3Dセキュアとは不正利用を防止する本人認証サービスで、お客様がオンラインでも安心して買い物を楽しめるよう、全ネットショップ事業者に対して導入が求められています。この記事では3Dセキュアの導入を検討している事業者に向けて、3Dセキュアの仕組みや、「3Dセキュア2.0」と「3Dセキュア1.0」との違い、導入のメリット、注意点などを解説します。
目次
3Dセキュアとは
3Dセキュアとは、オンライン上でクレジットカード決済をする際に用いられる本人認証サービスで、不正利用(※)の防止を目的としたものです。
※不正利用とは第三者が何かしらの方法でクレジットカード情報を盗み取り、悪用する犯罪行為で、「フィッシング詐欺」や「スキミング」などが代表的な例です。
店舗でもネットショップでも、クレジットカード決済を受け付けるのであれば不正利用対策は欠かせないといわれていますが、実際にどれほどの被害が出ているのでしょうか。日本クレジット協会の統計によると、2022年の不正利用被害額は436億円にもおよびました。統計を取りはじめた1997年以降、過去最悪の結果となっています。
ネットショップ事業者が気をつけたいのは、第三者が不正に入手したクレジットカード情報を使って商品やサービスを注文する「なりすまし注文」です。また、十分なセキュリティー対策が講じられていないネットショップではクレジットカード情報の流出が起きるリスクも高くなります。情報漏えいからお客様の情報を守るのはもちろんのこと、なりすまし注文がひんぱんに起きるとネットショップの運営にも深刻な被害が出る可能性があるので、多面的かつ重層的な対策を講じておきたいところです。
不正利用を未然に防ぐ方法としてよく挙げられるのが、3Dセキュアの導入です。
参考:クレジットカード不正利用被害の発生状況(日本クレジットカード協会)
3Dセキュアと聞いてどのような認証方法かパッとイメージできる人は、ひょっとしたらあまりいないかもしれません。3Dセキュアを導入しているネットショップでは、決済時にクレジットカードの番号・有効期限・名前などの基本情報の入力にくわえて、追加の本人認証が行われます。たとえば基本情報を入力した後、クレジットカード会社のページに遷移し、クレジットカード会社で登録したIDや、ワンタイムパスワードの入力を求められたことがあるかもしれません。このようなステップがあるネットショップは、3Dセキュアが導入されているネットショップです。
3Dセキュアは、このようにクレジットカードに記載されている情報だけでなく、本人にしかわからない情報の入力を必須にすることで、なりすましによる不正利用を防ぐ働きをします。
「3Dセキュア1.0」と「3Dセキュア2.0」の違い
2022年10月には3Dセキュアの新バージョンが登場しました。1999年に発表された「3Dセキュア1.0」のサポートは2022年10月に終了し、これまで1.0を利用していたクレジットカード会社、カード名義人、ネットショップ事業者には最新版である「3Dセキュア2.0(正式名称:EMV 3Dセキュア、以下3Dセキュア2.0)」への移行が求められています。
今後3Dセキュアを導入する場合は、基本的には3Dセキュア2.0に対応することになります。
「3Dセキュア2.0」へのアップデートは、お客様にとってもネットショップ事業者にとってもメリットが多いといえます。なかでも特記すべきなのは、どの取引に対して追加認証が行われるかです。
3Dセキュア1.0では、全てのクレジットカード決済に対して追加認証が行われていました。つまり、お客様が追加認証で求められるIDなどを思い出せなければ、商品の購入を諦めざるを得ませんでした。商品がカゴに追加されたにも関わらず購入手続きが行われない「カゴ落ち」は、お客様にとってもネットショップ事業者にとっても大きなデメリットです。
最新の3Dセキュア2.0では、この欠点が改善されています。追加認証が行われるのは、不正利用のリスクが高い取引だとみなされたときだけになるからです。この認証方法は、「リスクベース認証」とも呼ばれています。
さらに、追加認証は従来のIDやパスワードの入力だけではなく、ワンタイムパスワードの入力、あるいは生体認証などでも行われるようになります。ワンタイムパスワードとはカード名義人が指定した連絡先に送られる1回限りのパスワードで、受け取ったパスワードをそのまま入力するだけで認証が済むため、パスワードを忘れたことから生じるカゴ落ちの発生が減るというメリットがあります。
そのほかにも、従来の3Dセキュア1.0はブラウザのみでしたが、3Dセキュア2.0はスマートフォンやタブレットでのアプリ内決済にも対応するようになり、汎用性が高まりました。以下の表では二つの違いをまとめています。
| 3Dセキュア1.0 | 3Dセキュア2.0 | |
| 毎回、クレジットカード会社で登録したIDやパスワードの入力は必要? | ◯ | × |
| リスクベース認証は可能? | × | ◯ |
| ワンタイムパスワード認証・生体認証は可能? | × | ◯ |
| スマートフォンやタブレットでのアプリ決済は可能? | × | ◯ |
| カゴ落ちのリスクは防げる? | × | ◯ |
| チャージバック時に補償はされる?(※) | × | ◯ |
※3Dセキュア1.0のサポート終了以降
どのように即時にリスクを判断できるのかと思うでしょう。3Dセキュア2.0では、使っているデバイスの情報、アクセスしている時間や地域、お客様の行動パターンなどを確認し、直近で高額な決済はされていないか、短期間で複数回決済が行われていないかなどが瞬時にわかるそうです。
事業者が3Dセキュアを導入するメリット
3Dセキュアを導入すると、不正利用の防止につながるのはもちろん、カゴ落ちの発生や売上損失の防止にもつながります。詳しく見ていきましょう。
安心してネットショップを利用してもらえる
上記でも触れたように、3Dセキュアの導入は不正利用防止の強化につながるので、お客様により安心してネットショップを利用してもらうことができます。追加認証を面倒に感じるお客様も多少はいるかもしれませんが、セキュリティー対策がしっかりしていて安心できると思うお客様も大勢いるでしょう。お客様から信頼を得ることは、ネットショップを再訪してもらううえでは大切なことです。さらに、セキュリティーを強化するための本人認証サービスを導入していることをネットショップ内に記載しておくと、好印象につながるかもしれません。
売上損失の防止につながる
購入した覚えのない商品の請求に気づいたとき、クレジットカードの名義人は基本的にクレジットカード会社に確認を取るでしょう。クレジットカード会社による調査の結果、カード名義人に落ち度がなく不正利用だと判明した場合、クレジットカード名義人は請求された金額を負担する必要はありません。
この際に商品を提供した事業者側に対しては、売上金の返還請求、または支払いの取り消しが行われます。これをチャージバックといいます。 事業者にとっては、商品を提供したのにも関わらず、売上金を回収できないという予期せぬ損失の発生ともいえるでしょう。
3Dセキュア2.0を導入し、追加認証に成功したにも関わらず不正利用が起きた場合、事業者はチャージバック発生時の負担を回避できます。つまり、ネットショップ事業者は3Dセキュア2.0を導入することで、チャージバックによる損失の発生をある程度おさえることができます。
ただし従来の3Dセキュア1.0から移行できていない場合は、チャージバックの負担を回避できないので、必ず最新版の3Dセキュア2.0に対応しておきましょう。
カゴ落ちの発生を減らせる
3Dセキュア2.0では前述のように不正利用のリスクが高い場合にのみ追加認証が行われるうえ、ワンタイムパスワードなども利用できるようになったため、IDやパスワード忘れに伴うカゴ落ち発生の防止につながります。
3Dセキュアの注意点
3Dセキュアは不正利用を防止する頼もしい方法ですが、万能とは言い切れないところがあります。
3Dセキュアに対応するうえで事業者が行うべきことは、ネットショップで3Dセキュアに対応することです。しかし、それだけで全ての取引が3Dセキュアの対象になるわけではありません。3Dセキュアでは、カード名義人もクレジットカード会社の専用ページなどで設定手続きをしなければいけません。つまり、設定が済んでいるクレジットカードによる決済だけが3Dセキュアの対象となります。
3Dセキュアは強力な不正利用対策ではありますが、このように設定ができていないクレジットカードは対象外になることが弱点です。
カード会社によっては会員専用アプリなどに登録していれば自動的に3Dセキュアが設定されることもあるようですが、カード名義人が自ら設定を行わなければいけないことも多いようです。経済産業省の「クレジットカード・セキュリティガイドライン【4.0版】」では、カード会員に対して3Dセキュア2.0へ登録を促すようカード会社に求めていることもあり、どのカード会社も周知には取り組んでいるようですが、全てのカード名義人が設定を完了するまでには時間がかかるかもしれません。
事業者がクレジットカードの不正利用を防ぐ方法
不正利用対策はあらゆる角度から取り組んでこそ、安全性が高まるものです。ここでは「クレジットカード・セキュリティガイドライン 【4.0 版】」にも紹介されている、3Dセキュア以外の不正利用対策を紹介します。
不正検知システムを導入する
不正検知システムとは、商品の注文情報などを精査し、不正利用が発生していないかをチェックするサービスで、ネットショップなどに導入して利用することができます。万が一不正を検知した場合には、本人確認を行う、商品発送を停止する、事業者に通知するなどの機能を備えています。初期費用には数十万円、運用には月数万円ほどかかることもあるようですが、最近では低コストのシステムも少しずつ登場しはじめているので、予算に合うものを探してみるといいでしょう。
セキュリティーコード(券面認証)を利用する
従来からある不正利用対策が、券面認証です。券面認証とは、クレジットカードの裏面などに記載されている3桁、もしくは4桁のセキュリティーコードを入力してもらう認証方法です。しかしながらセキュリティーコードはクレジットカード情報などと一緒に流出してしまう可能性もあるため、近年ではほかの対策と組み合わせて利用することが推奨されています。
配送先情報を記録しておく
なりすまし注文が万が一発生した場合には、注文に使われた配送先情報を何かしらの形で保存しておきましょう。その後、発送作業に取り掛かる際には、不正利用時の配送先が再び使われていないかを確認しておくのがおすすめです。毎回同じ住所が使われるとは限りませんが、念のために確認しておくと安心かもしれません。
Squareで作成できるネットショップなら、配送先を含むお客様情報が自動で蓄積されていくうえ、注文した日などで絞り込み検索もできるので、怪しい住所をすぐに抽出することができます。
まとめ
要点を振り返りましょう。
- 3Dセキュアは不正利用を防止する本人認証サービス
- 3Dセキュア1.0から最新版である3Dセキュア2.0への移行が必要
- 3Dセキュア2.0の導入は不正利用防止・売上損失防止・カゴ落ち防止などにつながる
- 3Dセキュア2.0を導入するとチャージバックのリスク軽減につながる
- 不正利用対策は3Dセキュアのみならず、多角的に取り組む必要がある
経済産業省は全てのネットショップ事業者に対して「3Dセキュア2.0」への対応を求めています。不正利用を防止するには頼もしい本人認証サービスのため、ネットショップを運営しているのなら先延ばしにせず対応に取り掛かりたいところです。
Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。
執筆は2023年5月22日時点の情報を参照しています。当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash