カード決済の「3Dセキュア2.0」とは?不正利用対策やセキュリティ強化、チャージバック売上補償継続に向けた対応スケジュール

3-D セキュア2.0についての解説記事
EC・ネットショップ運営お役立ち資料ダウンロード
「3Dセキュア2.0」をご存知でしょうか? EMV-3Dセキュア、EMV3DSと表記されることもあります。
クレジットカードの不正利用を防ぐ本人認証制度「3Dセキュア(以下、3Dセキュア1.0)」の新しいバージョンです。現在、世界中で「1.0」から「2.0」への移行が急速に進んでいます。

なぜなら、VISA、MASTERなど一部のクレジットカードブランドが「3Dセキュア1.0」におけるチャージバックの売上補償を終了すると発表したためです。※

「3Dセキュア1.0」を導入しているEC事業者さまは、期限までに「2.0」に移行しておかないと、チャージバックの売上補償を受けられなくなる可能性があります。
※「3Dセキュア2.0」に対応したイシュア(カード会社)が、チャージバック補償対象外になります。

そこで今回、「3Dセキュア2.0」の仕組みや、EC事業者さまが「3Dセキュア2.0」に対応する方法などについて、SBペイメントサービス株式会社(以下、SBPS)の塩原さんと中村さんにお話をうかがいました。

2022年4月追記
SaaS型ECサイト構築プラットフォーム「futureshop」では、「3Dセキュア2.0」の標準対応を済ませています。そのため、決済サービス「SBPS」を導入し、「3Dセキュア2.0」に対応したECサイトを立ち上げることができます。futureshopシリーズでの本人認証サービス「EMV 3Dセキュア(3Dセキュア2.0)」のマニュアルはこちらをご覧ください。
2022年9月追記
「クレジットカードブランド各社の「3Dセキュア1.0」におけるライアビリティシフト終了のスケジュール(予定)」の表を更新しました。
2022年11月追記
経済産業省は10月11日、クレジットカード決済システムのセキュリティ対策強化検討会(中川丈久座長)の第3回会合を開催。国内すべてのEC加盟店に対して、決済の仕組みにEMV3DS(3Dセキュア2.0)を導入することを義務付ける方針を提言しました。「2025年をめどに、全EC加盟店の導入を目指す」とされています。
日本国内全てのEC事業者にとって、他人事ではない「3Dセキュア2.0」。この記事で、「そもそもどういったものなのか?」「どのような対応が必要なのか?」お伝えできればと思います。
※参照:クレジットカード番号等不正利用対策の強化
【プロフィール】
SBペイメントサービス株式会社
営業本部 塩原和秀さん
SBペイメントサービス株式会社
営業本部 中村元さん

    無料資料ダウンロード

    107ページのEC攻略資料集1
    107ページのEC攻略資料集2
    107ページのEC攻略資料集3


    自社ECで
    年収1億円以上を目指す

    107ページの
    EC攻略資料集

    STEP01

    STEP02

    STEP03

    STEP04


    01. お名前をご記入ください


    02. 会社名をご記入ください



    03. メールアドレスをご記入ください



    04. 電話番号をご記入ください

    3Dセキュア1.0と2.0の違いとは?

    ––––「3Dセキュア2.0」とは、どのような制度なのか教えてください。

    SBPS 塩原さん:
    「3Dセキュア2.0」について解説するために、まずは「3Dセキュア」とはどのような制度なのか、簡単におさらいしておきましょう。

    「3Dセキュア」とは、オンラインにおけるクレジットカードの不正利用を防ぐことを目的とした、本人認証を行うサービスです。
    カード所有者(消費者)は専用パスワードをあらかじめ登録しておき、オンラインショップなどでカード決済を行う際に、認証画面にパスワードを入力して本人確認を行います。カード所有者しか知りえないパスワードを使って本人確認を行うため、クレジットカードのセキュリティコードと併せて、本人のみが知るパスワードを用いた不正防止対策になります。

    「3Dセキュア1.0」は、オンラインショップなどでカード決済を行う際に専用のパスワードを入力する

    ▼ 「3Dセキュア」によってクレジットカードの不正利用を防止する仕組み

    SBPS 塩原さん:
    「3Dセキュア1.0」と「3Dセキュア2.0」のもっとも大きな違いは、本人認証の方法です。

    「3Dセキュア1.0」は、カード所有者が登録したパスワードで本人認証を行いますが、「3Dセキュア2.0」は、ワンタイムパスワードや生体認証などを使って本人認証を行うのが一般的です。

    また、「3Dセキュア2.0」では、クレジットカードの不正利用のリスク判定をリアルタイムで実施し、不正利用の可能性が高い決済に限定して本人認証を行います。そのため、すべてのカード所有者に対して本人認証を行う「3-Dセキュア1.0」と比べて、本人認証画面でのドロップ率(離脱率)が低くなることがメリットです。

    3Dセキュア2.0対応クレジットカードは?

    SBPSでは「3Dセキュア1.0」はVISA、MasterCard、JCB、American Expressの4ブランドが対応しており、「3Dセキュア2.0」はDiners Clubを加えた5ブランド全てで対応します。※

    ※ DinersClubについて、SBPSの3Dセキュア1.0で非提供ですが、国際ブランドとして3Dセキュア1.0サービスは対応されています。
    ※ SBPSでの「3Dセキュア1.0」の標準対応は、VISA、MasterCard、JCBの3ブランドとなります。American Expressの3Dセキュア(AMEX SafeKey)は追加オプションとなりますので、詳細はSBPSへお問い合わせください。

    3Dセキュア2.0の認証方法

    • ワンタイムパスワード(メールアドレスやショートメッセージなどを使用)
    • 指紋認証・声帯認証・瞳認証などの生体認証
    3Dセキュア2.0の特徴

    • カード所有者はパスワードを登録不要で認証可能
    • 不正利用が疑われる決済に限定して本人認証を行うことができる

    3Dセキュア1.0と2.0の違い

    1.0 2.0
    本人認証の方法 カード所有者が登録したパスワード ワンタイムパスワード
    生体認証※(指紋、音声、瞳 など)
    カード所有者が登録したパスワード
    認証画面 必ず表示 不正利用のリスクが高い人に限定して表示

    ※生体認証について、具体的にはどのように行われるかはカード発行会社(イシュア)の認証仕様次第になります。(国内のイシュアが、生体認証を取り入れ、対応されるかは現状未確定)

    不正使用リスクが高い場合のみ本人認証を行う

    ––––不正利用が疑われる決済に限定して本人認証を行うというのは、どのような仕組みなのでしょうか?

    SBPS 中村さん:
    オンラインショップなどでカード決済を行う際に、クレジットカードの利用履歴や、カード決済を行う人が使用しているデバイス、さらには購入時の商品の配送先住所といった複数の情報をリアルタイムに分析し、不正利用の可能性を判定します。
    こうした判定方法を「リスクベース認証」と呼びます。

    不正注文の可能性が高いと判断された人は、ワンタイムパスワードなどの本人認証を実施することになります。こちらは「チャレンジ・フロー」と呼びます。

    逆に、「リスクベース認証」によって不正注文の可能性が低いと判断された人は、本人認証を行わずに決済が完了します。これを「フリクションレス・フロー」と呼びます。

    「3Dセキュア2.0」では「フリクションレス・フロー」が最大95%を占める見通しです。顧客の大半は本人認証を行うことなくカード決済が完了するため、本人認証フローにおけるドロップ率(離脱率)は「3Dセキュア1.0」よりも下がると期待されています。

    ▼ 「3Dセキュア2.0」ではクレジットカードの利用履歴やカード決済を行う人が使用しているデバイス、商品の配送先住所などにもとづいてリスクベース認証を行う

    ドロップ率の低下がメリット

    ––––本人認証フローにおけるドロップ率を下げられるのは、EC事業者さまにとって大きなメリットですね。

    SBPS 中村さん:
    そうですね。「3Dセキュア1.0」をECサイトに導入し、すべての顧客に適用するとドロップ率は高まります。そもそもパスワードを登録していない顧客はカード決済を行うことができません。

    「3Dセキュア2.0」はリスクベース認証を行うことで、「3Dセキュア1.0」のデメリットを解消しています。なお、リスクベース認証を行う際は、カード発行会社が所持しているクレジットカード情報に加え、カード加盟店であるEC事業者さまが持っている顧客情報を連携することで、リスク判定の精度が高まります。

    2021年10月以降、「3Dセキュア1.0」のチャージバック補償が段階的に終了

    ––––日本では「3Dセキュア1.0」から「3Dセキュア2.0」への移行が、どの程度まで進んでいるのでしょうか?

    SBPS 塩原さん:
    日本は導入がやや遅れていましたが、2021年中に一気に普及すると予想されています。なぜなら、一部のクレジットカードブランドが「3Dセキュア1.0」の「ライアビリティシフト」を終了すると発表したためです。

    「ライアビリティシフト」とは、「3Dセキュア」を導入しているカード加盟店(ECサイトなど)でチャージバックが発生した場合、カード発行会社が売上代金を補償する制度です。

    カード加盟店さまが「3Dセキュア」を導入する最大のメリットである「ライアビリティシフト」が終了するわけです。現時点で「3Dセキュア1.0」を導入しているカード加盟店さまは「2.0」へ移行することになるでしょう。

    ※チャージバック:クレジットカードが不正利用された際、カード所有者が支払いに同意しない場合に、カード発行会社が代金の支払いを取り消すこと。カード所有者は保護される一方で、カード加盟店(EC事業者など)は売上代金を回収できず損失になる。
    ※ライアビリティシフト: 3Dセキュアを導入しているカード加盟店(ECサイトなど)でチャージバックが発生した場合、カード発行会社が売上代金を補償する制度。

    ––––それは大きな影響が予想されますね。EC事業者さまはいつまでに「3Dセキュア2.0」に移行する必要があるのでしょうか?

    SBPS 塩原さん:
    「ライアビリティシフト」を終了する時期は、クレジットカードブランドごとに異なります。もっとも早いのがVISAで、2022年以降順次「3Dセキュア1.0」のライアビリティシフトを終了すると発表しました。

    また、American Expressは2022年1月に「3Dセキュア1.0」のライアビリティシフトを終了する予定ですし、MasterCardは2022年の10月14日に「3Dセキュア1.0」のサービスそのものを終了する予定です。

    ▶ クレジットカードブランド各社の「3Dセキュア1.0」におけるライアビリティシフト終了のスケジュール(予定)

    VISA MasterCard JCB American Express Diners Club
    3Dセキュア1.0
    ライアビリティシフト終了
    2022/10 未定 未定 未定
    3Dセキュア1.0
    サービス終了
    2022/10/15  2022/10/18 2022/10/18 2022/10/14 2022/10/14

    ※SBPS側の3Dセキュア1.0サービスの終了は、10月12日に終了になります。
    ※サービス終了以降は、1.0の本人認証自体出来なくなります。
    ※既存3Dセキュアの新規受付はEMV3-Dセキュアの開始とともに停止します。既存3Dセキュアサービス自体も今後提供終了する予定となります。

    ––––「3Dセキュア1.0」を導入しているEC事業者さまは、このスケジュールまでに「3Dセキュア2.0」に移行する必要があるということですよね。

    SBPS 塩原さん:
    原則としては、その認識を持っておく必要があります。厳密に言うと、「ライアビリティシフト」の売上補償を行うのはカード発行会社なので、カード発行会社が設定する時期までには、対応検討し対応したほうが良いと思います。
    があります。ただ、おそらくどのカード発行会社もクレジットカードブランドが設定した期限までには「2.0」に移行するでしょう。

    「3Dセキュア2.0」に移行する方法は?「futureshop」は自動対応

    ––––EC事業者さまが「3Dセキュア2.0」へ移行するには、どのような対応が必要なのでしょうか。

    SBPS 塩原さん:
    EC事業者さまが契約している決済代行会社やECカートシステムによって対応策が異なるため、まずは契約している決済代行会社やカートシステムの会社に確認してください。

    特に、決済代行会社と直接契約している企業や、ECサイトをフルスクラッチなどで開発した企業は、自分たちで対応しなくてはいけないことが多い可能性があるので注意が必要です。

    なお、弊社が提供している決済代行サービスは、2021年6月以降に「3Dセキュア2.0」に対応する予定です。また、フューチャーショップさんは「futureshop」を「3Dセキュア2.0」に標準対応するために、システムの改修を進めてくださっています。

    「futureshop」をご利用中のEC事業者さまは、特別な作業を行うことなく、2021年9月末までに「3Dセキュア2.0」に対応できる見通しです。弊社のシステムと「futureshop」を連携し、リスクベース認証も実施できるようにする予定です。

    3Dセキュア2.0に移行する際の注意点

    • 決済代行会社やECカートシステムごとに対応が異なる
    • 決済代行会社と直接契約している企業や、ECサイトを個別に開発した企業は、自社対応が必要な場合もある
    ––––「3Dセキュア2.0」への移行期限が迫っていますから、EC事業者さまは早急に対応することが必要ですね。

    SBPS 中村さん:
    その通りです。クレジットカードブランドが「3Dセキュア1.0」のライアビリティシフトを終了することについて正式に発表したのは最近のことなので、ライアビリティシフトが終了することをご存知ないカード加盟店さまも多いのではないでしょうか。

    また、「3Dセキュア2.0」のリスクベース認証を行うには、決済サービス側のシステムとECサイト側のシステムを連携する必要があります。そのためのシステム改修にも時間がかかりますから、早急に対応した方が良いでしょう。

    SBPS 塩原さん:
    現時点で「3Dセキュア1.0」を導入していないEC事業者さまもいらっしゃると思います。おそらく、「3Dセキュア1.0」を導入するとドロップ率が高まることを心配されているのでしょう。

    ただ、ECサイトでクレジットカードの不正利用が多発し、カード加盟店さまがそれを放置していると、クレジットカードブランドから罰則金を請求されたり、カード発行会社から契約を打ち切られるなど、加盟店運用をする上で、さまざまなリスクを持つ、可能性があります。

    クレジットカードの不正利用による被害は年々増加しています。「3Dセキュア2.0」はドロップ率が「1.0」よりも低く抑えられますから、グローバルで見ると「2.0」への移行が進んでいることも踏まえ、「3Dセキュア2.0」の導入を検討してみてください。

    ※セキュリティ対策の義務:改正割賦販売法のクレジットカード・セキュリティガイドラインによって、カード加盟店には多面的・重要的な対策が義務付けられている。クレジットカードの不正利用が多いカード加盟店は、カード発行会社から契約打ち切りなどのペナルティを受ける場合がある。

    ▼クレジットカードの不正利用による被害額は年々増加しており、セキュリテュ対策の重要性が一層高まっている

    まとめ

    今回のインタビューで「3Dセキュア2.0」について、詳しくうかがうことができました。2022年10月までには「3Dセキュア2.0」に移行する必要があることも、ご認識いただけたのではないでしょうか。

    近年、クレジットカードの不正利用は急増しています。
    現在3Dセキュアを導入されていない事業者の方は、ぜひこの機会に導入して不正利用を防ぎましょう。

    ※この記事に掲載しているインタビュー内容は2021年5月時点の情報です。予告なく変更になる場合がございます。ご了承下さい。

    2022年4月追記:SaaS型ECサイト構築プラットフォーム「futureshop」では、「3Dセキュア2.0」の標準対応を済ませています。

    ▼ 3Dセキュア2.0が導入できるSaaS型ECサイト構築プラットフォーム「futureshop」の資料請求はこちらから

    ▼こちらのセキュリティ関連の記事もcheck!

    ECの不正注文対策はしてますか?「AI不正検知」と「3Dセキュア2.0」でクレジットカードの不正利用を防ぐ!

    2021-11-16