EMV 3-Dセキュア（3Dセキュア2.0）の導入が義務化。背景や必要な対応と注意点について

3Dセキュアとは、ECサイトで決済をする際に本人認証確認をおこない、不正利用を防止する仕組みのことです。クレジットカードの国際ブランドであるVisaが3Dセキュア1.0を開発し、1999年から他の国際ブランドも含めて運用がされていました。 しかしカゴ落ちが発生してしまう、不正利用対策がぜい弱という理由で、2022年に3Dセキュア1.0は終了し、現在では全国際ブランドがEMV 3-Dセキュア（3Dセキュア2.0）を採用しています。

EMV 3-Dセキュアと3Dセキュア1.0の違いを項目ごとに比較すると以下のとおりです。

※3Dセキュア1.0のサポート終了以降

3Dセキュア1.0では、まずカード利用者が事前に決済時に使用する専用パスワードを登録しておきます。そのうえで、ECサイトで決済するときに表示される本人認証サイトで専用パスワードを入力し、一致すれば決済が完了する仕組みでした（通常はカード発行会社のカード会員用のサイトのパスワードを入力させるケースが多かったようです）。 しかし、決済のたびに専用パスワードの入力を求められるため、専用パスワードを忘れた、入力が面倒、突然違う画面が現れて入力画面を閉じてしまうなどの理由でカゴ落ちが発生することもありました。また、パスワードが流出した場合に悪用されるリスクもありました。 現在、各国際ブランドでは3Dセキュア1.0のサポートを終了しています。3Dセキュア1.0の次に登場したEMV 3-Dセキュアは、不正利用かどうか本人認証をしたいときおよび加盟店からのリクエストで本人認証画面が表示されるリスクベース認証を採用しているため、カゴ落ちのリスクを減らせるようになっています。また、生体認証やワンタイムパスワードなどのセキュリティ技術が向上し、以前よりも安全にECサイトで決済ができる環境が整っています。

2022年10月11日、経済産業省はすべてのEC事業者にEMV 3-Dセキュアの導入の義務付けを発表しました。なぜEMV 3-Dセキュアの導入が義務付けられたのか、ここではその背景と経緯を解説します。

ECサイトにおける不正利用の増加

経済産業省の「令和5年度デジタル取引環境整備事業（電子商取引に関する市場調査）」によると、日本国内におけるBtoC-EC（消費者向け電子商取引）の市場規模は2023年で24.8兆円と、ここ数年はおおむね増加傾向が続いています。 引用：経済産業省「令和5年度電子商取引に関する市場調査」

しかしオンラインショッピングが主流になる一方、代表的なオンライン決済手段であるクレジットカード決済の不正利用による被害額は年々増加傾向にあります。被害額の内訳を見てみると、「番号盗用被害額」が90％近くを占めていることが分かります。こうした背景から、クレジットカード番号による認証だけではセキュリティが十分でないことが明らかとなっており、不正利用を防ぐための対策が急務となっています。そこで、経済産業省は、不正利用対策の一環として、3Dセキュアの導入を義務化する方針を発表しました。

出典：一般社団法人日本クレジット協会「クレジットカード不正利用被害額の発生状況」

経済産業省による3Dセキュア導入義務化発表

不正利用が増加している事態を重く見た経済産業省は、2022年10月11日、すべてのEC事業者にEMV 3-Dセキュア（3Dセキュア2.0）の導入義務化を発表しました。また2023年3月には、割賦販売法に基づく実務上の指針としてクレジットカード・セキュリティガイドラインにもEMV 3-Dセキュアの導入義務化の方針が明記されました。 ただし、クレジットカード不正利用の手口は年々巧妙化しており、EMV 3-Dセキュアだけですべての被害を防止できるわけではありません。 そのため、一般社団法人日本クレジット協会は、決済前・決済時・決済後それぞれの場面ごとにセキュリティ対策を導入する必要があり、点ではなく線として考えることを求めています。

出典：クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【5.0版】」

では、EC事業者は不正利用防止のために具体的にどのような対策を講じればよいのでしょうか？ここでは、クレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン【5.0版】」の内容をもとに解説します。

不正利用対策で求められる4つの方策

クレジットカード・セキュリティガイドライン【5.0版】では、EC事業者の不正利用対策として以下の4つの方策をベースとした対策を導入するよう求めています。

3D セキュアの運用について、より詳しく知りたい人は以下の記事をご覧ください。 >>「3Dセキュアの運用ポイント（セキュリティガイドライン5.0）」はこちら

EMV 3-Dセキュア（3Dセキュア2.0）の導入

すべてのEC事業者には、クレジットカードのオーソリゼーション処理の体制整備をおこなうとともに、加盟店として通常要求される程度の注意義務を払い、不正防止に努めることが求められています。オーソリゼーション処理とは、利用者のクレジットカードが利用可能か、有効性や利用限度額などを確認する手続きのことです。 また、クレジットカードの不正利用のリスクや被害状況などに応じた方策を導入する必要もあります。それらを踏まえ、2025年3月末までにはEMV 3-Dセキュアを導入しなければなりません。

高リスク商材取扱加盟店は、先に紹介した不正利用対策で求められる4方策のうち1方策以上、不正顕在化加盟店は2方策以上を導入し、2025年3月末ではなく早期にEMV 3-Dセキュアを導入する必要があります。 高リスク商材加盟店とは、デジタルコンテンツ（オンラインゲームを含む）、家電、電子マネー、チケット、宿泊予約サービスなど不正利用被害のリスクが高い商材を扱っているEC事業者を指します。 また不正顕在化加盟店とは、決済代行サービス（PSP）やカード会社など各社が把握する不正利用金額が3ヵ月連続50万円超となっているEC事業者のことです。

EMV 3-Dセキュアを導入しなかった場合、加盟店にはどのようなリスクがあるのでしょうか。ここでは3つのリスクを解説します。

行政からの指導を受ける場合がある

EMV 3-Dセキュアの導入を怠っても罰則規定があるわけではありません。しかし、2018年6月1日に施行された改正割賦販売法では、クレジットカードを取り扱うEC事業者にクレジットカード番号の適切な管理や不正利用対策を講じることが義務付けられました。 これにより経済産業省は、EC事業者の営業所や事業所に立ち入って帳簿や書類などを検査できるようになり、十分なセキュリティ対策が取られていなかった場合には早急な対策を取るよう行政指導できるようにもなりました。

出典：経済産業省「改正割賦販売法について」

加盟店契約・取引を解除される可能性がある

セキュリティ対策措置が不十分な加盟店には、カード会社（アクワイアラー）を通じて対策を講じるよう指導がおこなわれます。 指導を受けたにもかかわらず、指定した期日を過ぎてもEMV 3-Dセキュアが未導入であったり、導入意思が確認できない場合は、加盟店契約を解除される可能性があります。

顧客が離反する可能性がある

経済産業省の主導のもと、イシュアー（カード発行会社）も、クレジットカード・セキュリティガイドラインに即してEMV 3-Dセキュアの導入促進をはじめとしたセキュリティの向上に取り組んでいます。 そうした状況にありながらも対策を講じなかったために不正利用を発生させてしまった場合、自社のブランドイメージは大きく低下するでしょう。その結果、顧客の離反につながるリスクがあることを想定しておく必要があります。

EMV 3-Dセキュアを導入するとどのようなメリットが得られるのでしょうか。ここでは、3つのメリットを具体的にご紹介します。

不正利用リスクの低減につながる

EMV 3-Dセキュアを導入すると、オンライン決済で不正利用を防ぐために追加の認証ステップを提供できるようになります。これにより、カード情報の不正使用やクレジットカード詐欺のリスク低減につながります。

チャージバックのリスクや対応コストの低減につながる

不正利用があると、不正利用された顧客の対応に時間が割かれるうえ、チャージバックによる損失が発生するおそれがあります。 チャージバックとは、不正利用などの理由でクレジットカード保有者が利用代金の支払いに同意しない場合にカード会社が売上を取り消すことです。クレジットカード会社が売上を取り消すと、加盟店はカード会社に利用代金を返金しなければなりません。商品をすでに送ってしまっている場合、商品が戻ってくる可能性は低いため、二重で損失を被ることになります。

EMV 3-Dセキュアを導入することで不正利用は減少し、また国際ブランドのルールによって不正利用によるチャージバックから加盟店は守られるため、不正利用によるチャージバックのリスクはほぼ無くなります（EMV 3-Dセキュアを導入していても不正利用が多すぎる場合はこの特権は失います。また不正利用以外のチャージバックは起こりえます）。 チャージバックについて、より詳しく知りたい人は以下の記事をご覧ください。

>>「チャージバックとは何か理解し拒否、対策する方法 」はこちら

顧客の信頼獲得につながる

セキュリティが高い決済システムを導入するとブランドの信頼性が高まり、リピーターの獲得につながります。インターネットで買い物をする人は増加する一方であり、セキュリティが高いブランドであるとの認識が広まれば、より多くの人に支持され、新規顧客の取り込みにもつながるでしょう。

EMV 3-Dセキュアを導入する方法には、自社でシステムを開発する方法と決済代行会社のシステムを導入する方法の2つがあります。ここでは、両者のメリットとデメリットをご紹介します。

自社でシステムを開発する

自社開発する場合、インターフェースを自由にカスタマイズできる点、外部に依頼しないため導入にかかる手数料を抑えられる点がメリットです。 ただし、自社で開発するには高いセキュリティ技術と専門知識のある人材が必要になるため、基本的に自社開発は難易度が高いといえます。またEMVCoからの認証を受けたり、定期的にアップデートしたり、各国際ブランドからの承認を受けないといけなかったりと導入後の運用もかなり負荷の高いものとなります。

決済代行会社のシステムを導入する

決済代行会社とは、クレジットカード決済やQRコード決済など、さまざまな決済サービスとの契約・運用をまとめて代行するサービスを提供する会社です。 3Dセキュアに対応している決済代行会社と契約すれば、3Dセキュアが標準対応している決済システムやAPIをそのまま活用できるため、技術開発や実装にかかる手間を大幅に削減できます。また、導入後のセキュリティ対策やシステム更新、上述のEMVCoとのやり取りや国際ブランドからの承認も決済代行会社がおこなうため運用にかかる負担も軽減できるでしょう。 ただし、導入や運用にかかる手数料が発生する点には注意しましょう。また、仮に使用しているシステムに障害が発生した場合でも決済代行会社に対応してもらうことになるため、EC事業者自身が迅速に対応することが難しくなります。

3Dセキュアを導入する際には注意しておくべきポイントがあります。ここでは、導入時に知っておきたい3つの注意点についてご紹介します。

PCI DSSに準拠する

3Dセキュアを構成するシステムはクレジットカードを扱うため、PCI DSS（Payment Card Industry Data Security Standard）というクレジットカードのセキュリティ基準に準拠している必要があります。 PCI DSSは、情報セキュリティ向上を目的に国際カードブランド5社によって策定されたセキュリティ基準です。

円滑な決済体験の維持に努める

3Dセキュアを導入すると、利用者は認証回数が増えるため決済完了率の低下が懸念されます。 そのため、3Dセキュアを導入する際は、利用者がスムーズに決済を完了できる認証方法の提供に向けてUI/UXの改善にも取り組む必要があります。新たな認証画面に遷移するだけで不安に感じる利用者も少なくないため、サポート体制も整えておきましょう。

不正利用対策に対して包括的に取り組む

前述したとおり、3Dセキュアを導入したからといって、不正利用のリスクを完全に防げるわけではありません。クレジットカード・セキュリティガイドラインに沿い、3Dセキュアとあわせて不正検知サービスやセキュリティコードによる認証を取り入れるなど、包括的な不正利用対策に取り組むことが大切です。

最後に、3Dセキュア導入の具体例を見ていきましょう。ここでは、配送サービスを展開するUberとECサイトや実店舗を多数展開するTrue Allianceの2社の事例をご紹介します。

顧客の決済体験とセキュリティの両立（Uber）

Adyenは配車サービスを提供しているUberの国際決済パートナーとして、2012年にオランダでサービスを提供して以来、同社事業の急速な国際展開にともなうさまざまな決済課題に取り組んでいます。

2019年には、同社の3Dセキュア導入におけるソリューションプロバイダーに選ばれています。Uberの決済パートナーシップ責任者であるMarco Mahrus氏は、Adyenの3Dセキュアを導入した理由として、Adyenの革新的な製品機能や導入の容易さ、専門性の高さを挙げています。

Adyenの3Dセキュアは、欧州のセキュリティ規制に対応した顧客認証を可能にしながらも、顧客の決済体験を損なわないスムーズな認証プロセスを提供し、Uberが提供するシームレスな決済体験を支えています。

詳しくはこちらをご覧ください。

>>「Uber」の導入事例はこちら

強固なセキュリティで不正利用数・コストを削減（オーストラリアの小売大手True Alliance）

オーストラリアの小売大手True Allianceでは、19の世界的ブランド、23のECサイト、100の店舗を展開しています。当初、True Allianceでは多数の決済ベンダーと複数の決済ゲートウェイを使用していたため、決済方法の取り扱いや不正防止に関して多くの課題を抱えていました。

そこで、オンライン決済と店頭決済の管理効率を向上させるため、Adyenのユニファイドコマースと単一の金融テクノロジープラットフォームを導入。また、不正利用対策として、Adyenの不正防止エンジンRevenueProtect、3Dセキュア認証なども導入しました。

その結果、不正利用率は3.5％から0.1%未満に大幅に減少し、年間で140万ドル以上の利益増加に成功しました。

詳しくはこちらをご覧ください。

>>「True Alliance」の導入事例はこちら

インターネットショッピングの需要の急増にともない、不正利用の件数は上昇傾向にあります。事態を重く見た経済産業省は、すべてのEC事業者に対し、2025年3月末までにEMV 3-Dセキュアの導入義務化を発表しました。 EMV 3-Dセキュアを導入しなくても現時点では罰則が明確になっておりません。ただし、クレジットカード番号の適切な管理や不正利用対策を怠ったことで行政から指導を受ける可能性があります。アクワイアラーから加盟店契約を解除されたり、他のアクワイアラーとの契約ができなくなるリスクや顧客離れを招くリスクもあるため、自社のEC事業を発展させたいのであれば、EMV 3-Dセキュアの導入は2025年4月からは必須です。 しかし、ECサイトのセキュリティ対策はEMV 3-Dセキュアだけでは十分ではありません。2025年4月からの点から線への不正対策の拡大に合わせて、不正ログイン対策、不正検知システム、配送先情報確認なども組み合わせて、より安心な決済環境を利用者に提供することが重要です。

Adyenのソリューションで実現できること

Adyenの決済代行システムは、PCI DSSに準拠した3Dセキュア2.0（EMV 3-Dセキュア）を提供する他、不正検知システムなど高いセキュリティ対策を有しています。3Dセキュアでは、機械学習により成功率の高い認証ルートを提供してコンバージョン率を最大化すると同時に、利用者にスムーズな決済体験を提供します。 また、Adyenは世界中の一般的な決済サービスに対応しているため、国や通貨をまたいだ事業展開にも対応可能です。世界各地の規制やニーズに適応した認証の提供ができる他、将来的に決済手段を追加することも容易です。 3Dセキュア2.0（EMV 3-Dセキュア）の導入やオンライン決済システムの運用面でお困りの際には、24時間年中無休で利用できる技術サポートも備えています。高いセキュリティ対策を施した決済システムや3Dセキュアの導入をご検討の際は、Adyenまでお気軽にお問い合わせください。