EC事業者がクレジットカード決済「3Dセキュア2.0」を導入するメリットとは？

クレジットカード決済における新しい本人認証サービス「3Dセキュア2.0（EMV 3Dセキュア）」は導入しましたか？ 2022年10月をもって、VisaとMastercardはレガシー認証（ユーザーIDとパスワードで認証を行う方式）プロトコルである「3Dセキュア1.0」とすべての関連サポートを終了しました。

日本より早く「3Dセキュア2.0」の導入が始まった欧州の状況から、3Dセキュアを取り巻く規制環境の変化、「3Dセキュア2.0」を導入するメリットを解説します。

セキュリティに関する規制の環境は日々変化している

「欧州決済サービス指令第2版（PSD2）」はヨーロッパにおける決済サービスに関する規制です。テクノロジーの進化に合わせて、①ユーザーの権利向上 ②ECセキュリティ強化 ③ユーザー口座への第三者アクセス管理（オープンバンキング）――と、大きく3分野について定められています。

「ECセキュリティ強化」に関して、欧州の加盟店では「SCA（強力な顧客認証）」の規制を世界で先行して運用をスタート。欧州経済地域（EEA）で事業を営む加盟店は免除・除外対象でない取引についてはSCAを実行する義務があります。

SCAの手法として最も使用されているテクノロジーが「3Dセキュア」。世界中で事業を展開する多くの多国籍企業のほか、国内でも多くの加盟店は既に「3Dセキュア2.0」を利用しています。

「3Dセキュア2.0」はライアビリティシフト（チャージバックが発生した場合、カード会社が売り上げ代金を補償する仕組み）が適用されるため、不正損失を心配せず事業を運営することができます。

逆を言うと、カードの不正利用発生時に「3Dセキュア 1.0」のサポートを終了したカード発行会社と契約している場合、本人確認が実施されている取引であってもチャージバック補償の対象外となってしまいます。

この技術のメリットを生かすには、加盟店自身がリスクを理解し、最適な方法で運用する必要があります。まず、加盟店は欧州同様の規制が自国に適用される可能性があることを認識しましょう。日本でも2022年10月に経済産業省が「3Dセキュア2.0」義務化の検討を発表したばかりです。そのため、これらの規制動向に今から準備しておくことが重要です。

たとえば、2018年にEU全域で施行された「一般データ保護規則（GDPR、欧州経済領域内で取得した氏名、メールアドレスなどの個人情報を領域外に移転することを原則禁止するもの）」は、全米で「データプライバシー法」が施行されるきっかけとなりました。

既にインフラを整備し、決済プロセスに「3Dセキュア2.0」を組み込んでいる加盟店は、これらの運用を開始した時点で、規制変更に対して円滑に対応することができます。加えて、「3Dセキュリティ2.0」の使用は規制への対応以外にもメリットがあります。

なぜ加盟店がこの変化に注目すべきなのか？

「3Dセキュア2.0」は、より多くの取引を承認することでコンバージョンの増加につなげられます。ECサイトにアクセスしたデバイス（パソコンやスマートフォンなど）からIPアドレス、OS、ブラウザなどの情報を取得。カード発行会社が高リスクだと判断した場合のみ、利用者にID・パスワードを入力してもらって追加認証する「リスクベース認証」を採用しているため、「3Dセキュア1.0」のような全取引での別画面遷移やポップアップウィンドウ表示といったかご落ち要因は発生しないからです。

また、チャージバックの債務責任をイシュアに移転することで不正損失を減らすことも可能です。「3Dセキュア2.0」はフリクションレスな認証プロセスを顧客に提供できるなど、加盟店にとっては大きなメリットがあります。

3Dセキュア2.0の仕組みクレジットカード決済 EMV 3-D — 「3Dセキュア2.0（EMV3Dセキュア）」の仕組み（画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ）

メリットその1：ライアビリティシフトと信用の強化

加盟店にとって「3Dセキュア2.0」の最も大きなメリットは、チャージバックが発生した場合、イシュア（カード発行会社）が補償する仕組みがあることです。これは、不正取引が発生した場合に、加盟店側に経済損失（および商品の損失）が生じないことを意味します。また、「3Dセキュア2.0」によって、加盟店は消費者のセキュリティに対する信用レベルを高めることができます。

デジタル化とグローバル化によって、Eコマースは世界で最も急成長を遂げている分野の1つになっている一方、巧妙な詐欺集団が入り込むきっかけにもなっており、加盟店を危険にさらしていることも事実です。

メリットその2：フリクションレスな認証プロセス

2つ目の特徴として1.0からの大きなアップデートであるフリクションレスがあげられます。「3Dセキュア2.0」の大きな特徴である「フリクションレス3Dセキュア（認証なし3Dセキュア）」は、イシュアが取引中に収集したデータを元にユーザーを認証するものです。ここで正規と判定されたユーザーは本人（チャレンジ）認証を完了する必要がありません。

フリクションレス取引は、プロトコルの観点から3Dセキュア認証が成功したと見なされるため、チャージバックの債務責任はイシュアへ移転します。このため、加盟店はUXへの悪影響なく、ライアビリティシフトによるメリットを享受することができます。

大事なポイントは「3Dセキュア2.0」を取引に適用するかどうかは加盟店が判断することです。ただし、「3Dセキュア2.0」取引をフリクションレスにするか、本人認証を必要とするか（どの認証方法にするか）は、イシュアが判断します。詳細は後述しますが、判断の主体者が異なる点が非常に重要なポイントなのです。

「3Dセキュア2.0（EMV3Dセキュア）」と「3Dセキュア1.0」の認証フローの違いクレジットカードセキュリティ対策 — 「3Dセキュア2.0（EMV3Dセキュア）」と「3Dセキュア1.0」の認証フローの違い（画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ）

本人（チャレンジ）認証画面のサンプル（画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ）

「3Dセキュア2.0」を導入すべきか？

「3Dセキュア2.0」は、戦略的に利用することで非常に有効なツールになります。加盟店にとっては「リスクの低減」「グレーゾーンの取引の承認」「チャージバック発生時の補償はイシュアが実施」「規制要件を遵守」「認証とコンバージョンの増加につながる」などのメリットがあります。また、顧客には最高のエクスペリエンスを提供することができます。

「3Dセキュア2.0（EMV3Dセキュア）」と「3Dセキュア1.0」の違いクレジットカード決済セキュリティ — 「3Dセキュア2.0（EMV3Dセキュア）」の特徴と「3Dセキュア1.0」の違い（画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ）

これらのメリットは、柔軟な決済に対応できる決済代行パートナーを利用することで実現し、加盟店はリスクと債務責任を軽減しながらコンバージョン増加につなげられます。しかし「3Dセキュア2.0」のメリットを最大限に発揮させるためには、どの取引に対して「3Dセキュア2.0」を適用するかの判断が非常に重要になります。

次回は、「3Dセキュア2.0」を導入する上で確認しておくべき課題について解説します。