- 公開:
- 更新:
EMV 3-Dセキュア(3Dセキュア2.0)とは?仕組みやメリット・導入すべき事業者などについて解説
このところ耳にする機会の増えてきた、“EMV 3-Dセキュア”・“3Dセキュア2.0”というキーワード。これはクレジットカード決済を導入している事業者様にとって知っておくべき注目のセキュリティサービスです。EMV 3-Dセキュア(3Dセキュア2.0)の仕組みやメリット・デメリットのほか導入のポイントなどについて、GMOペイメントゲートウェイでプロダクトマーケティングを担当するイノベーション戦略部の財津拓郎が解説いたします。
EMV 3-Dセキュア(3Dセキュア2.0)とは?
EMV 3-Dセキュア(3Dセキュア2.0)の概要
「EMV 3-Dセキュア」とは、国際ブランドVISAやMastercardなどにより策定されたICチップ搭載クレジットカードの統一規格「EMV」による、クレジットカード決済を行う際の本人認証サービスのこと。クレジットカードで物品やサービスを購入する際に、購入しようとしている人がカードを持っている本人かどうかを、クレジットカード発行会社(イシュアー)がリスクベース認証を通じて確認するサービスです。
EMVはEuropay International・Mastercard・VISAの頭文字から名づけられました。ブランドごとに個別のサービス名称は異なります(後述)が、同様の本人認証サービスをまとめ「EMV 3-Dセキュア」と総称しています。このほか、2022年10月に終了した従来型の3Dセキュアとの対比から「3Dセキュア2.0」という通称でも知られています。
3Dセキュア1.0とEMV 3-Dセキュア(3Dセキュア2.0)の違い
従来型の3Dセキュア(3Dセキュア1.0)と、EMV 3-Dセキュア(3Dセキュア2.0)の大きな違いは3つあります。
1.エンドユーザー(購入希望者)のパスワード入力負荷軽減
▼3Dセキュア1.0
① エンドユーザー(購入希望者)が購入ボタンを押下
↓
② 認証確認画面でのパスワード※入力必須
↓ ※カードホルダー本人が予めカード発行会社に登録したパスワードで本人認証
③ 購入完了
▼EMV 3-Dセキュア
① エンドユーザー(購入希望者)が購入ボタンをタップ 押下
↓(リスクベース認証:低の場合)
② 購入完了
従来の仕組みでは、購入のたびに本人確認のためのパスワード入力が必要でした。今回のEMV 3-Dセキュアは、パスワード等の入力が一部のユーザーに限定され、多くのエンドユーザーは追加のアクションを経ることなく購入完了でき、本人認証をしながらも購入までのプロセスがより簡潔になる点が大きな違いです。
2.チャージバックリスクの回避
これまでEC事業者様はカゴ落ちの懸念等もあり3Dセキュアを導入していない場合、チャージバックを受け入れざるを得ませんでした。EMV 3-Dセキュアではカゴ落ち懸念が少なくなり導入しやすくなるため、ほとんどのケースでチャージバックが免責され、その責務はカード発行会社(イシュアー)へと移ります。
※一部対象外あり
3. モバイルアプリなどウェブブラウザ以外への適用
ブラウザでの取引が推奨されていた従来の3Dセキュアから、モバイルアプリを含むさまざまなデバイス環境での取引が可能になりました。
なぜ今EMV 3-Dセキュアが話題なのか。その背景とは
EMV 3-Dセキュアが注目されるワケ
EC決済におけるクレジットカードの不正利用被害額は年々増加。2021年には330億円 にも上り、特殊詐欺被害額を上回る結果となりました。なかでも盗まれたクレジットカード番号を不正利用される被害が急増。そのため、より堅牢な本人認証サービスが求められています。
巧妙化する不正利用対策としての本人認証強化
2018年6月に施行された改正割賦販売法では、不正利用被害増加を背景に、クレジットカードのセキュリティ対策が義務付けられました。決済(オンライン決済)では、加盟店がクレジットカード情報を非保持化することで、ECサイトへの情報漏洩に伴う不正利用被害減少が期待されていました。しかし、新たな情報漏洩についての被害は抑えられたものの、過去に保持していたデータを盗用されてしまう、また、ECサイト自体が改ざんされ番号を盗まれる(フィッシング)など盗用技術も巧妙化し、非保持化のみでは被害を抑えこむことが難しくなっています。こうした背景からカード情報の盗用防止に加え、盗用された番号の不正利用防止という複数のセキュリティ対策の導入が推奨されているのです。
セキュリティ対策義務の実務的指針として位置づけられているクレジットカード・セキュリティガイドラインでは、事業者に「多面的・重層的な対策」として、4つの具体的方策(本人認証、券面認証、属性・行動分析、配送先情報)の実行が求められており、EMV 3-Dセキュアはそのうち「本人認証」の一つに定められています。
EMV 3-Dセキュアの仕組みは?
EMV 3-Dセキュアを導入したEC事業者サイトでの購入までの仕組みを、エンドユーザー(購入者)側・事業者側双方から解説いたします。
エンドユーザーが購入完了するまでのプロセス
エンドユーザー(購入者)がクレジットカード情報を入力し購入ボタンを押下すると、画面の裏側でEMV 3-Dセキュアが稼働。エンドユーザー(購入者)のデバイス情報・行動情報・属性情報などに基づいてカード発行会社(イシュアー)がリスクベース認証を判定します。リスクベース認証のレベルにより、3つのルートを通じ認証成功・失敗いずれかの結果となります。
①カード番号等情報入力 → 購入ボタン押下
↓
②リスク低:そのまま購入完了。
リスク中:認証画面が開く→パスワードやSMS認証コードを入力
→OK:決済完了
→NG:認証失敗・取引拒否のため決済失敗画面が表示される
リスク高:「失敗しました」など、決済失敗画面が表示される
リスクが低いと判断された取引はそのまま購入完了画面まで遷移するので、エンドユーザー自身は、特に本人認証されていると感じることもないほどにスムーズに決済できる仕組みです。
EC事業者目線で知る、EMV 3-Dセキュアの仕組み
事業者側では、プロセスによって実行者が遷移することを認識しておきましょう。
①事業者:カード情報等入力画面表示 → 購入ボタン表示
↓
②カード発行会社(イシュアー):EMV 3-Dセキュアでの判定を実施
リスク低:そのまま決済完了(フリクションレスフロー)
リスク中:チャレンジ認証画面へ遷移→パスワードやSMS認証コードを要求
→OK:決済完了
→NG:認証失敗・取引拒否
リスク高:取引拒否(認証画面なし)
↓
③事業者:各結果に対し事業者側で用意した画面をエンドユーザーに表示
リスクベース認証はイシュアーが判断するもの
リスクベース認証はエンドユーザーのデバイス情報・行動情報・属性情報などからカード発行会社(イシュアー)が判定し、事業者は介入できません。ただし判断に必要な情報を渡すためのパラメータは事業者による設定が必要です。
お客様やショップにより認証画面が出る・出ないといった判断も同様にカード発行会社(イシュアー)による決定です。エンドユーザーからの「認証に失敗した」など、リスクベース認証にまつわるお問合せには事業者で回答・解消することができず、エンドユーザーの保有するカード発行会社(イシュアー)へ問合わせを促す形となります。
チャレンジ認証が発生した際の認証方法の選択もカード発行会社(イシュアー)によるものです。動的な認証方法が推奨されていますが、対応は会社ごとに異なります。例えばSMS認証・ワンタイムパスワードなどの動的パスワードのほか、生体認証なども想定されています。
なお、認証結果はカード発行会社(イシュアー)から事業者側へ通知されますが、これはリスクの結果ではなく認証成功か失敗かのみとなります。
EMV 3-Dセキュアのリスクベース認証とは
リスクベース認証とは、不正購入防止の観点から本人認証強化のために、カード発行会社(イシュアー)によって行われる当該取引における不正度合の評価のこと。ECサイトで買物を行う際、エンドユーザーから提供される個人情報や、決済に用いるPC・スマートフォンなどのデバイスから得られる情報などのデータを活用して、その購入がエンドユーザー本人のものであるかどうかを数値化して評価しています。EMV 3-Dセキュアで必須の認証方法です。
EMV 3-Dセキュア導入のメリット・デメリット
エンドユーザー(購入者)側のメリット・デメリット
▼メリット
・フリクションレスフローによる入力不可軽減
従来の3Dセキュアを導入していた事業者では購入の際には必ずパスワードなどの入力が必要でした。EMV 3-Dセキュアに切り替わることで、リスク低と判断されたエンドユーザーは認証なしで購入を完了(フリクションレスフロー)できることとなり、パスワード入力の負担が軽減されます。
・不正利用対策
EMV 3-Dセキュアにより、より精緻に不正利用対策が行われ、安心してオンライン決済を利用することが可能になります。
▼デメリット
・認証時間
これまで3Dセキュアを導入していなかった事業者サイトでは、認証を行うため時間がかかるように感じられる場合もあります。しかしほとんどの場合はコンマ数秒程度と、時間がかかっているようには感じられないでしょう。
・パスワードなどの入力
中リスク判定ではパスワード入力やSMS認証などが必要になります。また、従来の3Dセキュア同様、カード会員がパスワードを認識していない・忘れてしまった、などにより認証失敗というケースも起こり得ます。
EC事業者側のメリット・デメリット
▼メリット
・チャージバック負担の免責
EMV 3-Dセキュアを導入した場合、カード発行会社(イシュアー)が不正利用か否かを判断することとなります。事業者はその判断には介入しないため、導入後の不正利用に対するチャージバックは一部のケースを除き、免責されます。
・カゴ落ちリスクの改善
カゴ落ちとは、エンドユーザーがカートに商品を入れた後、決済せずに離脱すること。従来の3Dセキュアでは必須でパスワード等の入力を求められ、パスワード忘れや入力の煩雑さからカゴ落ちが発生していました。EMV 3-Dセキュアでは、パスワードなしでの取引完了が増えるようUX改善がなされています。
▼デメリット
・カゴ落ちリスク
新たにEMV 3-Dセキュアから導入される事業者については一部の取引で認証画面によるカゴ落ちや、高リスク判定による認証失敗が発生することを認識しておきましょう。
・導入・開発コスト
EMV 3-Dセキュアの導入および運用のための開発にはコストが発生します。事業・取引規模や接続方法などによって金額は異なります。
これらを比較しても、EC事業者にとっては、メリットが大きいセキュリティソリューションといえるでしょう。
EMV 3-Dセキュア導入は必要か?
すぐに導入を検討すべき事業者とは
チャージバックや不正利用が発生している事業者は早めに導入しましょう!
チャージバックが出始めた場合にも即座に導入を検討されることをおすすめします。チャージバック請求は売上計上から約3~5ヶ月後に発生するため、判明時には翌月以降分ですでに多発しており、急激に件数が増加していた、というケースもあります。
EMV 3-Dセキュアは、今後さらなる普及が予想されています。経済産業省は国内すべてのEC加盟店に対して、EMV 3-Dセキュアを導入することを義務付ける方針を提言しています。クレジットカード決済システムのセキュリティ対策強化検討会では、2025年3月までに国内のすべてのEC加盟店が導入できるようにするため、義務化に向けた議論も行われています。
※2023年6月追記:2023年3月に公表されたクレジットカード・セキュリティガイドライン4.0版にて「2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュアの導入を求めることとする」と明示されました。
自社ECに導入するために事業者が行うべきことは?
導入・運用にあたり必要な3つの事柄
① お申し込み
カード発行会社(イシュアー)へのお申し込みと、決済システム側への利用申し込みの2種類が必要です。
・包括契約の場合
まとめて決済代行会社へお申し込みください。カード会社へのお申し込みは決済代行会社が行います。
・直接契約の場合
カード発行会社(イシュアー)・決済システムベンダーへそれぞれお申し込みいただきます。
② 開発
リスクベース認証を行うためのデバイス情報・行動情報・属性情報などを渡すパラメータ連携があるための開発は必須です。
・ECカート利用の場合
カートベンダーまたは決済システムベンダーへ、導入可能かご相談ください。
現在お使いのカートシステムがEMV 3-Dセキュアに対応しているかはベンダーへ確認いただくのがおすすめです。カートが対応していない場合は、別途カート側での開発が必要なケースもあります。
・そのほかの場合
まずはご利用の決済代行会社へご相談されることをおすすめします。事業者ごとの状況に即した対応のご提案が可能です。
③ 個人情報の第三者提供への同意取得
運用開始までに対応必須な事柄が、個人情報の第三者提供への同意事項の明記です。リスクベース認証に用いられるデバイス情報・行動情報・属性情報などは、個人情報またはそれになり得る情報に該当します。EMV 3-Dセキュアでは、事業者が取得したそれらの情報を第三者=カード発行会社(イシュアー)に提供することとなるため、個人情報保護法に基づき、利用者から情報の第三者提供に対する同意を得る必要があります。
サイト上の個人情報保護方針等の文言に含まれているか、会員登録のないゲスト購入などの場合にも同意を得られる表記となっているか、などは運用開始前に文言や同意取得までのフローを確認し、ない場合は明記した上で運用をスタートできるよう準備しましょう。
導入スケジュール
お申し込みから稼働開始まではおおよそ1~3ヶ月程度が目安です。
クレジットカード決済の接続方式によっても開発度合いが異なるため、お申し込みと開発を並行して進めるケースも多く見られます。自社にすぐ必要なのか?導入する場合、どのような開発となるのか?どのような設定があるとよいのか?など、EMV 3-Dセキュア導入を検討しはじめたら、まずは決済代行会社へご相談いただくことがおすすめです。
GMOペイメントゲートウェイでは、各事業者様の状況に応じ、最適なご提案をさせていただきます。
EMV 3-Dセキュアについてこちらもご覧ください。
https://www.gmo-pg.com/service/mulpay/security/3dsecure/
GMOペイメントゲートウェイ
イノベーション・パートナーズ本部 イノベーション戦略部
マルチペイメントグループ 課長
財津 拓郎
IT系商社、セキュリティソフトウェア会社にて法人営業担当・パートナー担当を経て、2013年にGMOペイメントゲートウェイ入社。デジタルコンテンツから物販系まで、多くのEC事業者様への決済営業の経験を活かし、現在は新たな決済手段の追加や企画を担当。EC事業者様に対するクレジットカード情報の非保持化やセキュリティの啓蒙活動も推進している。
決済業界のリーディングカンパニーであるGMOペイメントゲートウェイが提供する「PGマルチペイメントサービス」は、様々な決済手段をご用意しております。新たな決済手段も迅速に導入し顧客ニーズを逃しません。
また、事業規模や業態に応じてご要望にお応えできるように、GMOペイメントゲートウェイではグループで3つのサービスを用意しています。決済手段の選択に迷われたらまずはお問い合わせください。
※本コンテンツ内容の著作権は、GMOペイメントゲートウェイ株式会社に属します。