PSD2に基づく強固な顧客認証（SCA）の要件と準拠の仕方とは

強固な顧客認証（SCA）について説明する前に、それが要件化されるきっかけとなったPSD2（Payment Services Directive 2）について説明します。PSD2は、EUに2018年に導入された決済サービス、デジタル決済市場を規制する法的な枠組みを指します。

PSD2導入の主な目的は、EU圏内におけるオンライン決済市場の活性化と同時に、それを利用する一般顧客、消費者の権利を保護、強化することです。顧客、消費者の権利保護のために、決済に関連するサービス、技術を提供する様々な企業に一定の規制と要件を課すことになりました。

強固な顧客認証（SCA）は、EUのPSD2に基づくセキュリティ要件の一部で、2019年9月14日に欧州でオンライン決済を処理する事業者に義務付けられました。これは、オンライン決済などの電子取引時の顧客の身元確認を強化するものです。

強固な顧客認証（SCA）は、オンライン決済の安全性を高め、不正利用行為のリスクを低減するために導入された欧州のセキュリティ要件です。この要件は、欧州経済地域（EEA）、モナコ、および英国で行われるオンライン決済に適用されます。

つまり、SCAは、ヨーロッパの買い物客がオンラインで支払いをする際に、追加の認証レベルを必要とすることを意味します。

強固な顧客認証（SCA）の認証レベルでは、3つに分類される要素「知っていること」「所有しているもの」「顧客の存在」から2つを尋ね本人かどうか確認する2要素認証が特徴です。

各要素にどのような情報が含まれているかは、下の画像でご確認いただけます。

SCAが普及する前、発行銀行は顧客に1つの固定パスワードを要求することしかできませんでした。これらの新しいダイナミックなデータポイントは、ユーザーのアイデンティティをより正確に検証します。

SCAの詳細とPSD2にいかにフィットするかについてこのビデオサマリーでご覧ください：

SCAの2要素認証の一例

強固な顧客認証（SCA）では、従来の「知っているもの」（パスワードなど）ではなく、より多くの方法で買い物客を認証することができます。少なくとも2つの異なる要素のデータであれば、他のデータポイントを組み合わせることができるようになりました。

例：

• 顔認証や指紋（顧客の存在）とスマートフォン（顧客の所有物）の組み合わせ

• 個人的なパスワード（顧客が知っていること）を使って、スマートフォン（顧客の所有物）に送られるコード

顧客認証の強化が求められているにもかかわらず、選択できるデータポイントが増えています。これにより、お客様が支払いの認証をしやすくなり、結果的にドロップオフの減少につながるはずです。

強固な顧客認証（SCA）へ準拠するアプローチは、支払い方法によって異なります。

クレジットとデビットカードについては、通常3Dセキュアが適用されます。 電子ウォレットやその他の現地決済手段では、SCAに準拠した独自の認証ステップが用意されていることが多くなります。下記からこれらの2つの種類の詳細をご覧ください。

「3Dセキュア」によるSCA要件への準拠

3Dセキュアというプロトコルは、お客様の身元を確認するための追加の認証レイヤーを提供します。欧州のほとんどのデビットカードおよびクレジットカード会社でサポートされています。

お客様がSCAステップを完了すると、不正なチャージバックの責任は企業ではなく発行銀行が負うことになります。

3Dセキュア2（3DS2）は、3Dセキュア1（3DS1）に比べて、より使いやすい操作性を実現しています。それぞれのバージョンはSCAに対応していますが、3Dセキュア1と3Dセキュア2の両方に対応することをお勧めします。

「現地決済手段と電子ウォレット」によるSCA要件への準拠

3Dセキュアとは別に、現地決済手段やモバイルウォレットを使ってSCAの要件を満たすようにすることもできます。これらは、特定の市場やユースケースにおいて、コンバージョン率を高めるという利点もあります。

EEAでは、現地決済手段がうまく機能していることがわかります。

• ベルギーのBancontact Mobile

• オランダのiDEAL

• ノルウェー、スウェーデン、デンマーク、フィンランドのMobilePay、Vipps、Swish

• オーストリアのEPS

• ポーランドのBlik

• ポルトガルのMBWay

Apple PayやGoogle Pay™などの国際的な電子ウォレットも、新しいSCAの要件を満たすチェックアウトフローを提供しています。詳細については、当社のSCA参考資料ページをご覧ください。

強固な顧客認証（SCA）はヨーロッパのオンライン決済に必要です。つまり、事業者とカード保有者の銀行の両方がヨーロッパにあるということです。また、インドなど、SCAを要件として導入する地域も増えてきています。

しかし、SCAが適用されない、あるいはPSD2のSCA範囲外の取引もあります。以下では、このようなケースに該当する具体的な取引を幅広く紹介しています。

SCAの適用除外は、特定の支払いシナリオにおいて、カスタマージャーニーを摩擦のない状態に保つことを目的としています。 対象外の取引はPSD2義務化の対象外であり、SCAを必要としません。

以下は、最も関連性の高い免除または対象外となる取引のリストです。

なお、貴社や貴社のアクワイアラーが免責を申請し、その申請が発行者によって受理された場合、貴社が責任を負うことになります。イシュアーが免除を適用した場合、責任は発行者に移ります。

SCAが免除される取引

不正行為のレベルが一定のしきい値以下のアクワイアラーまたはイシュアーを介した取引

Adyenのような特定のアクワイアラーは、TRA（トランザクションリスク分析）の要件を満たすために、「対象となる」取引ごとにリスクを検討しています。アクワイアラーが取引のリスクが低いと判断した場合は、「TRA免除」を申請してSCAを回避することができます。

しかし、これはアクワイアラーやイシュアーの不正率が以下のしきい値を下回っている場合のみ可能です:

• 0～100ユーロまでの金額の場合、0.13％

• 100～250ユーロまでの金額の場合、0.06％

• 250～500ユーロまでの金額の場合、0.01％

最終的には、イシュアーはこの免除申請を受け入れるか、SCAを引き続き実施するかを決定します。

同一カードでの30ユーロ以下の取引および100ユーロ以上の累積支払額

30ユーロ以下の取引はSCAが免除されます。しかし、発行銀行はこの免除を利用して何回支払いが行われたかを記録します。

カードの利用金額が100ユーロ以上の場合、および5回の利用ごとにSCAが必要となります。

信頼できる受益者

カード会員が選んだ特定の信頼できる加盟店。

お客様は、「信頼できる受益者」のホワイトリストに企業を割り当てることができます。このリストは彼らの銀行によって維持されています。ホワイトリストに登録された加盟店は、取引額にかかわらず、SCAの適用を受けることができます。

これにより、一般のお客様は、ホワイトリストに登録した企業との間でSCAをほぼ省略することができます。

定期的な取引：初回支払い後の定期的な固定金額の取引

定期的に行われる固定金額の取引は、2回目以降の取引から免除されます。初期の取引のみSCAが必要です。ですが、取引額が変更になると、新しい金額に対してSCAが必要となります。

また、これらのタイプの支払いを、PSD2 SCA要件の対象外であるマーチャントイニティエテッドトランザクション（MIT）としてフラグを立てることもできます。下記でMITの詳細についてご覧ください。

B2Bトランザクション：企業間決済

2つの企業間で行われる支払いは、SCAの対象外とすることができます。しかし、これは支払い方法が、このようなB2Bの支払いを行うための専用の決済手段である場合にのみ可能です。

SCAが対象外となる取引

MOTOトランザクション：電話やメール経由の決済

メール注文や電話注文（MOTO）は、あらゆる場合においてSCAが免除されます。MOTOトランザクションは「電子」決済として考慮されないため、対象外となります。

マーチャントイニシエティッドトランザクションズ（MITｓ）：顧客の直接関与なしの取引

マーチャントイニシエティッドトランザクションズ（MITｓ）は顧客に直接関与しない取引です。支払いは、事前に顧客の同意を得た上で、予約した日に保存されたカードから行われます。

例えば、エネルギー契約のように、使用量に応じてコストが変動する商品もあります。最初の支払い、つまりカードを初めて保存したときには、必ず認証が必要です。しかし、以下の支払いは、「マーチャントイニシエティッドトランザクション」と表示されていれば、SCAをスキップすることができます。

地域間取引：欧州以外の事業または顧客に関わる支払い

地域間取引とは、ワンレッグ取引とも呼ばれ、カードの発行者または取得者がEEA、モナコ、英国に拠点を置いていない場合の支払いです。

このようなタイプの取引も対象外となります。これにより、欧州の企業はPSD2のSCA要件なしに欧州以外の消費者からの支払いを受け入れることができます。

SCA免除・対象外となる取引の全リスト

銀行、スキーム、規制当局の解釈に大きく左右される多くの免除や適用範囲外のシナリオ。

PSD2の下での強固な顧客認証（SCA）と安全な通信に関する規制当局の公式技術基準には、すべての免除事項のリストが掲載されています。

PSD2のSCA規制は銀行向けであり、マーチャント向けではありません。非準拠の取引を承認した銀行は、自国の法律に違反していることになります。

マーチャントにとってのリスクは、銀行がお客様の取引を拒否することであり、決済の承認率が低下することです。

Adyenでは、PSD2 SCA対応を弊社の認証エンジンで行うこともできますし、お客様自身で管理することもできます。

Adyen Authentication Engineを使えば、対象外の取引や除外事項があっても、3Dセキュアが発動することはありません。また、発行銀行が3Dセキュアを実施していない場合は、3Dセキュアをスキップします。

PSD2 SCAコンプライアンスを自分で管理したい場合、Adyenは2つのオプションを提供しており、いずれかを行うことができます。

・Adyen Dynamic3Dセキュアによるルールの設定 ・APIリクエストで設定を指定

これらのオプションの実装方法の詳細については、SCAコンプライアンス文書ページをご覧ください。また、Adyenの3Dセキュアについてはこちらをご覧ください。