Knowledge Hub

ニュースとアップデート

日本での3Dセキュア義務化:2025年に向けて知っておくべきこと

決済の不正利用から消費者を守るため、日本では新たな3Dセキュア対策が求められています。これに対して貴社がどう備えていくべきか、考えていきましょう。

2 6月, 2024
 ·  3 分

トピック

ニュースとアップデート リスク管理 グローバル展開 コンプライアンスを容易に

クレジットカードの国際ブランドや各国の規制機関は、カード保持者にとってより安全・安心な決済の実現に向けて取り組みを進めています。現在、日本では、経済産業省のクレジットカード・セキュリティガイドラインに基づいて3Dセキュアが義務化されようとしています。

では、国境を越えて日本に参入、または日本国内で事業を展開する企業にとって、これはどのような意味を持つのでしょうか?規制の変更について知っておくべき重要事項、講ずべき措置、決済パートナーがこの変更への対応をどのようにサポートするのかについて、簡単に説明します。

そもそも3Dセキュアとは?

3Dセキュアとは、EMVCoにより策定され、国際ブランドでサポートされている認証プロトコルです。これはオンライン決済のセキュリティ対策であり、進化する決済の不正利用の脅威から消費者を守ることを目的としています。3つのドメイン(アクワイアラー、国際ブランド、イシュアー)は、3Dセキュア・プロトコルを使用して互いに情報交換や取引の認証を行います。

3Dセキュアは決済の不正利用の防止に役立ち、主要なすべての国際ブランドでの非対面(CNP)取引に使用できます。欧州では、電子決済の管理のため、PSD2(欧州連合の決済サービス指令2)が導入され、オンライン決済での3Dセキュアによるセキュリティ対策が欧州連合全域で義務付けられました。現在、日本でも同様の措置が講じられようとしています。 3Dセキュアについてはこちらの記事で詳しく解説しています。

3Dセキュアの義務化

2024年3月15日、経済産業省は、改訂版のセキュリティガイドライン(クレジットカード・セキュリティガイドライン5.0版)を発表しました。この中で、デジタル取引におけるクレジットカードの不正利用対策の強化と、クレジットカード情報の不正利用防止に向けたさらなる推奨事項が示されています。

対象となる事業者は、2025年4月1日までにこれらのガイドラインに準拠する必要があります。まだ準備が整っていない場合は、できるだけ早く始めましょう。

対象となる事業者とは?

経済産業省は、クレジットカードの安全・安心な使用環境を整えるため、イシュアー、アクワイアラー、クレジットカードを取り扱う加盟店(マーチャント)、決済代行会社など、クレジットカード取引に関与する事業者がこのガイドラインの適用となると強調しています。

つまり、消費者を不正なカード決済から守るには、日本国内のすべての加盟店がこのクレジットカード・セキュリティガイドライン5.0版に準拠する必要があります。

必要なアクション:オンライン取引を保護し、コンプライアンスを維持するために

1. 3Dセキュアの導入

2025年4月1日までに、日本で処理されるすべてのEコマースでのクレジットカード取引で3Dセキュアが必要となりますが、導入はできるだけ早期に行うことをお勧めします。この義務化は、日本市場で処理されるすべてのEコマースクレジットカード取引に適用され、すべてのカードタイプの国内取引とクロスボーダー取引の両方が該当します。

また、別の決済セキュリティ対策が取られている場合にも適用されます。3Dセキュアの使用対象外の取引がビジネスに適用される場合もあります。この件については、後ほど説明します。

早めに計画を立て、ビジネスニーズに合わせた段階的な実装をお勧めします。規制機関や国際ブランドのガイダンス、およびEMVCoの規格をしっかりと理解してください。

また、決済代行会社は、規制に準拠しつつ、顧客にとって快適なオンライン決済を維持することができるよう、さらなるガイダンスの提供が求められています。詳細はこちらのページでも説明しています。

2. 貴社が追加対策の対象となるかどうかの確認

3Dセキュアの対策に加えて、不正利用によるチャージバックに対する貴社のしきい値によっては、4方策(本人認証、券面認証、属性・行動分析、配送先情報)のうち少なくとも1つを導入する必要がある場合があります。

3か月連続で月々の不正利用によるチャージバック総額が50万円を超える加盟店(不正顕在化加盟店)は、3Dセキュアの他、1つ以上の追加対策を導入し、使用する必要があります。日本クレジット協会では、次の追加対策のいずれかを選択することを推奨しています。

  • 顧客にカードのセキュリティコード(CVC、CVV、CAV2、CID)の提示を求める

  • 請求先住所がカード保持者の住所と一致していることを確認する

  • RevenueProtectなどの不正利用検出システムを使用する

不正顕在化加盟店は、3Dセキュアの他、これらの追加対策のうち1つ以上を導入する必要があり、その他すべての加盟店は、2025年4月1日までに3Dセキュアを導入することを確約する必要があります。

Adyenを通して3Dセキュアを導入している加盟店は、機械学習を利用した当社認証エンジンの最適化を引き続きご活用いただけます。これらの機能は、顧客のスムーズなチェックアウトを保証しながら、最高のコンバージョン率を目指します。

Adyenのソリューションと統合し、当社の認証エンジンを活用する方法については、こちらのページでもご紹介しています。

3. 3Dセキュアの対象外となる取引の確認

次の取引には3Dセキュアは必要ありません。

  • プリペイドカード

  • デビットカード

  • ゲーム機やスマートスピーカーなど、3Dセキュアをサポートしていない端末から開始された取引

  • MOTO決済(通販/電話注文)

  • 同じ顧客の契約に基づく、同じカードを使用した最初の取引後の定期的な取引(加盟店起点の取引(MIT)など)。契約を変更したり、新しいカードを使用したりする場合は、3Dセキュアが必要です。

  • 別々の環境の企業間取引(B2B専用のウェブサイトで使用されるコーポレートカードなど)

  • 社内従業員向けの別々の環境での取引(加盟店の従業員のみがアクセスできる専用ウェブサイトなど)

  • Google PayとApple Pay

Adyen、日本における対面決済ソリューションのローンチを発表、日本市場でユニファイドコマースの本格展開を開始

店舗内取引

店舗内取引の場合、Adyenのテクノロジーにより、常にコンプライアンスを維持しながら、顧客に適切なガイダンスを提供することができます。つまり、Adyenを利用している場合、何のアクションも必要ありません。

Adyenの店舗内ソリューションでは、適用可能なCVM(カード保持者の本人確認方法)リミットを自動的に決定します。15,000円を超えるすべての取引にはCVMが必要です。CVMのタイプは、顧客がカードを提示する方法によって異なります。顧客が実際のカードを提示した場合、決済端末からPINの提示を要求されます。顧客が実際のカードではなく、スマートフォンを使用している場合、顧客は決済端末にPINを入力する代わりに、スマートフォンの顔認証かパスワードを使用する必要があります。

次の商品カテゴリ等が1つ以上含まれる場合など、一部の取引では、常にCVMが必要となります。

  • ギャンブル

  • 金券類、プリペイドカード、郵便切手

  • 各種チケット類

  • 宝石、貴金属、時計

  • 家電製品(スマートフォン、タブレット、ノートパソコンを含む)

  • ゲームソフト

  • タバコ

  • 電子タバコ用デバイス

PINバイパス

規制に従い、日本では、2025年3月をもって、店舗内取引に対するAdyenのPIN入力バイパス機能は無効になります。

署名

日本では顧客の署名の取得は有効なCVMではなくなります。ビジネスで署名が必要な場合は、引き続き決済端末で署名を求めるようにすることができます。

次のステップ:Adyenのウェブサイトに注目を

コンプライアンスを維持し、ビジネスや顧客を引き続き保護するには、最新の決済規制を常に把握したり、サポートしたりしてくれる決済業者との連携が重要です。

クレジットカード・セキュリティガイドライン5.0版では、さらに更新が行われることが予想されるため(例えば、3Dセキュアの対象外となる取引はまだ確定されていません)、数週間後にこの記事を再度確認し、最新情報を取得してください。それまでの間、準備を先延ばしにせず、今から準備を始めましょう。

また、Adyenのウェブサイトでも最新情報を掲載していきますので、引き続きご注目ください。

よくあるご質問

不正利用から消費者を守るために別の対策を講じている場合はどうなりますか?3Dセキュアや前述の追加対策の代わりに既存の対策を維持することはできますか?

EMV 3Dセキュア(3Dセキュア2.0)は基本要件であり、取引が対象外と見なされない限り、加盟店は他の対策を講じていても、これを導入する必要があります。

対象と見なされる取引のカテゴリの範囲には何が該当しますか?

日本で処理される、すべてのEコマースのクレジットカード取引が該当します。また、すべてのカードタイプの国内取引とクロスボーダー取引の両方が該当します。

2025年4月1日までに完全な認証を導入しない場合、加盟店にはどのような罰則や潜在的なビジネスリスクがありますか?

経済産業省が直接加盟店の報告徴収や立入検査を行う可能性があり、アクワイアラーは加盟店に対して、取引の停止や加盟店契約の解除などの措置を講じる必要が生じる可能性があります。

2025年4月1日までに3Dセキュアを導入するのに最適なアプローチはありますか?

EMV 3Dセキュアは、VISA、Mastercard、JCB、AMEXが推奨する安全なオンラインカード決済の認証サービスです。早期に計画を立て、ビジネスニーズに合わせて段階的に実装することをお勧めします。

対策の1つとして、加盟店は不正利用検出ツールを導入することが求められます。Adyenのツールでなければなりませんか?それとも他のツールを使用できますか?

加盟店は、その使用をアクワイアラーに通知する限り、内部または外部の不正利用検出ツールを使用できます。

AdyenのRevenueProtectをフル活用すれば、加盟店は現状のままでこの規制に準拠することになりますか?

RevenueProtectの利用は、本質的に加盟店のコンプライアンスを保証するものではありません。RevenueProtectは、堅牢な不正利用防止機能と複数のチェック機能を提供し、大抵の対策をカバーしていると思われますが、必要なリスク軽減策に沿うようにするには、加盟店が定期的にその設定を評価することが依然として不可欠です。

加盟店が4方策のうち1つのみを採用すればよい場合は、RevenueProtectの完全なパッケージを利用しなくてもコンプライアンスを達成できます。それでも加盟店は、正当な取引の拒否を最小限に抑えつつ、不正行為を軽減するために、厳格な不正利用防止対策を取ることが一貫して提唱されています。

セキュリティガイドライン5.0版と日本の不正利用報告の違いは何ですか?

日本の不正利用報告とは、不正顕在化加盟店(3か月連続で月々の不正利用によるチャージバック総額が50万円を超える加盟店)を監視し、それらの加盟店にセキュリティ対策を改善させ、不正利用によるチャージバック金額を低減させるという、アクワイアラーの義務です。

セキュリティガイドライン5.0版では、クレジットカード番号を保護し、クレジットカードの不正利用を防止するために、加盟店が講じるべき必要な対策が定められています。

セキュリティガイドライン5.0版とPSD2の違いは何ですか?

欧州では、PSD2により、加盟店は取引レベルでの免除設定を「リクエスト」することができ、イシュアーはそれを受け入れるか、3Dセキュアを強制するようリクエストすることができます。ただし、これはセキュリティガイドライン5.0版には当てはまりません。日本では、取引レベルでの免除設定は不可能です。代わりに、前述のように、一部の取引セグメントは対象外と見なされます。

さらに詳細をお知りになりたいですか?

この記事の内容についてご質問がある場合、または3Dセキュアの設定の際に当社がどのようにサポートできるかをお知りになりたい場合は、いつでもご連絡ください。

私はAdyenのプライバシーポリシーを確認した上で、それに基づき私の個人情報が使用されることに同意します。