュア2.0(EMV 3Dセキュア)のEC加盟店への導入が義務付けられることにもなりました。
3Dセキュア2.0(EMV 3Dセキュア)とは
3Dセキュア1.0は、当時画期的な技術ではありましたが、かご落ちが増えるというデメリットがあったこともあり、なかなか普及しませんでした。こうした状況を背景にユーザーの利便性向上、安全な環境のために提案されたのが「EMV 3Dセキュア」とも呼ばれる「3Dセキュア2.0」です。
3Dセキュア2.0最大の特徴はSMSやアプリを使用したワンタイムパスワードの導入です。ワンタイムパスワードとは、その名の通り、一度きりしか使えないパスワードのことです。ECでの決済など非対面でのクレジットカード決済の際、カード情報入力後に3Dセキュアパスワード入力画面が表示され、それと同時にSMS等にワンタイムパスワードが送信されてきます。 ユーザーが送付されたパスワードを入力するだけで本人確認が完了するという仕組みです。
ワンタイムパスワードであれば固定のパスワードを覚える必要がないため忘れることがない上、セキュリティコードのようにクレジットカード本体が盗難に遭った際に不正利用されるリスクもありません。 また、3Dセキュア2.0ではリスクベース認証(なりすましを防ぐ認証技術)により、 リスクの高い取引のみに対して承認を要求することができるようになったため、ユーザーにとっての障壁が低くなりました。
3Dセキュア2.0リリースによって変わることまとめ
3Dセキュア2.0では動的パスワード認証、端末認証等により、過去の取引履歴などを基にリスクベースの認証が実施されます。従来の3Dセキュアではブランド認証ページに遷移させる動きが必要でしたが、3Dセキュア2.0ではワンタイムパスワード等の認証であるため、お客様の負担であった認証手順が改善され、かご落ちのリスクが削減されます。
リスクベースの認証に関して言えば、カード利用者の決済情報等を基に判断するため、取引の大半は追加認証なしに認証が完了になりますが、高リスクと判断される取引のみ、ワンタイムパスワード等の追加認証が実施される形になります。
入力の手間やパスワード失念など、3Dセキュア1.0が抱えていた課題を大幅に改善し、安全かつスピーディーなオンライン決済を実現しながらも、顧客の利便性やかご落ち率改善による売上向上が期待できます。
導入義務化へと切り替えが進む3Dセキュア2.0
2022年10月11日、経済産業省が開催した「クレジットカード番号等不正利用対策の強化検討会」の第3回会合で、3Dセキュア2.0(EMV 3Dセキュア)の導入を日本国内における全てのEC事業者に義務付ける方針の提言を行い、検討会に出席した委員全員がこれに賛同しました。
これにより、先述の通りカード会社が環境の整備をしながら2025年をめどに全EC事業者の導入を目指すことになりました。
3Dセキュア2.0(EMV 3Dセキュア)の義務付けが決まった背景
前述の会合でクレジットカードの不正利用を防止する基本的な対策として、下記のような内容が提言されました。
・非対面の取引では利用者の確認を間接的にしかできないので、知識・所有・生体の要素を組み合わせた「本人認証」が基本と考えられる
・加盟店・カード会社が保有する顧客の属性情報の活用による不正判定技術が向上しているので、それを活用した不正利用の防止も有効
・3Dセキュア2.0(EMV 3Dセキュア)はこれらの機能を全て含んでいる手法であるため、現時点の不正利用対策としては全てのEC加盟店で3Dセキュア2.0(EMV 3Dセキュア)による「利用者であるのか適切な確認」を実施すべきではないのか
また、将来的に不正利用防止の法的義務を引き上げていくためには、段階的な指針を示すことが期待されるということで、まずはイシュア―(カード発行会社)がEMV 3Dセキュアを完備した上で順次EC加盟店で導入をしていくことが必要であるという導入に向けたスケジュール案も提示されています。
第3回「クレジットカード番号等不正利用対策の強化検討会」で提言された
不正防止義務引き上げに向けたスケジュール案
そしてこうした提言を基に
・加盟店での対応
・決済代行会社での対応
・カード発行会社での対応
という三つの視点から議論が行われました。
特に加盟店での対応に関しては3Dセキュア2.0(EMV 3Dセキュア)による確認の進め方や、カード番号入力以外の方法による決済などイレギュラーな場合の対策のあり方、効果的な導入方法と時期について話し合われました。
その結果、2025年の3月までに全てのEC加盟店にEMV 3Dセキュアの導入を必須とする方針で全会一致となったのです。
1.0のサポート終了で注目が集まる3Dセキュア2.0(EMV 3Dセキュア)
2025年の全EC加盟店への導入が義務付けられること以外にも、3Dセキュア2.0(EMV 3Dセキュア)が注目されている理由があります。それは各クレジットカードブランドが2022年10月をもって3Dセキュア1.0のサポートを終了したということです。
これに伴い、非対面のカード決済時の本人確認は3Dセキュア2.0(EMV 3Dセキュア)以外の方法は認められなくなりました。そして3Dセキュアを導入していてもバージョンが1.0だった場合、本人確認が完了していないということになるため不正利用が発生した際にカード会社が負担していたチャージバックの負担が加盟店側にかかることになっています。
ですので、EC事業者の2.0の導入は2025年の義務化を待たずとも今後さらに進んでいくでしょう。
セキュリティに強いECサイトを構築するらな「ecbeing」がおすすめ
ここまで3Dセキュア2.0によって変わることやその重要性について説明してきましたが、ECサイトにおいては3Dセキュア2.0をはじめとしたセキュリティ対策がとても重要です。
ecbeingでは、今回のようなECサイトのセキュリティを強化するための法改正への対応や、お客様独自のセキュリティ要件への対応、ecbeingが実施する24時間365日の有人監視やECプラットフォーム上での強固なセキュリティ対策など様々な角度からECサイトのセキュリティを強化するための取り組みをおこなっています。
このような多面的なセキュリティ対策により、他社と比較しても高いセキュリティを維持するecbeingは、創業以来自社起因のセキュリティ事故が0件と多くのお客様のECサイトを守り続けています。
ecbiengが構築したECサイト以外に目を向けると、毎年どこかのECサイトでセキュリティ事故が発生してしまっていることは事実としてあります。これらのセキュリティリスクを抑え、セキュアなECサイトの構築をおこないたいという事業者様は是非一度ecbeingまでお問い合わせください。
ecbeingのすべてがわかる!
ecbieng概要・事例まとめ資料
ecbeingの概要と各業界別の事例をまとめた資料です。
こんな人におすすめ
・ecbeingでどんな事が実現できるのか知りたい
・ecbeingに関する情報をまとめた資料が欲しい
・導入後どのような効果と変化が出たのか知りたい
・導入した企業の実際の声を知りたい
まとめ
2016年にリリースされた3Dセキュア2.0(EMV 3Dセキュア)は、一度しか使えないワンタイムパスワードの導入やリスクベース認証により、利用者の障壁を下げつつより強固なセキュリティ対策を実現させました。
カードブランド各社の3Dセキュア1.0のサポートが終了し、2025年には日本国内における3Dセキュア2.0(EMV 3Dセキュア)のEC加盟店への導入が義務付けられるといったように、3Dセキュアを取り巻く情勢が変わりつつあるので、今後はさらに導入が進んでいくと予想されます。
また、原則として本人確認がされずにクレジットカードの不正利用が発生した場合、カード会社ではなく事業者側が費用を負担することとなっています。そのため、ECサイトにおいては3Dセキュアを導入せず不正利用が発生した場合、EC事業者がチャージバックを負担することになります。
このような不正利用による被害を受けないためにも、義務化される2025年4月を待つことなく早急に3Dセキュア2.0を導入することをお勧めします。