3Dセキュア2.0（EMV 3-Dセキュア）の導入が義務化。その運用のポイントとは？

3Dセキュアとは、国際ブランドが推進し、クレジットカード各社が導入している本人認証サービスの総称です。国際ブランドによって名称が異なる場合がありますが、基本的な仕組みはどれも同じです。

これまで、ECサイトでクレジットカードを利用して買い物をする場合は、カード番号と有効期限、カード券面に書かれたセキュリティコードを入力すれば決済ができました。しかし、この場合、カード情報等が漏洩すると本人ではなくてもクレジットカードを利用できてしまうリスクがありました。 そこで、クレジットカード番号や有効期限などのカード券面の情報入力に加えて、カード会員本人が設定したパスワードによる本人認証を要求する3Dセキュア1.0が登場しました。

しかし、3Dセキュア1.0は買い物をするたびにパスワードを入力しなければならず、パスワードを忘れてしまった、入力が面倒、さらにはカード会社の周知不足でパスワード入力の別画面への遷移が不審に思われるなどの理由でカゴ落ちが増える問題点もありました。 そこで、クレジットカードの利用履歴やカード利用者の購入場所（加盟店）、デバイスの情報などから、普段と異なる購入行動があった場合にのみ本人確認を要求する「リスクベース認証」を採用した3Dセキュア2.0（EMV 3-Dセキュア）が登場しました。

EMV 3-Dセキュアは、SMS（ショート・メッセージ・サービス）やアプリ、メールと連動したワンタイムパスワード認証など、さまざまな認証方法に対応しているため、従来の3Dセキュアよりも利便性が向上しています。

3Dセキュアについて、より詳しく知りたい人は以下の記事をご覧ください。

>>「3Dセキュアの仕組み：フリクションレスフローでコンバージョンを最大化しながら決済不正を防止」はこちら

前述したとおり、ECサイトにおけるクレジットカードの不正利用が増加傾向にあることを受け、経済産業省は、2025年3月までにすべてのEC加盟店に3Dセキュア2.0（EMV 3-Dセキュア）の導入の義務化を発表しました。 また、割賦販売法に基づくセキュリティ対策義務の事実上の指針とされているクレジットカード・セキュリティガイドラインの5.0版が2024年3月に公表されました。 ガイドラインでは、EC加盟店に対してEMV 3-Dセキュアの導入を求めており、なかでも不正顕在化加盟店（すでに一定基準の不正利用が発生し被害が生じている加盟店）に対しては、即時にEMV 3-Dセキュア導入に着手することを求めています。 3Dセキュア導入義務化について、より詳しく知りたい人は以下の記事をご覧ください。 >>「EMV 3-Dセキュア（3Dセキュア2.0）の導入が義務化！背景や必要な対応と注意点について」はこちら

3Dセキュアの導入形態には、自社構築、決済代行会社との直接契約や包括代理店契約などがあります。ここからは、各導入形態の特徴を解説します。

自社構築

3DSサーバーを自社開発する、製品として購入し自社で運用する、ホスティングサービスを利用する、などの方法が自社構築に該当します。 3DSサーバーとは、認証結果を判定（検証）し、判定結果と判定ルールをもとにカード決済手続きを進める加盟店側の3Dセキュア2.0用のシステムのことです。 構築にあたっては、まず自社の3DSサーバが、EMV 3-Dセキュアの仕様を策定している団体であるEMV Coの認定試験に合格する必要があります。また、各国際ブランドごとに認定を受ける必要があり、各認定有効期限内に再度認定試験を受けなければならないため、開発だけでなく保守にも大きな負担がかかるといえます。 また、構築の際は、各アクワイアラー（カード会社）とEMV 3-Dセキュアに関する契約の締結が必要になる場合があります。

決済代行会社の3Dセキュアシステムの導入

決済代行会社を利用して3Dセキュアを導入する場合、加盟店が各アクワイアラーや決済代行会社と契約を締結したうえで決済代行会社が提供している3Dセキュアシステムを導入するという方法があります。 自社構築と比べて複雑な手続きが不要で、複数の認証ステップを決済代行会社がすでに行っているケースが多いため、システム開発や事務手続きなどの初期ステップを大幅にスキップできます。

3Dセキュアシステムプロバイダーを利用

その他、3Dセキュアのシステムを提供しているプロバイダーを利用して実装する方法もあります。 こちらは構築時に必要な認定試験や保守メンテナンスをプロバイダーが実施するため初期費用は抑えられます。ただし、利用している各アクワイアラーや決済代行会社との間で接続試験等をおこなうこともあります。またアクワイアラーや決済代行会社とプロバイダーが異なるため、それぞれに手数料が発生することが多いようです。

3Dセキュアの導入が義務化されるのは、国際ブランド付きのクレジットカードにおける取引です。そのため、以下の決済方法では3Dセキュア未導入が認められます。

1. プリペイドカード

2. デビットカード

3. ゲーム機や音声だけで操作ができるスマートスピーカーのような、3Dセキュアをサポートしていない端末から開始された取引

4. カード会員と加盟店間で事前に合意した内容に基づく取引（サブスクなど）

5. Google PayやApple Payなどの本人認証が入っているウォレットからの取引

6. 電話や郵便を介して決済に必要な情報を提供する取引（MOTO決済）

7. 個人事業主や法人名義のクレジットカードに限定したサイトでのBtoB取引

8. 加盟店の従業員のみがアクセスできる専用Webサイトなど

上記3～6の取引は、そもそも3Dセキュアを適用できない取引です。 一方で7については、カードを登録するWebサイトが指定された法人（ビジネス用）に限定されていない場合、あるいはBtoCが混在するケースでは3Dセキュア2.0の導入が必須です。また8については、イントラネット内の従業員専用購買サイトを指しています。一方、通常のショッピングサイトで従業員を識別して割引を提供する場合には、3Dセキュアの導入が求められます。 3Dセキュアの導入形態や導入対象外取引について、より詳しく知りたい人は以下の記事をご覧ください。 >>「3Dセキュア認証の登録方法は？導入形態や手続きについて」はこちら

以前のクレジットカード・セキュリティガイドラインでは、非対面での不正利用対策として以下の4つの方策をベースとした複数の対策の導入を指針としてきました。

• 本人確認（3Dセキュア、認証アシスト）

• 券面認証（セキュリティコード）

• 属性・行動分析

• 配送先情報

しかし、加盟店の業種や業態、取扱商品や不正利用の実態などによって効果的な不正利用対策は異なり、実効的な抑止効果が得られにくいケースが散見されました。そこで、ガイドラインの5.0版では、抑止効果をより高めるために決済の場面を「決済前」「決済時」「決済後」に分け、それぞれの場面に対して点で対応するのではなく、線で考える運用の全体像が示されています。 これを踏まえ、ここからは3Dセキュア2.0（EMV 3-Dセキュア）の具体的な運用パターンをご紹介します。なお、EMV 3-Dセキュアは不正対策の軸となるものであり、いずれのパターンにおいても各加盟店でEMV 3-Dセキュアの導入が前提となっている点に留意しましょう。

パターン①：加盟店側のリスク判断で3Dセキュア認証を実施

1つ目のパターンは、カード番号登録時や決済時に加盟店側のリスク判断で3Dセキュア認証を実施するパターンです。 ただし、加盟店が網羅的におこなっている不正利用対策にEMV 3-Dセキュアと同等以上の不正抑止効果が認められることが前提となります。そのため、この運用をおこなうには、契約しているアクワイアラーもしくは決済代行会社による厳しい基準の審査・承認をクリアする必要があります。

パターン②：カード番号登録時に3Dセキュア認証を実施

2つ目のパターンは、カード番号登録時にEMV 3-Dセキュアによる認証を必須とし、決済時は加盟店が不正リスク判断をおこない、必要と判断したときにEMV 3-Dセキュアによる認証をするパターンです。 ただしこのパターンで運用する場合は、属性や行動分析などでアカウントを厳格に管理しクレジット取引セキュリティ対策協議会が指定する不正ログイン対策のうち２つ以上を講じている必要があります。

パターン③：クレジットカード決済時に3Dセキュア認証を実施

3つ目のパターンは、クレジットカード番号登録時にEMV 3-Dセキュアによる認証を推奨し、決済の段階でEMV 3-Dセキュアによる認証を必須とするパターンです。あらかじめ設定したIDやパスワードの他、ワンタイムパスワード、デバイスの生体認証などで本人確認をおこないます。 3Dセキュアで利用するパスワードは、クレジットカードに記録されていない情報です。本人認証をおこなうことで、カード本体やカード情報を不正に入手した第三者による、なりすましのリスクが軽減します。

加盟店起点の取引における例外

購入者と加盟店の合意のもと、加盟店が購入者に代わって支払処理を開始する加盟店起点の取引の場合、初回の取引以降は顧客からクレジットカード番号の通知がおこなわれません。この場合は、初回決済時にEMV 3-Dセキュアによる認証をおこないます。 ただし、契約内容の変更やサービスの追加など新たに顧客接点が生じたときは再度認証をおこないます。 主な加盟店起点の取引としては次のようなものがあります。

• サブスクリプション

• チャージ型決済におけるオートチャージ

• 商品の一部返品による金額変更、商品の分割出荷など、既存取引における加盟店側の事情による再オーソリ

3Dセキュアの精度向上とフリクションレス決済を同時に実現するには、AReqデータ項目の設定が重要です。 AReqとはAuthentication Requestの略で、加盟店が送る本人認証リクエスト電文のことです。AReqで設定する利用者の端末情報や各種個人情報といったデータ項目の数が多く、一貫性があり、正確性が高ければ、アクセスコントロールサーバー（以後、ACS）の認証精度向上に寄与します。 ACSとは、非対面取引においてイシュアー（カード発行会社）がカード会員本人を認証するためのサーバーのことです。ACSには、チャレンジを実施するかどうかを判断する機能があります。ACSの認証精度が向上すると不要なチャレンジ認証を削減でき、フリクションレス率の向上に寄与します。

LACOSTEやTHE NORTHFACEなど19の世界的ブランドを扱うオーストラリアの小売大手True Allianceでは、決済の不正利用が大きな問題となっていました。

そこで同社では、決済システムをAdyenに移行したタイミングで、リスク管理ツールRevenueProtectや3Dセキュア（3DS2）認証を導入。強力な不正防止機能により一夜にして不正利用が減少し、以前の決済ゲートウェイと比べて年間140万ドルのコスト削減となりました。

詳しくはこちらをご覧ください。

>>「True Alliance」の導入事例はこちら

3Dセキュア2.0（EMV 3-Dセキュア）を導入すると、不正利用のリスクを軽減できるだけでなく、さまざまな認証方法に対応できるようになり、決済の利便性も向上します。 しかし、3Dセキュアの精度向上を追求しすぎると、チャレンジが増えてしまい、顧客に対してフリクションレスな決済体験を提供できなくなるかもしれません。そのため、ACSの認証精度を向上させ、チャレンジを減らすことが重要になります。 また顧客に満足度の高い決済体験を提供するもう一つの方法として、機械学習を活用してフリクションレスで認証すべきかを判断する決済システムを導入する方法もあります。 自社に適した方法を選択するために、3Dセキュアの仕組みを正しく理解しましょう。

Adyenの3Dセキュア2.0（EMV 3-Dセキュア）は、AdyenのAPIを導入して3Dセキュアコンポーネントを追加するだけで、さまざまな機能を自由自在にカスタマイズすることが可能です。機械学習によって毎回最も成功率が高い認証ルートを提供するため、コンバージョン率の最大化に貢献します。また、EMV 3-Dセキュアに加えて不正利用検知システムなども併せて導入することで、より多角的な視点で不正利用のリスク判定が可能となります。 またAdyenは日本のアクワイアリングを利用する加盟店向けに、前述したパターン②、③、例外を自動で識別する仕掛けを導入します。自動判定ができない場合、加盟店は、この取引はユーザー登録済みかつ本人認証済みのため3Dセキュアの実施が不要、これはゲストチェックアウトのため3Dセキュアの実施が必要、これはサブスクのため実施不要のように取引ごとに判断する必要があります。 Adyenは加盟店に代わってこれらの判断をおこなうため、加盟店の負担を軽減することが可能です。 つまり、AdyenのDynamic 3Dセキュアを利用することで、自動的にパターン②や③、例外を識別しつつ、取引のリスク判断をおこない、規制内容に応じてリスクが低い取引には最小限の3Dセキュアを適用することが可能になります。また、ライアビリティシフトを考慮してすべての取引に3Dセキュアを適用したり、リスク判断を細かく設定してプリペイドカードやデビットカードにも適用することもできます。 EMV 3-Dセキュアは個人情報ともいえる情報を扱いますが、Adyenの決済システムはPCI DSSに準拠しているうえ、あらゆる決済規模、国や地域、業種、ニーズに対応してきた実績があります。サポートが必要なときのために、24時間年中無休で利用できる技術サポートも用意しています。 EMV 3-Dセキュアの導入をご検討の際は、ぜひAdyenにご相談ください。