3Dセキュア1.0へのサポート期間が終了した今、3Dセキュア2.0への早急な対応が必要です。本記事では自社の新たなセキュリティ対策をご検討されている方に向けて、3Dセキュア2.0の仕組みや3Dセキュア1.0との違い、さらに導入のメリットや注意点についても解説します。
3DセキュアはWebを介してクレジットカード払いをする際、購入者がカードの所有者本人かどうかを確認するサービスです。パスワード等を使用することで、クレジットカードの盗難・スキミング等が発生した場合でも不正利用を回避する効果があります。
3Dセキュア2.0はEMV 3-Dセキュアとも呼ばれ、1.0から認証方法や対応媒体が変更されたものです。1.0はすでにサポートが終了しており、2.0の導入作業が各EC加盟店で進められています。
3Dセキュア2.0が従来の1.0と異なる点は、以下の3つです。
1.0ではすべての支払い時で本人確認が必須に設定されており、決済までの手順が多く、利用者に負担がかかるのが難点でした。また、決済するまでのハードルがあることで利用者が決済の途中で離脱し、かご落ちが多数起きていました。
2.0で採用されたリスクベース認証は、不正利用の危険があるケースに限り本人確認が発動します。利用者負担が軽減され、EC加盟店の機会損失も減少すると期待できます。
認証方法の種類では、1.0の場合は利用者が設定するID・パスワードのみでしたが、2.0は第三者に盗用・改ざんされるリスクが低い生体認証やワンタイムパスワードを使用できる点がメリットです。
対応媒体やサービスも追加され、1.0では非推奨だったスマートフォン端末・タブレット端末や、スマートフォン向けアプリに対応しています。
なお、1.0のサポートは終了しており、2.0へ移行していない場合は不正利用が発生した際にチャージバック負担がEC加盟店にかかる恐れがあります。
セキュリティコードは3~4桁の数字で構成され、クレジットカードの裏面に印字されています。こちらは磁気情報ではないことから、スキミングでは盗み取られません。そのため、セキュリティコードが必要な決済では、第三者が悪用できなくなります。ただし、クレジットカード自体の盗難や、決済でセキュリティコードの入力が不要な場合は、不正利用を防ぐのは困難です。
クレジットカードとは別の生体認証等の情報を使った安全対策が、3Dセキュア2.0の優れている点です。本人以外が生体認証等をクリアするのは困難であるため、セキュリティコードよりも悪用のリスクが下がります。
本人確認では、まずリスクベース認証での結果が中・高リスクの場合に本人認証が発動します。低リスクの場合は、本人認証が発動しないまま支払いが完了します。リスクベース認証とは、所有者本人やクレジットカードに関する情報をリアルタイムで収集し、通常ではないケースで本人確認をすることです。
3Dセキュアを用いた決済では、まず利用者が3Dセキュア2.0に対応しているECサイト上で商品の購入手続きをした際に、クレジットカード発行会社側でリスクベース認証を行い、本人情報をチェックします。そして、もしカードの悪用の可能性に対して中・高リスクが示された場合は本人認証が発動します。その後、利用者が本人確認に成功すれば支払いが完了し、失敗すれば決済不可です。そして、認証結果がカード会社から店舗側に通知されます。
利用者・EC加盟店にとって、3Dセキュア2.0はどのようなメリットがあるのかを以降で紹介します。
本人確認により、第三者によってクレジットカードを悪用されるリスクを低減できます。3Dセキュア1.0の本人認証であるIDやパスワードは、改ざんや盗難のリスクがあり、なりすましが発生する恐れがあります。一方、生体認証等のさまざまな認証方法に対応し、盗難・改ざんのリスクが減少し、安全性が高まりました。
かご落ちの発生を、リスクベース認証によって軽減できます。3Dセキュア1.0では、以下の点からかご落ちが起きていました。
2.0の場合、中・高リスクで本人認証が発動します。低リスクの場合は本人認証が不要です。パスワード入力などといった利用者の負担が軽減することで、利用者が購入手続きの途中で離脱したり、パスワードの失念により決済不能となったりすることを防げます。
決済までのハードルが下がることで、EC加盟店はかご落ちによる機会損失を軽減できます。
対応媒体の拡大や本人確認方法の改善などにより、利用者にとって利便性の高いクレジットカード払いを実現しました。3Dセキュア1.0ではPCのみに対応していましたが、2.0はタブレット端末・スマートフォン端末・アプリなどにも対応しています。
現在ではスマートフォンアプリのECショップも多数あるため、アプリへの対応は大きなメリットです。
また、中・高リスクと見なされた取引時のみ本人認証が発動する仕組みとなっているため、低リスクの取引では本人認証が不要です。利用者が購入の度にパスワードを入力する手間がなくなり、購入手続きの負担が軽減されました。
3Dセキュア2.0を取り入れる際の注意点には、以下があります。
3Dセキュア2.0と1.0では仕様が異なるため、EC加盟店側で新たにシステムを開発しなければならない場合があります。システム開発の人件費・ECサイトの保守費用・新たなパッケージの購入費用なども検討が必要です。さらに3Dセキュア2.0自体に費用がかかる場合もあるため、必要なコストを事前に把握することが重要です。
また、クレジットカードの悪用を防ぐには3Dセキュア2.0単体では難しいため、ほかの防犯対策と組み合わせることも検討しましょう。
3Dセキュア2.0は、Webを介したクレジットカード利用時に本人確認をするサービスで、高いセキュリティ性が特徴です。1.0はすでにサポートが終了しており、EC加盟店は1.0から2.0へのバージョンアップを検討する必要があります。
3Dセキュア2.0は高度な安全性が特徴ですが、単体では完全に悪用を防げません。ECサイトの安全性の向上や、利用者が安全に決済できる環境を構築するには、複数のセキュリティ対策サービスを組み合わせることも重要です。
公開日 2023.06.09
更新日 2025.04.11