昨今、国内におけるクレジットカードの不正利用被害が増加しています。クレジット業界の業界団体である日本クレジット協会の調査によると、2021年度の不正利用被害額は約330億円にのぼり、前年比で約30.5%増加しています。
3Dセキュアは、クレジットカードの不正利用被害を防ぐ手段として有効ですが、従来の3Dセキュアは離脱の一因となっており、利用が普及していませんでした。このようななか、利便性を改善した3Dセキュア2.0が登場し、徐々に普及し始めています。 この記事では、3Dセキュア2.0の概要や、導入に必要なことについて解説します。
3Dセキュアとは
3Dセキュアとは、ECサイト上など非対面でクレジットカード決済を行う際に、不正利用対策として利用される本人認証サービスのことです。VISA、Mastercard、JCB、American Expressなどの各カードブランドが提供しています。
ブランドごとに「Visa Secure」「Mastercard® SecureCode™」「J/Secure™」「American Express SafeKey®」など、異なるサービス名称がつけられていますが、これらを総称して3Dセキュアと呼びます。
3Dの「D」は「ドメイン(Domain)」のことであり、加盟店・カード発行会社(イシュアー)・国際カードブランドの3者間で適切に認証を行うことを意味しています。
3Dセキュアの使い方
3Dセキュアの利用者は、3Dセキュア提供元にIDやパスワードなどの必要情報を事前登録する必要があります。その後、ECサイト上で商品を購入する際にカード情報を入力すると、3Dセキュアの認証画面に遷移します。ここで利用者がIDやパスワードを入力することで、本人確認を行いクレジットカードの不正利用を防止する仕組みです。
セキュリティコードとの違い
カード券面の裏側に記載されている3桁または4桁の数字を「セキュリティコード」と呼びます。セキュリティ―コードは3Dセキュア同様にクレジットカードのセキュリティを高めるものです。3Dセキュアには馴染みがないという方でも、セキュリティコードは利用した経験があるという方は多いのではないでしょうか。
セキュリティコードの情報はクレジットカードの磁気情報には含まれていないため、スキミング被害防止に有効です。また、フィッシング被害でクレジットカード番号が流失した場合でも、セキュリティコードが流失しなければ不正利用のリスクを減らせます。
ただし、セキュリティコードはカード券面上に記載されている情報のため、クレジットカード自体が盗難にあってしまうと不正利用を防ぐことが困難です。一方、3Dセキュアは本人しか知らないIDやパスワードを利用して認証を行うため、本人確認も含めたより強固なセキュリティを提供できます。
3Dセキュアのメリット
ECサイト運営者からみて、3Dセキュアを導入することにはどのようなメリットがあるのでしょうか。3Dセキュアのおもなメリットとしては、「サイトの信頼性向上」と「チャージバックの負担軽減」の2点が挙げられます。
サイトの信頼性向上
サイトの信頼性は、ユーザーがECサイトを選ぶ際の材料となり得ます。決済時に本人認証画面に遷移する仕組みを提供することで、「セキュリティがしっかりしているサイト」という印象につながるでしょう。
セキュリティ対策に注力しているECサイトを利用したいというユーザーも多いため、3Dセキュアの導入を通じてユーザーニーズに応えつつ、サイトの信頼性を高めることが可能です。信頼性を高めることで、顧客から選ばれやすいサイトとなるでしょう。
チャージバックの負担軽減
各カードブランドでは、クレジットカードが不正利用された場合の被害者救済措置としてチャージバックを用意しています。チャージバックとは、不正利用発生時に被害者から申し立てがあり、かつ申し立てが承認された場合、売上が取り消され、被害者に返金される仕組みです。
この際、商品購入時に被害者の本人確認がされていない場合は、その費用をカード加盟店が負担する必要があります。
一方、本人確認がされている場合は、加盟店の費用負担はありません。このように、チャージバックの責務を移行できる制度のことを「ライアビリティシフト」と呼びます。
店舗など対面でクレジットカードを利用する場合には、暗証番号やサインにより本人確認を行いますが、ECサイト上では3Dセキュアが暗証番号やサインに代わる本人確認手段となるのです。3Dセキュアによる本人確認を行うことは、このようなチャージバックのリスク回避にもつながるといえるでしょう。
3Dセキュア1.0と3Dセキュア2.0
チャージバックの負担軽減に有効な3Dセキュアですが、ECサイトにおける利用は広く普及しているとはいえません。これは、従来の3Dセキュアの機能に問題点があるためです。そこで、機能が改善された新しいバージョンとして登場したのが3Dセキュア2.0です。
3Dセキュア1.0の概要と問題点
これまで利用されてきた3Dセキュアのバージョンは1.0でしたが、各カードブランドは3Dセキュア1.0の利用廃止を進めています。具体的にはVISA、Mastercard、JCB、American Expressが3Dセキュア1.0を2022年10月に廃止する予定です。
3Dセキュア1.0は、利用者側で事前にパスワードなどの登録が必要です。この時点で利用者側の手間が生じるうえ、決済時にも認証のためのパスワード入力を行う必要があります。
つまり、ECサイトでの商品購入プロセスにおいて、ユーザー側の操作の手間が追加されている仕組みといえるのです。そのため、ECサイトで商品をカートに入れたものの決済時点で離脱してしまう、いわゆる「かご落ち」が発生しやすい、といったデメリットがありました。
このような利便性の悪さは3Dセキュア1.0の利用が普及しなかった要因です。
3Dセキュア2.0の登場
以上のような背景から、各カードブランドでは新しいバージョンである3Dセキュア2.0への移行を進めています。 3Dセキュア2.0では、前述した1.0のデメリットが解消され、セキュリティ面と利便性が大きく向上されました。3Dセキュア2.0自体は2016年にリリースされましたが、3Dセキュア1.0の廃止に伴い注目が集まっています。
3Dセキュア1.0と2.0の違い
3Dセキュア1.0と比較して機能面に優れている3Dセキュア2.0ですが、具体的にはどのような点が改善されたのでしょうか。両者の違いを、次の比較表にまとめました。
| 観点 | 3Dセキュア1.0 | 3Dセキュア2.0 |
|---|---|---|
| 提供される認証方式 | IDやパスワードなどで実施 | パスワードに加え、ワンタイムパスワード、生体認証、QRコードが利用可能 |
| 認証の実施 | リスクレベルに関わらず必須 | 不正利用リスクが高い場合のみ認証を実施 (リスクベース認証) |
| 決済時の離脱率 (かご落ち率) |
高い | 低いと予想されている (VISA 「3-D Secure 2.0」によれば、決済時間約85%短縮、かご落ち約70%削減) |
| チャージバックへの対応 | 2022年10月終了予定 | 対応可能 |
| モバイルへの対応 | 非対応 (PCブラウザのみ対応) |
対応 (モバイル対応に加え、アプリ内決済にも対応) |
3Dセキュア2.0の特徴
3Dセキュア2.0の機能や移行状況について紹介します。
3Dセキュア2.0のおもな機能
3Dセキュア2.0では、決済時点の離脱率の改善や、利便性向上のため、以下のような機能が用意されています。
多様な認証方式
3Dセキュア1.0ではIDとパスワードに限定されていた認証方式ですが、3Dセキュア2.0ではワンタイムパスワードや生体認証、QRコード認証といったさまざまな認証方式が用意されています。
これらの認証方式の場合、パスワードを覚えていなくても利用でき、入力の手間も省けるなど、利便性に優れているのがメリットです。
リスクベース認証
リスクベース認証とは、潜在的なリスクの度合いに応じて認証方法を変える認証方式のことです。
3Dセキュア2.0では、高リスクの利用者のみ認証を実施する方式をとっており、リスクが低い場合は認証をスキップします。これにより、利用者側の負荷を低減させることが可能です。
3Dセキュア1.0ではすべての取引に認証が必須であったため、利用者の離脱につながるといった問題がありましたが、リスクベース認証では離脱率の低下が期待できるといえるでしょう。
モバイルへの対応
近年では、インターネットアクセスの多くがモバイル端末からとなっています。3Dセキュア1.0では対応していなかったモバイル端末からの利用も、3Dセキュア2.0ではカバーされています。
決済分野以外への対応
決済分野以外に活用できる点も3Dセキュア2.0の特徴です。モバイルウォレットへのクレジットカード登録など、決済以外の処理における認証にも活用できます。
チャージバックへの対応
3Dセキュア1.0の廃止に伴い、各カードブランドは3Dセキュア1.0によるチャージバックついても、2022年10月以降は加盟店の負担とすることを発表しています。
現在3Dセキュア1.0を導入しているECサイトで、今後もチャージバックの負担を回避したいと考えている場合は、3Dセキュア2.0への移行を検討しましょう。
3Dセキュア2.0のリリース・移行状況
上述のとおり、3Dセキュア2.0は2016年にリリースされているものの、各カードブランドによる3Dセキュア1.0の提供終了に伴い、注目度が上がっています。
3Dセキュア1.0の提供終了日はすでに各カードブランドから発表されているため、提供終了に合わせて各ECサイトにおいても3Dセキュア2.0への移行は加速していくでしょう。 また、これまで3Dセキュアを導入していなかったサイトにおいても、メリットが多い3Dセキュア2.0の導入を検討するケースが増えることが予想されます。
3Dセキュア2.0へ対応するために必要なこと
3Dセキュア2.0を導入するためには、どのような対応が必要なのでしょうか。導入前に必要な4つの取り組みについて見ていきましょう。
3Dセキュアの導入可否検討
まず、導入の可否を検討してみましょう。
離脱率の高さから、これまで3Dセキュアを導入していなかったECサイトにおいても、リスクベース認証やモバイル対応などにより離脱率の改善が期待できる3Dセキュア2.0は検討に値するといえます。
さらに、不正利用対策やチャージバックへの対応の観点からも導入を検討してみるとよいでしょう。
個人情報への対応
3Dセキュア2.0では、リスクベース認証を実現するために、デバイス情報や利用者の属性情報などを利用します。ECサイト利用者からこれらの情報を取得するには、個人情報保護法への準拠が必要です。
3Dセキュア2.0を利用する場合、個人情報取扱事業者として自社サービス上で個人情報利用への同意を取得する必要があることに注意しましょう。
自社の決済手段の確認
モール型のECサイトに出店している場合や、ASPやSaaSなどのサービスを利用している場合は、あらかじめ決済サービスが用意されていることが一般的です。提供されている決済サービスが3Dセキュア2.0に対応しているか事前に確認しましょう。 サービスによっては、3Dセキュアを利用するために追加料金が必要となるケースもあり、料金体系やコストも考慮すべきポイントとなります。
システム改修の実施
自社でパッケージを利用してECサイトを構築している場合は、システム開発による対応が必要です。
3Dセキュア2.0は1.0と仕様が異なるため、現状で3Dセキュア1.0を導入しているECサイトにおいてもシステム改修をしなければなりません。 3Dセキュア2.0にはさまざまな機能が用意されており、導入のためには加盟店側の作業が発生する場合もあるため、事前に必要な対応について調べておくとよいでしょう。3Dセキュア1.0の提供終了時期を考慮しても、早めの対応をおすすめします。
まとめ
この記事では、3Dセキュア2.0の概要や1.0との違い、必要な対応などについて解説しました。 離脱につながるなどの課題があった3Dセキュア1.0と比較して、3Dセキュア2.0はメリットが多く、導入しやすい仕組みといえます。今後急速に普及が進んでいくと予想されるため、早めに導入を検討するとよいでしょう。
