近年日本でもキャッシュレス化が急速に進んでおり、経済産業省の調査によるとキャッシュレス比率は、2010年では13.2％だったのが2023年には39.3%へと3倍に増えており、この潮流は今後さらに勢いを増すことでしょう。

株式会社JCBの2023年度版調査によると、キャッシュレス決済の中でもクレジットカードは2023年時点で保有率が87%となっており、キャッシュレス決済の代表格となっています。

しかしながら、クレジットカードの普及と共に不正利用被害も増加の一途を辿っており、その中でもECサイトでのなりすましによる被害が大部分を占めています。
そこで本記事では、クレジットカードの不正利用を防ぐ最新の手段である「3Dセキュア2.0」について解説します。

3Dセキュアとは？

3Dセキュアとは、インターネット上でのクレジットカード決済の際に、不正利用を防ぐために導入されている本人認証サービスのことです。

クレジットカード情報の入力に加えて、カード会社に登録したパスワードやワンタイムパスワードなどを入力することで本人認証を行います。これにより、第三者が不正にカード情報を入手しても、パスワードを知らない限り決済ができないため、不正利用を防止することができます。

セキュリティコードと3Dセキュアの違い

セキュリティコードが「3桁または4桁の数字でカードの物理的な所持を証明する」のに対し、3Dセキュアは「本人認証（ワンタイムパスワードや生体認証など）を求めることでなりすましを防止する」という点が大きな違いです。
主な相違点は以下の表の通りです。

 
なお、セキュリティコードについては、以下も合わせてご覧ください。
スキミングを防止するクレジットカードのセキュリティコードとは？ | サブスクペイ

3Dセキュアを導入すべき理由

3Dセキュアを導入すべき理由は、ECサイトにおけるクレジットカードの不正利用被害が急増しているためです。

一般社団法人日本クレジット協会が行った日本のクレジット統計2024年版によると、不正利用による被害額は555.0億円に達しています。被害の多くはクレジットカード情報を盗用されたことによるものです。

従来のECサイトでの決済は、盗んだカード情報だけでも不正利用が比較的容易に行われてしまっていました。そのため、お客様が設定したパスワードやSMSに届くワンタイムパスワードなどが必要となる3Dセキュアの導入は、不正利用対策として必須といえます。

3Dセキュア2.0とは？

3Dセキュア2.0とは、インターネット上のクレジットカード決済における不正利用を防止するために開発された、より安全で利便性の高い本人認証サービスです。EMV3-D セキュアとも呼ばれます。
従来の3Dセキュアをさらに進化させたもので、ユーザー体験を向上させながら、より高いセキュリティを実現しています。

増加の一途をたどるクレジットカード決済の不正利用状況を受け、経済産業省は2025年3月末を目処にECサイトへの3Dセキュア2.0の導入を義務化すると発表しました。
当社の「サブスクペイ」では、2022年から3Dセキュア2.0に対応しております。

それでは、以下で従来の3Dセキュア1.0との違いやカード会社の対応などについてみていきましょう。

3Dセキュア2.0と3Dセキュア1.0の違い

3Dセキュア2.0は、旧バージョンの3Dセキュア1.0に比べて、利便性とセキュリティを両立させた本人認証サービスです。
主な相違点は以下の表の通りです。

なお、従来の3Dセキュアでは、すべての決済が本人認証の対象だったため、カード決済時のかご落ち率や決済処理時間に課題がありました。

しかし、現在の3Dセキュア2.0では、リスクベース認証の導入によって不正利用のリスクが低いクレジットカードは認証画面をスキップして決済でき、従来の課題であったかご落ち率や決済処理時間が改善されています（当社比：かご落ち率は約70％減少、決済処理時間は約85％向上）。

▼サブスクペイの3Dセキュア2.0のイメージ

3Dセキュア2.0対応のカード

クレジットカード会社や決済代行会社によって異なりますが、EMV（Europay, Mastercard, Visa）という国際的な決済ブランドの定めた新しいルールに基づき、2022年10月以降、多くの企業が3Dセキュア2.0への移行を進めており、1.0のサポートは段階的に終了しています。

すでに多くのクレジットカードブランドが3Dセキュア2.0に対応しており、代表的なものとしては以下が挙げられます。
・VISA（Visa Secure）
・MasterCard（Mastercard ID Check）
・JCB（J/Secure™）
・American Express（American Express SafeKey®）
・Diners Club（ProtectBuy®）

移行期間中は3Dセキュア1.0と2.0が並行して運用されているケースもあり、カード発行会社やカード種別によって対応状況が異なる場合があります。EC事業者は、利用している決済代行会社に最新の対応状況を確認することをお勧めします。

なお、当社のサブスクペイのクレジットカード決済では、 加盟店様に高いセキュリティを提供するために、VISA（Visa Secure）、MasterCard（Mastercard ID Check）、JCB（J/Secure™）、American Express（American Express SafeKey®）、Diners Club（ProtectBuy®）の5つのカードブランドに対応しております。

3Dセキュア2.0のメリット

3Dセキュア2.0を導入するメリットには、「なりすまし利用の防止」「チャージバックリスクの軽減」「コンバージョン率の改善」「法令順守と企業としての信頼性向上」などが挙げられます。
それぞれみていきましょう。

なりすまし利用の防止

3Dセキュアの導入後は、お客様が設定したパスワードやSMSに届くワンタイムパスワードなど、カード情報に加えて本人しか知り得ない情報が決済を完了させるために必要となります。
万が一、カード情報が流出しても、パスワードがなければ第三者による「なりすまし」がほぼ不可能になります。

チャージバックリスクの軽減

チャージバックは消費者がクレジットカードを不正に使われたり、注文した商品が届かなかったり、届いた商品が破損していたりした場合に使われる仕組みです。
チャージバックが発生すると、事業者は商品を提供していてもカード会社から入金がされません。また、入金した後でもカード会社に代金の返納をしなければなりません。消費者にとっては安心できる仕組みですが、事業者にとっては損害となります。

しかし、「なりすまし」がほぼ不可能な3Dセキュア2.0の本人認証が成功した取引は、原則としてチャージバックの対象外となります。
不正利用による売上損失のリスクをカード会社が負担する「ライアビリティシフト」が適用されるため、事業者様の経済的損失を防ぐことができます。これは、不正対策費用の削減と安定した事業運営に直結する大きなメリットです。

コンバージョン率の改善

コンバージョン率の改善に関しては、前述の通り、リスクベース認証の導入によって不正利用のリスクが低いクレジットカードは認証画面をスキップして決済でき、従来の課題であったかご落ち率や決済処理時間が改善された点が挙げられます。

スムーズな決済体験の提供とモバイル対応の強化により、購入完了までの到達率が向上します。

法令順守と企業としての信頼性向上

増加の一途をたどるクレジットカード決済の不正利用状況を受け、経済産業省は2025年3月末を目処にECサイトへの3Dセキュア2.0の導入を義務化すると発表しました。このガイドラインに準拠することは、企業としての社会的責任を果たすことでもあります。

導入を怠ると、不正利用が多発するECサイトとして、消費者からの信頼を失う可能性があります。法令順守と企業としての信頼性向上のためにも、3Dセキュア2.0の導入が重要です。

3Dセキュア2.0に切り替えるために会社がするべきこと

3Dセキュア2.0に切り替えるには、「個人情報への対応」と「ECサイトへの連携」の2点が必要です。
以下でみていきましょう。

個人情報への対応

3Dセキュア2.0では決済に必要なクレジットカード情報に加えて、リスクベース認証実現のために、カード利用者の端末情報や氏名、生年月日などの属性情報を含む個人情報を取り扱います。そのためカード加盟店は、個人情報保護法で定められている個人情報取扱事業者としての同意をカード利用者から取得しなければなりません。

個人情報には他にもクレジットカードの利用履歴、配送先住所、ネットワーク情報なども含まれ、リスクベース認証ではこれらをリアルタイムに分析します。そして、いつもの利用とは状況や環境が異なる場合に不正利用の可能性が高いと判断して本人認証画面を表示します。

このように広範な個人情報を取り扱うものであることから、事業者は個人情報保護のための厳重な施策が必要です。

なお、当社は個人情報保護に万全を尽くしております。当社の個人情報保護方針については、以下をご参照ください。
プライバシーポリシー

ECサイトへの連携

3Dセキュア2.0への移行にあたっては、ECサイトの運営元である事業者が決済を委託している決済代行会社や、採用しているECカートシステムによって対応策が異なってきます。したがって、まずはこれらの会社に確認することから始めましょう。

なお、当社の「サブスクペイ」では、2022年から3Dセキュア2.0に対応しております。お気軽にご相談ください。

3Dセキュア2.0の注意点

①APIの構築が必要な場合がある

3Dセキュア2.0の注意点の1つ目は、API（Application Programming Interface：外部アプリとの連携機能）の構築が必要な場合があり、開発に時間やコストがかかることです。

なお、この注意点について、当社の「サブスクペイ」では、API型（ゲートウェイ型）接続に対応しており、スムーズな開発をサポートします。
当社API仕様書を参考にしていただいて決済情報を弊社決済システムに通信することで決済を行うことができます。

▼お客様ECサイトとサブスクペイのAPI連携イメージ

②不正利用を100%防止できるわけではない

3Dセキュア2.0の注意点の2つ目は、悪意のある第三者が何らかの方法でリスクベース認証を通過した場合には不正を見抜くことが難しい点です。リスクベース認証は高度になったものの、不正利用を100%防止できるわけではありません。

なお、この注意点について当社の「サブスクペイ」では、3Dセキュア2.0だけでなく、PCI DSS 4.0（クレジットカード業界におけるグローバルセキュリティ基準）への準拠・プライバシーマークとISMS（JIS Q 27001:2014）認証の取得により、強固なセキュリティ対策がされたサービスをご利用いただけます。

▼サブスクペイのセキュリティ基準

3Dセキュア2.0対応のクレジットカード決済は「サブスクペイ」にお任せ！

クレジットカード決済の導入には、高いセキュリティ対策が求められます。また、事業者がクレジットカード会社と個別に契約を結ぶのはハードルが高く、現実的ではありません。
そこで、5大カードブランドに対応した「サブスクペイ」の導入をご検討ください。

導入企業様からは「法令改正に伴う3Dセキュア2.0（本人認証サービス）の義務化や、カード情報の非保持化（トークン決済）に対応するなど、サブスクペイの迅速かつ適切なサポートには非常に満足しています」といった好評価をいただいております。