クレジットカードの3Dセキュアとは、IDとパスワードによる本人認証です。カード情報に加え、本人しか知り得ないID・パスワードを入力することで、不正利用のリスクを減らせます。3Dセキュアの2つのバージョンの違いや、導入時の注意点などを解説します。
クレジットカードの3Dセキュア(本人認証サービス)とは?
3Dセキュアとは、クレジットカードの本人認証サービスです。Webでクレジット決済をする際、そのカードに紐付けられたIDとパスワードを入力することで本人認証を行い、不正利用を防ぎます。
3Dセキュア1.0の問題点
2023年4月現在、3Dセキュアの最新版であり世界標準は「3Dセキュア2.0(EMV 3-Dセキュア)」です。これに対し、本記事では旧バージョンの3Dセキュアを「3Dセキュア1.0」と呼ぶことにします。
3Dセキュア1.0は2.0に対して問題点もあり、それを改善するために2.0が世界標準となりました。1.0の3つの問題点を紹介します。
本人認証が都度発生するため手間がかかる
3Dセキュア1.0の1つ目の問題点は、「本人認証が都度発生するため手間がかかる」ことです。
詳しくは後述しますが、3Dセキュア2.0はリスクベースの本人認証であり、不正利用が疑われるときのみ本人認証が生じます。これに対し、1.0ではWebでクレジット決済をするたびに本人認証をしなければなりません。
3Dセキュアでは支払いに使うカードと紐付けられたID・パスワードを入力します。クレジットカードの不正利用を防ぐために、小文字・大文字・英数字を組み合わせた複雑なパスワードを設定している人も多いでしょう。
支払いのたびにID・パスワードを入力するのは手間がかかり、ユーザビリティを下げる一因となっていました。
本人認証のポップアップや画面遷移により不信感をもたれることも
3Dセキュア1.0の2つ目の問題点は、「本人認証のポップアップや画面遷移により不信感をもたれる可能性がある」ことです。
2.0も1.0も本人認証の際はポップアップや画面遷移が生じますが、2.0では不正利用が疑われない場合は本人認証もいりません。つまり、ポップアップや画面遷移が生じる機会が少ないのです。
ポップアップや画面遷移を詐欺サイトへの誘導やパスワードの抜き取りと感じる人もいるでしょう。
3Dセキュア1.0の本人認証が毎回生じるシステムは、機会損失につながりかねません。
2022年10月、3Dセキュア1.0のチャージバック補償制度が終了
3Dセキュア1.0の3つ目の問題点は、「2022年10月、3Dセキュア1.0のチャージバック補償制度が終了した」ことです。
チャージバックとは、クレジットカードの不正利用などの理由で利用者が代金支払いに同意しない場合、クレジット会社がその売上を取り消すことです。この売上取り消しに対する保証がチャージバック補償です。
2022年10月に3Dセキュア1.0のチャージバック補償を終了することを複数の国際ブランドが発表しており、これ以降は不正利用による売上損失は加盟店が負担しなければなりません。
不正利用へのリスクヘッジとして、3Dセキュア2.0への切り替えが必要なのです。
3Dセキュアに代わる3Dセキュア2.0(EMV 3-Dセキュア)とは?
3Dセキュア1.0に代わる新しい本人認証サービスが3Dセキュア2.0(EMV 3-Dセキュア)です。3Dセキュアの仕組みや1.0から切り替えるメリットを紹介します。
リスクベース認証により本人認証を実行するか判定
3Dセキュア2.0ではリスクベース認証により本人認証を実行するか判定します。リスクベース認証とは、不正利用の疑いがある場合のみ本人認証を実行する仕組みです。
3Dセキュア1.0では本人認証を毎回しなければなりませんでしたが、2.0への切り替えでこの回数がグッと減らせます。不正利用を防ぎながらもユーザビリティを高められるのが、3Dセキュア2.0の特徴です。
本人認証の機会を減らし、カゴ落ちリスクを軽減できる
3Dセキュア2.0では本人認証の機会が減ります。本人認証を毎回するのはユーザーにとって面倒なだけでなく、事業者にとってはカゴ落ちリスクの増加につながるでしょう。
先述の通り、本人認証時のポップアップや画面遷移を不正サイトへの誘導と感じる人もいます。IDやパスワードを忘れてしまい、決済ができない可能性もあります。
本人認証の機会を減らすことでこれらの事態を防ぎ、カゴ落ちリスクを軽減できるでしょう。
チャージバック補償を受けられる
先述の通り、2022年10月に多くの国際ブランドが3Dセキュア1.0のチャージバック補償制度を終了しました。現在、3Dセキュア1.0を利用していてクレジットカードの不正利用が起こっても、チャージバック補償は受けられません。
2.0への切り替えをしないことは、不正利用発生時のリスクを高めることになるのです。
3Dセキュア1.0と2.0に共通する問題点
3Dセキュア1.0と2.0には、3つの共通する問題点があります。これらの問題点について理解し、ユーザーに安心してクレジット決済をしてもらうための対策を取りましょう。
不正利用を完全に防ぐことはできない
3Dセキュア1.0と2.0に共通する1つ目の問題点は、「不正利用を完全に防ぐことはできない」ことです。
たとえばクレジットカード情報に加え、本人認証のためのIDとパスワードも抜き取られていた場合、本人認証をしても不正利用は防げないでしょう。ほかにも、本人認証を突破して不正利用が起こる可能性はあります。
どんなに対策しても、不正利用を完全に防ぐことはできません。だからこそ、不正利用によるチャージバックのリスクに備え、3Dセキュア2.0の導入が必要なのです。
本人認証について、ユーザーへの周知が必要
3Dセキュア1.0と2.0に共通する2つ目の問題点は、「本人認証について、ユーザーへの周知が必要」なことです。
3Dセキュア2.0では不正利用が疑われる場合に本人認証が行われますが、本人が変わった操作をすることで本人認証が生じることもあります。
先述の通り、3Dセキュアの本人認証を不正サイトへの誘導と誤認する人もいます。本人認証があること、それは不正利用を防ぐためのものであることを決済の前画面などで周知しておけば、本人認証によるカゴ落ちを防ぎやすくなるでしょう。
ユーザー側のパスワード管理が必要
3Dセキュア1.0と2.0に共通する3つ目の問題点は、「ユーザー側のパスワード管理が必要」なことです。
3DセキュアはIDとパスワードを使った本人認証であり、これを利用するにはユーザー自らがID・パスワードの設定と管理をしなければなりません。ID・パスワードがわからなくなると決済もできなくなり、再設定や問い合わせが必要になります。
これは加盟店側ではどうしようもないことですが、決済の前画面などで注意を促すくらいはできるでしょう。
3Dセキュアの導入に必要なこと
3Dセキュアの導入に必要なことを紹介します。早めに導入を済ませ、ユーザー・事業者ともに安心して利用できるWebサイトを作りましょう。
3Dセキュアに対応したカードブランドであること
3Dセキュアを使えるのは、3Dセキュアに対応したカードブランドだけです。ただ、3Dセキュア2.0は世界標準ブランドであり、次のような多くの国際ブランドが対応しています。
- JCB
- VIZA
- MasterCard
- Diners Club
- American Express
事業者のサイトが3Dセキュアに対応していること
ECサイトや決済システムなど、事業者(加盟店)のサイトが3Dセキュアに対応していなければなりません。導入には3Dセキュアサーバーの運用や個人情報保護法への対応などが必要なため、早めに準備しておきましょう。
ユーザーがカード会社のサイトで情報登録していること
3Dセキュアを利用するには、利用ユーザーがカード会社のWebサイトで情報登録をしていなければなりません。本人確認やID・パスワードなどの簡単な手続きでクレジットカードの不正利用を防ぎやすくなるので、早めに済ませておきましょう。
3Dセキュアによるクレジットカード決済の流れ
3Dセキュアを導入したWebサイトでのクレジットカード決済がどのように行われるのか、一連の流れを紹介します。
Step1.ユーザーがカード会社のWebページでID・パスワードを登録する
3Dセキュアを利用できるのは、カード会社のWebページで情報登録を済ませたユーザーだけです。まずは事業者・ユーザーの双方が3Dセキュア導入の準備を済ませなければなりません。
Step2.決済画面にカード情報を入力する
3Dセキュアを利用する・しないにかかわらず、クレジット決済には決済画面へのカード情報の入力が必要です。カード番号・名義・利用期限・セキュリティコード(カード裏の3桁の番号)などを入力します。
Step3.3Dセキュア1.0では毎回、2.0では不正利用のリスクがあるときに本人認証をする
カード情報の入力後、3Dセキュア1.0では毎回、2.0では不正利用のリスクがあるときに本人認証が行われます。ここではクレジットカードには書かれていない、ユーザー本人しか知り得ないIDとパスワードを入力します。
Step4.認証成功後、クレジットカード決済が行われる
ID・パスワードによる本人認証が成功すると、クレジットカード決済が行われます。3Dセキュアを利用していてもしていなくても、決済の処理や手数料は変わりません。
ただ、そのクレジット決済が不正利用だった場合、3Dセキュア2.0を利用していれば事業者はチャージバック補償を受けられます。
3Dセキュア2.0による本人認証を導入し、ユーザビリティの向上と不正利用のリスクヘッジを
3Dセキュア2.0はユーザビリティとセキュリティの両方を確保した本人認証です。本人認証が発生するのは不正利用の疑いがあるときだけなので、パスワード忘れや画面遷移による不信感などでカゴ落ちが起こるリスクは少ないでしょう。
3Dセキュアをまだ導入してない企業や1.0を利用している企業は、早めに2.0の導入を済ませましょう。
この記事にはタグがありません。