ECサイトへの導入が義務化された「3Dセキュア2.0(本人認証)」とは? 必要な対策や注意点を解説
7/1 8:00 
「3Dセキュア2.0」は、2025年3月末を目処にすべてのECサイトに導入が義務付けられた、クレジットカードの不正利用を防ぐためのシステムです。この記事では、「3Dセキュア2.0」の仕組みや義務化により必要な対応など基本についてご紹介します。
ツクルくん「3Dセキュア2.0」って聞いたことあるけど、何だろう。
カラミちゃんECサイトへの導入が義務化された本人認証システムのことですよ! ツクル君もECサイトを運営しているなら、きちんと学んで導入を進めましょうね。
「3Dセキュア2.0(EMV 3-Dセキュア)」とは? 仕組みや特徴を紹介
「3Dセキュア2.0(EMV 3-Dセキュア)」はインターネットでクレジットカード決済をする際の不正利用を防ぐための、新しい本人確認の仕組みです。それまでの「3Dセキュア1.0」に代わり、より確実で利便性の高い認証方式となっています。
顧客がクレジットカード情報を入力すると、画面に本人確認画面が出てくるので、指示に従って認証すると決済処理が完了する流れです。
「3Dセキュア2.0」ではこの本人確認の工程において生体認証(指紋や顔認証など)やワンタイムパスワードなど、本人ではないと入力できない情報を利用するため、なりすましによる不正利用を防ぐとされています。
「3Dセキュア1.0」との違い
従来の認証方法の「3Dセキュア1.0」は、ネットショッピングの際にクレジットカード利用者に対して本人認証を行い、不正利用のリスクを判断する仕組みです。
「3Dセキュア1.0」は基本的に事前に登録したパスワードを利用者が入力し、一致した場合のみ決済が完了します。
ですが、もしパスワードも流出してしまった場合は不正利用されてしまいますし、毎回パスワードを入力するため「入力が面倒で購入を止めた」というカゴ落ちリスクもありました。
一方の「3Dセキュア2.0(EMV 3Dセキュア)」は、以下の点で大きく進化しています。
- リスクベースで認証が行われる
- ワンタイムパスワードや生体認証が使える
- ECサイトのスマホアプリからの決済が可能
最も大きな違いは、リスクベースで認証を行うという点です。
「3Dセキュア1.0」では購入時には必ず認証が行われていましたが、「3Dセキュア2.0」認証は取引の金額が少額の場合や、利用者の過去の決済履歴から判断して不正が疑われない場合など、リスクが低いと判断されると本人認証の手続きを省略できます。
毎回のパスワード入力がなくなるため、カゴ落ちリスクを減らせます。図で表すと以下のように仕組みが異なります。
また、従来の固定パスワードだけでなく、ユーザーの利便性向上のためワンタイムパスワードや生体認証にも対応しているので、本人でなければ認証ができず、なりすましを防げます。
さらに、「3Dセキュア1.0」ではWebブラウザ上の決済のみ対象でしたが、2.0ではスマホアプリからの決済も範囲に含まれます。
このように、「3Dセキュア2.0」はよりスムーズな決済と不正利用防止の両面において、進化を遂げています。
ECサイトで「3Dセキュア2.0」の導入が義務化
ECサイトにおけるクレジットカード不正利用が年々増えているため、経済産業省は2025年3月を目処にECサイトへの「3Dセキュア2.0」の導入を義務化することを発表しました。
ここでは、クレジットカードの不正利用の現状や導入が義務化された理由などを見ていきます。
ECサイトにおける不正利用の実態
経済産業省が2024年に公表した「クレジットカードのセキュリティ対策について」によると、2023年のクレジットカードの不正利用の被害総額は約541億円でした。
2014年は被害総額が約114億円なので、約10年で5倍近くになっています。下記は、クレジットカードの被害額の推移を表したグラフです。
また同資料によると、この被害の大半は不正アクセスなどで盗み取られたクレジットカード番号によるEC取引が占めているそうです。
そのためクレジットカードの被害額をこれ以上増やさないためには、ECサイトにおけるクレジットカード不正利用を防ぐことが最重要とされています。
政府の取り組みと義務化の経緯
上記でお伝えしたように、拡大するクレジットカードの不正利用被害を受け、政府は2020年8月に「クレジットカード不正利用対策強化月間」を設け、対策の一環として「EMV 3-Dセキュア(3Dセキュア2.0)」の導入を決定しました。
インターネットでのクレジットカードの不正利用は、不正取得したカード情報をそのまま利用する手口が主でした。そのため「3Dセキュア2.0」を導入すれば、カード情報だけでは不正利用ができなくなり、被害を大幅に防げると期待されています。
政府は、この対策を行うことで不正利用被害を従来よりも減らすことをめざしています。
ECサイトの「3Dセキュア2.0」義務化で必要な対応
「3Dセキュア2.0」が義務化されることはわかりましたが、その他にはどのような対応が必要なのか、もう少し詳しく解説していきます。
各EC事業者に求められる対策や期限
「3Dセキュア2.0」の導入期限は原則として2025年3月末です。
また、ECサイトを運営するEC事業者だけではなくクレジットカードの発行を行うイシュアーや、クレジットカード加盟店を管理するアクワイアラー、クレジットカード加盟店の決済を代行するPSP(決済サービスプロバイダ)なども不正利用対策の対象となっています。
2024年3月に経済産業省から発表された「クレジットカード・セキュリティガイドライン」によると、各事業者には具体的に、以下のような対応が求められています。
| EC事業者 | ・「3Dセキュア2.0」の導入計画を策定し、早目に導入する ・すでに不正利用が多発している店舗は、期限を待たず「3Dセキュア2.0」の導入にすぐに着手する |
| イシュアー | ・自社カード会員に対して「3Dセキュア2.0」の登録を強く促すための取組を実施し、2025年3月末までにEC利用会員ベースで80%登録している状態をめざす ・2025年3月末時点において、「3Dセキュア2.0」登録会員の全員が「静的(固定)パスワード」以外の認証方法に移行している状態をめざす |
| アクワイアラー・PSP | ・不正利用が多発しているEC事業者に対しては「3Dセキュア2.0」の即時導入を促す ・その他のEC事業者に対しても、不正利用発生リスクが高い事業者を優先しながら、2025年3月末までに完了するよう「3Dセキュア2.0」の導入を促す ・EC事業者と新規に契約する際は、2025年3月末までの「3Dセキュア2.0」導入義務化を説明した上で契約する |
このように、クレジットカード事業を行っている各企業も、加盟しているEC事業者が「3Dセキュア2.0」を2025年3月末を目処に導入できるよう、働きかける必要があります。また、すでに不正利用が多発している店舗に対しては早急に対応しなければなりません。
3Dセキュア導入に加えカード情報の保護対策も必要
経済産業省が発表している「クレジットカード・セキュリティガイドライン」では「3Dセキュア2.0」の導入が義務付けられましたが、それだけでなくカード情報自体の保護対策も行わなければならないと書かれています。
ECサイトでは、サイト自体の脆弱性やデバイス管理の基本的なセキュリティ対策の不備などにより、カード情報が漏洩したり悪意のあるサイバー攻撃の影響を受けたりといった事故が多く起きています。
そのため、ECサイトでは基本的なセキュリティ対策を継続することが必須となっています。
また、そもそもカード情報を自社の機器・ネットワークに保存するなど、不要な保持を避けた運用(非保持化)であることも重要です。
セキュリティ対策は総合的に実施する必要があり、「3Dセキュア2.0」導入のみでは不十分です。
カード情報を含むすべての個人情報保護の観点から、専門家によるセキュリティ診断を実施するなどECサイトを運用する上ではさまざまなセキュリティ対策が求められます。
ECサイトが「3Dセキュア2.0」未対応の場合の影響
「クレジットカード・セキュリティガイドライン」によって「3Dセキュア2.0」が義務化されますが、もし対応しなかったとしたら、どうなってしまうのでしょうか。考えられる影響について3つご紹介します。
不正利用リスクと損失(チャージバック)の発生
ECサイトが「3Dセキュア2.0」に未対応の場合、不正利用のリスクが高まるので、具体的には以下のような損失が発生する可能性があります。
- 不正利用された分の商品やサービス代金の損失(チャージバック)
- 不正利用された際の対応に係る人件費の発生
クレジットカードが不正に利用された場合、不正に気づいたカード保有者が申し立てることにより、不正利用分が返金される仕組みであるチャージバックが発生します。
このチャージバックは保有者にとっては救済措置になりますが、ショップ側は売上金を返金しても商品は戻ってこないので、大きな損失といえます。
また、売り上げや商品の損失だけでなく、不正利用に関連する処理や手続きなどの人件費もかかってしまいます。
このように、不正利用はショップ側にも損益をもたらす恐れがあります。
ブランドイメージの低下
不正利用の対策をせず、実際に不正利用が続いてしまうと、ユーザーからのショップへの信頼(ブランドに対する安心感)が徐々に失われていってしまいます。
一度評判が落ちてしまうと、ショップには以下のようなことが起こるリスクが高いです。
- 長年利用してくれていた顧客が離れてしまう
- 新規顧客も購入しにくくなる
- 優秀な人材を採用できなくなる
- 株価など会社の評価が大きく下がる
このように、長い年月をかけて作り上げてきた良い評判が、不正利用の被害で簡単に壊れてしまう可能性があるのです。
特に近年はSNSやレビュー欄などで簡単にユーザーが発信できるので、不正利用が多い店舗という情報がすぐに広まりやすいでしょう。会社の信頼を守り、被害を防ぐためにも、「3Dセキュア2.0」の導入は必須の対策といえます。
決済会社からの制裁措置
「3Dセキュア2.0」の導入義務化に向けて、カード発行会社や加盟店を管理している企業、決済会社などもECの店舗に対して導入を促すことが求められています。
そのため、導入を促しても未対応のECサイトには決済会社から一時的な入金停止処理や最悪の場合は契約解除など制裁措置が課される可能性があります。もし契約解除をされてしまうと、事業継続に支障が出てしまうでしょう。
決済会社は顧客保護を重視しており、セキュリティ対策が不十分なECサイトに対して厳しい姿勢を示すことが予想されます。
また2024年時点では、ECサイトの「3Dセキュア2.0」未導入に対する罰則などは発表されていませんが、今後、未対応の場合は法的な措置が行われるかもしれません。
不正利用はショップ側にもさまざまな損害を与えるため、「3Dセキュア2.0」をはじめとした対策を講じましょう。
ECサイトの「3Dセキュア2.0」導入時の注意点
ECサイトに「3Dセキュア2.0」を導入する際に知っておきたい注意点をご紹介します。
ユーザー体験に配慮する
認証手続きを省ける時もある「3Dセキュア2.0」ですが、これまで3Dセキュア自体を導入していなかった場合は、決済ページの操作が増えます。
認証手順が増えることで購買フローが複雑化し、ストレスを感じるユーザーが出てくる可能性があります。
そのため、「3Dセキュア2.0」を導入する際は、以下の点にも十分配慮する必要があります。
- ユーザーに余計な手間をかけない認証方式の選択
- ユーザビリティの高いUI/UXデザインの採用
- 認証に関するわかりやすい説明の提示
事前のユーザーテストや、導入後にECサイトの分析を行いユーザー体験への影響を常に把握して、もし問題があるようであれば改善につなげることが重要です。
不正を必ず防げるわけではない
「3Dセキュア2.0」はインターネットでクレジットカード購入の際の本人認証システムのため、導入したからといって不正を100%防げるわけではありません。
未知の脆弱性を狙ったサイバー攻撃であったり、内部関係者による不正であったりなど、不正アクセスや不正利用などが起こる要因は他にもさまざま存在します。
そのため、「クレジットカード・セキュリティガイドライン」にもあるように、さまざまなセキュリティ対策を常に行わなければなりません。
たとえば「3Dセキュア2.0」の導入に加えて、不正アクセスや不正注文を検知するようなサービスを導入するなどが考えられます。
ECサイトのセキュリティについては「ECサイト構築・運用セキュリティガイドライン」というコンテンツが経済産業省より公開されていますので、こちらも合わせて参考にしてください。
まとめ
クレジットカードでの不正利用を防ぐ効果がある「3Dセキュア2.0」は、2025年3月末を目処にECサイトヘの導入が義務化されました。不正利用対策が不十分だと、金銭的損失やブランドイメージの低下、決済会社からの制裁措置などのリスクが発生するので、必ず対応しましょう。
ただし、「3Dセキュア2.0」は万能ではありませんので、同時にさまざまなセキュリティ対策が必要になります。インターネット上で商売を行う以上、セキュリティ対策は怠らずにきちんと行うことが、長く店舗を運営するために必須といえます。
この記事はカラーミーショップの公式Webメディア『よむよむカラーミー by GMOペパボ』の記事を、ネットショップ担当者フォーラム用に再編集したものです。
