3Dセキュア2.0（EMV 3-Dセキュア）とは？1.0から2.0までの経緯と違いについて

3Dセキュアとは、各クレジットカード会社が導入している、EC加盟店における非対面不正利用防止のための本人認証手法の一つです。3Dは3つのドメインを意味しており、以下の3つのドメインが連携して本人確認をおこないます。

• イシュアードメイン：カード発行会社（イシュアー）とカード会員

• インターオペラビリティドメイン：国際カードブランド

• アクワイアラードメイン：加盟店管理会社（アクワイアラー）とEC加盟店

具体的には、EC加盟店で買い物をする際、カード情報に加え、本人しか知り得ない情報で追加の認証を要求することで、よりセキュリティを強固にするものです。

3Dセキュアは各国際ブランドが導入している本人認証サービスの総称で、国際ブランドによってサービスの呼称が異なります。また以下の国際ブランド以外にも独自で実装しているケースも国によってはあります。

経済産業省は、EC加盟店に対して2025年3月末までに3Dセキュア2.0（EMV 3-Dセキュア）の導入を義務化すると発表しました。その背景には、クレジットカード不正利用による被害の急増が挙げられます。 2024年3月に発表された「クレジットカード・セキュリティガイドライン[5.0版]」によると、すべてのEC加盟店に対してEMV 3-Dセキュア導入計画の策定、および早期の導入着手を求めています。特に、不正顕在化加盟店には、即時にEMV 3-Dセキュアの導入を求めています。不正顕在化加盟店とは、アクワイアラーや決済代行会社（PSP）によって不正利用被害が多い状況にあると認識されているEC加盟店のことです。 EMV 3-Dセキュアの導入義務化やその背景について、より詳しく知りたい人は以下の記事をご覧ください。 >>「EMV 3-Dセキュア（3Dセキュア2.0）の導入が義務化！背景や必要な対応と注意点について」はこちら

3Dセキュア2.0（EMV 3-Dセキュア）の前身となる3Dセキュア1.0は、1999年にVisaが開発し、2002年から他の国際ブランドにライセンス提供されるようになりました。ここでは、3Dセキュア1.0が開発された目的や仕組み、課題をご紹介します。 なお、3Dセキュア1.0は2022年10月をもって各国際ブランドがサポートを終了しています。

目的

ECサイトでクレジットカードを使って買い物をする際は、基本的にクレジットカード番号や有効期限などの情報を入力するだけで決済ができます。しかし、スキミングでカード情報が盗まれてしまうと、不正利用されてしまうリスクがあります。スキミングとは、クレジットカードに記録された情報を読み取り、偽造カードを作って使用する不正行為です。 スキミングによる不正利用を防止するため、クレジットカードにはセキュリティコードがあります。セキュリティコードはカードの券面に記載されている三桁、あるいは四桁の数字で、クレジットカードの磁気情報に含まれず、カードを持っている人にしかわからない情報です。そのため、決済時にクレジットカード情報とセキュリティコードの入力を要求する仕組みがあれば、スキミングによる被害は抑えられます。 ただし、セキュリティコードは券面に記載されているため、クレジットカードが盗難などで他人の手に渡ってしまった場合、本人以外の誰かによってクレジットカードが利用されてしまうおそれがあります。そうした情報の流出リスクに対応するためには、カード情報に加え、本人しか知りえないパスワードを入力して本人認証をおこなう3Dセキュアが有効とされました。

仕組み

3Dセキュア1.0では、商品購入のリクエストをすると本人認証画面に移動し、パスワードの入力が求められます。パスワードを入力し合致すると本人認証が完了し、オーソリゼーションのステップに進みます。誤ったパスワードを入力すると取引が拒否され、オーソリゼーションのステップに進めない仕組みです。

3Dセキュア1.0はEC加盟店でクレジットカード決済をするときのセキュリティを強固にするものですが、以下のような課題もありました。

CVR低下（カゴ落ち増加）

3Dセキュア1.0の導入には、CVR（コンバージョン率）が低下するリスクがありました。CVRとは、Webサイトやアプリを訪れたユーザーのうち商品購入や会員登録などに至った割合のことです。CVRが低下するということはすなわち、カゴ落ちの増加を意味します。 3Dセキュア1.0を導入すると、ECサイト利用者には、クレジットカード情報だけでなくパスワードを入力する工程が加わります。そのため、パスワード紛失や誤入力などの理由でCVRの低下を招くおそれがありました。

モバイルアプリ内決済に非対応

3Dセキュア1.0は、PCブラウザで利用されることを想定したものでした。そのため、スマートフォンやアプリ内での利用は推奨されておらず、非対応となっていました。

非決済分野に非対応

3Dセキュア1.0の導入により、クレジットカード決済場面のセキュリティ向上に一定の効果が期待できました。しかし、サイトへのログイン、会員登録などの非決済分野に対応していないため、決済前後の不正ログイン対策は別に用意しなければなりませんでした。

1999年に3Dセキュア1.0が誕生した時代には、今日のようなモバイル環境の広がりは想定されていませんでした。しかし、近年は購入経路が多様になり、加盟店のカード登録やモバイルウォレットへのチャージなど、さまざまな手続きへの対応が迫られるようになってきました。そうした背景のもと、2016年に3Dセキュア2.0（EMV 3-Dセキュア）が登場しました。ここからは、その目的や仕組み、特徴をご紹介します。

目的

前述したとおり、3Dセキュア1.0には、カゴ落ちが増えるリスクがある、アプリ決済に対応できないなどの課題がありました。そうした課題を解決し、より安全で利便性の高い本人認証システムの導入が求められるようになったことから、EMV 3-Dセキュアが開発されました。

仕組み

EMV 3-Dセキュアの仕組みを理解するために、3Dセキュア1.0との違いを以下の表にまとめました。

このように、3Dセキュア1.0とEMV 3-Dセキュアは仕様が異なるため、ECカートシステムや決済代行会社によっては移行にコストがかかる場合があります。自社開発をしている場合は、新たにシステム開発などの作業が発生するかもしれません。 3Dセキュアの仕組みについて、より詳しく知りたい人は以下の記事をご覧ください。 >>「3Dセキュアの仕組み：フリクションレスフローでコンバージョンを最大化しながら決済不正を防止」はこちら

EMV 3-Dセキュアの主な特徴は以下の3つです。3Dセキュア1.0の問題点をどのように改善したかを踏まえて見ていきましょう。

リスクベース認証によるCVR低下（カゴ落ち）リスクの軽減

EMV 3-Dセキュアのリスクベース認証とは、注文主や届け先といった情報から不正利用のリスクを判断し、結果に応じて本人認証をおこなうかどうかを決定する仕組みです。

EMV 3-Dセキュアでは、3Dセキュア1.0のように取引のたびに本人認証画面が表示されることはありません。そのため、「入力が煩わしい」「パスワードを忘れた」といった理由でカゴ落ちするリスクが低減します。

モバイルアプリ内の決済や非決済分野への対応

EMV 3-Dセキュアは決済時だけでなく非決済分野にも対応しています。ログイン時や会員登録時、会員情報変更時、モバイルウォレットへのチャージなど、さまざまな場面で不正検知が可能です。 これにより、ログインから決済まで一貫して監視する、線での不正対策が実現します。

多様な認証オプションによるセキュリティ向上

3Dセキュア1.0はブラウザでの利用を推奨していましたが、EMV 3-Dセキュアはアプリにも対応できるようになったため、EC加盟店は販売チャネルを拡大しやすくなりました。 さらにEMV 3-Dセキュアは、生体認証やSMS認証、ワンタイムパスワード、QRコードスキャンによる認証といった多様な認証方法を利用できます。 それぞれの認証方法の概要は以下のとおりです。

3Dセキュア1.0は登場してから長らくバージョンが変わりませんでしたが、3Dセキュア2.0（EMV 3-Dセキュア）は、2016年に仕様が公開されて以降、2017年にはバージョン2.1が登場。現在は2.3までバージョンアップが進んでいます。 2.0から2.1へのバージョンアップでは、PSD2のSCAに準拠する形となりました。PSD2とは、2018年にEUで導入された、決済サービスやデジタル決済市場を規制する法的枠組みのことです。また、SCAとはStrong Customer Authenticationの略で、強固な顧客認証のことです。「知識」「所有」「固有性」の3つの要素のうち2つを尋ねて本人認証をおこなう二要素認証が特徴です。仮にSCAに準拠していない場合、決済の承認率が低下する可能性があります。 PSD2はあくまでEUのルールですが、不正利用のリスクをより低下させ健全な取引を広げていくという取り組みは日本でも広がっていくでしょう。 2.2へのバージョンアップでは、カード利用者が不在でも加盟店がオンライン取引を実行できるリクエスター実行型決済（3RI）が可能になりました。さらに、IoTやスマートスピーカーなどにも対応できるようになるなど、消費者ニーズの変化や技術の進化にともない、利便性の面でも変革を続けています。時代のニーズを踏まえながら、こうしたアップデートは今後も続いていくことでしょう。 ただし3Dセキュアの技術が進化しても、機械で自動生成した大量のクレジットカード番号の有効性をECサイトを通じて確認し、有効な番号を不正利用するクレジットマスターアタックなど、不正も巧妙化しています。 また、3Dセキュアのリスクベース認証をすり抜けてしまう可能性もあるため、決済時という点だけでなく決済前、決済時、決済後の線で不正利用対策を考える、あるいは複数の不正利用対策を施すといったことも検討していく必要があります。 EMV 3-Dセキュアの今後の展望について、より詳しく知りたい人は以下の記事をご覧ください。 >>「EMV 3-Dセキュア（3Dセキュア2.0）とは？2.0から2.3までの経緯と特徴、今後の展望について」はこちら

3Dセキュアとは、ECサイトでクレジットカードを使って決済する際の本人認証サービスのことです。1999年に3Dセキュア1.0が誕生しましたが、CVRが低下する、モバイルや非決済分野に対応していないなどの課題がありました。 こうした課題を解決するとともに、より時代のニーズにあった本人認証を提供できるように開発されたのが3Dセキュア2.0（EMV 3-Dセキュア）であり、2024年度末（2025年3月末）までにまでにすべてのEC加盟店に導入が義務付けられています。 EMV 3-Dセキュアは頻繁にバージョンアップがおこなわれており、対応が遅れると承認率が低下する恐れもあります。導入する際は、変化への対応が柔軟で、いざというときに手厚いサポートが受けられる会社を選びましょう。

Adyenはこれまで多くの国のあらゆる事業規模、業態に対応しており、PSD2のSCA要件に準拠するノウハウも有しています。

そのため、どのような場所でもフリクションレスかつ安全な本人認証を提供できます。また、AdyenのAPIを導入して3Dセキュアコンポーネントを追加するだけで、必要に応じて機能をカスタマイズすることも可能です。さらに、機械学習を活用することで、最適な認証ルートを選択し、コンバージョン率の向上を実現します。

前述したとおり、3Dセキュア2.0（EMV 3-Dセキュア）だけでは不正利用対策としては不十分な場合もありますが、Adyenなら不正検知システムなどのセキュリティ技術も組み合わせられる他、PCI DSSに準拠しているため、より多角的な視点で不正利用対策を講じることができます。

Adyenでは、24時間年中無休で利用できる技術サポートもご用意しています。EMV 3-Dセキュアの導入をご検討の際は、ぜひAdyenにお問い合わせください。