近年日本でもキャッシュレス化が急速に進んでおり、経済産業省の調査によるとキャッシュレス比率は、2010年では13.2％だったのが2023年には39.3%へと3倍に増えています。経済産業省ではキャッシュレス比率を2025年までに40%、将来的には世界水準の80%まで引き上げることを目指しており、この潮流は今後さらに勢いを増すことでしょう。

株式会社JCBの2023年度版調査によると、キャッシュレス決済の中でもクレジットカードは2023年時点で保有率が87%となっており、キャッシュレス決済の代表格となっています。しかしながら、クレジットカードの普及と共に不正利用被害も増加の一途を辿っており、その中でもECサイトでのなりすましによる被害が大部分を占めています。

そこで本記事では、クレジットカードの不正利用を防ぐ最新の手段である「3Dセキュア2.0」について解説します。

3Dセキュアの基礎知識

ここでは3Dセキュアを理解するために、基礎知識とともにセキュリティコードとの違い、3Dセキュアを導入するべき理由について解説します。

3Dセキュアとは？

3Dセキュアとは、インターネット上でのクレジットカード決済の際に、不正利用を防ぐために導入されている本人認証サービスのことです。

クレジットカード情報の入力に加えて、カード会社に登録したパスワードやワンタイムパスワードなどを入力することで本人認証を行います。これにより、第三者が不正にカード情報を入手しても、パスワードを知らない限り決済ができないため、不正利用を防止することができます。

セキュリティコードと3Dセキュアの違い

セキュリティコードとは、クレジットカードの不正利用を防ぐために、カード裏面または表面に記載されている3桁または4桁の数字のことです。このセキュリティコードは、オンラインショッピングなどでクレジットカード決済を行う際に、カード所有者本人が利用していることを確認するための重要な役割を果たします。
セキュリティコードは、クレジットカードの磁気ストライプやICチップに記録されていないため、カード情報が盗まれた場合でも、セキュリティコードを知らない第三者による不正利用を防ぐことができます。

セキュリティコードが「カード裏面または表面に記載されている3桁または4桁の数字でカードの物理的な所持を証明する」のに対し、3Dセキュアは「本人確認のための追加認証（ワンタイムパスワードや生体認証など）を求めることでなりすましを防止する」という点が大きな違いです。

3Dセキュアを導入するべき理由

3Dセキュアを導入するべき理由として、チャージバックが挙げられます。

チャージバックは消費者がクレジットカードを不正に使われたり、注文した商品が届かなかったり、届いた商品が破損していたりした場合に使われる仕組みです。
チャージバックが発生すると、事業者は商品を提供していてもカード会社から入金がされません。また、入金した後でもカード会社に代金の返納をしなければなりません。消費者にとっては安心できる仕組みですが、事業者にとっては損害となります。

一般社団法人日本クレジット協会が行った2023年度調査によると、不正利用による被害額は540.9億円に達しています。被害の多くはクレジットカード情報を盗用されたことによるもので、チャージバックの発生件数を押し上げています。
チャージバックによる損失を防ぐためにも、セキュリティ対策として3Dセキュアの導入は事業者にとって必須といえます。

3Dセキュアの最新版「3Dセキュア 2.0」とは？

3Dセキュア2.0とは、インターネット上のクレジットカード決済における不正利用を防止するために開発された、より安全で利便性の高い本人認証サービスです。EMV3-D セキュアとも呼ばれます。
従来の3Dセキュアをさらに進化させたもので、ユーザー体験を向上させながら、より高いセキュリティを実現しています。

増加の一途をたどる不正利用の状況を受け、経済産業省は2025年3月末を目処にECサイトへの3Dセキュア2.0の導入を義務化すると発表しています。
当社の「サブスクペイ」でも、2022年から3Dセキュア2.0に対応しております。

それでは、以下で従来の3Dセキュア1.0との違いやカード会社の対応などについてみていきましょう。

3Dセキュア2.0と3Dセキュア1.0の違い

従来の3Dセキュア1.0と、より進化した3Dセキュア2.0では、認証方法やユーザー体験、セキュリティレベルなどに大きな違いがあります。

3Dセキュア1.0は、事前に登録したパスワードを入力することで本人確認を行うというシンプルな方式でした。しかし、すべての取引で認証が必要だったため、ユーザーにとっては手間がかかり、購入を途中で断念してしまう「かご落ち」が発生しやすいという課題がありました。

一方、3Dセキュア2.0は、より安全かつスムーズな決済体験を提供するために開発されました。従来のパスワード入力以外にも、生体認証（指紋、顔認証など）、ワンタイムパスワード、デバイス認証など、多様な認証方法が利用可能になったことで、より高いセキュリティレベルを実現しています。
また、過去の取引履歴や端末情報などから、不正利用のリスクを評価し、リスクが高い取引のみ追加認証を要求する「リスクベース認証」を採用することで、ユーザーは不必要な認証手続きを行う必要がなくなりました。

なお、当社の「サブスクペイ」でも、3Dセキュア2.0への対応により、かご落ち率は約70％減少し、決済処理時間は約85％向上しております。

▼サブスクペイの3Dセキュア2.0のイメージ

3Dセキュア2.0対応のカード

クレジットカード会社や決済代行会社によって異なりますが、EMV（Europay, Mastercard, Visa）という国際的な決済ブランドの定めた新しいルールに基づき、2022年10月以降、多くの企業が3Dセキュア2.0への移行を進めており、1.0のサポートは段階的に終了しています。

すでに多くのクレジットカード会社が3Dセキュア2.0に対応したカードを発行しており、代表的なものとしては「VISAのVisa Secure」「MastercardのMastercard Identity Check」「JCBのJ/Secure™ 2.0」「American ExpressのSafeKey 2.0」「Diners ClubのProtectBuy 2.0」などが挙げられます。

なお、移行期間中は1.0と2.0が並行して運用されているケースもあり、カード発行会社やカード種別によって対応状況が異なる場合があります。EC事業者は、利用している決済代行会社に最新の対応状況を確認することをお勧めします。

なお、当社の「サブスクペイ」で利用できるVisa、JCB、Mastercard、American Express、Diners Clubは、前述の通り、3Dセキュア2.0対応のカードです。

3Dセキュア2.0のメリット

3Dセキュア2.0の主なメリットには、加盟店（事業者）側の視点からは「チャージバック（支払い拒否）のリスク減少」「コンバージョン率の改善」「運用負荷の軽減」の3点、ユーザー（購入者）側の視点からは「利便性の向上」「セキュリティの強化」「取引の円滑化」の3点が挙げられます。
それぞれみていきましょう。

加盟店（事業者）のメリット

取引リスクの軽減については、チャージバック（支払い拒否）のリスクが大幅に減少し、不正利用の防止効果が向上します。これにより、オンライン取引の安全性が従来よりも高まっています。

コンバージョン率の改善に関しては、認証プロセスが簡素化されたことで購入時の離脱率が低下しています。特にスムーズな決済体験の提供とモバイル対応の強化により、購入完了までの到達率が向上しています。

運用負荷の軽減では、リスクベース認証による自動判定システムの導入により、不正対策の効率が大幅に改善されました。その結果、カスタマーサポートへの問い合わせも減少し、運用コストの削減にもつながっています。

ユーザー（購入者）のメリット

利便性の向上については、リスクが低いと判断された場合にはパスワード入力が不要になるなど、認証プロセスが大幅に簡略化されました。また、スマートフォンでの操作性が向上し、生体認証にも対応するなど、より使いやすい仕組みとなっています。

セキュリティの強化に関しては、最新の認証技術による保護機能が強化され、不正利用からの安全性が向上しています。また、個人情報の保護も従来以上に強化されており、安心してオンライン取引を行うことができます。

取引の円滑化では、認証にかかる時間が大幅に短縮され、異なるデバイス間でもスムーズな認証が可能になりました。これにより、様々な決済シーンにおいて快適な取引体験を実現しています。

3Dセキュア2.0に切り替えるために会社がするべきこと

3Dセキュア2.0に切り替えるには、「個人情報への対応」と「ECサイトへの連携」の2点が必要です。
以下でみていきましょう。

個人情報への対応

3Dセキュア2.0では決済に必要なクレジットカード情報に加えて、リスクベース認証実現のために、カード利用者の端末情報や氏名、生年月日などの属性情報を含む個人情報を取り扱います。そのためカード加盟店は、個人情報保護法で定められている個人情報取扱事業者としての同意をカード利用者から取得しなければなりません。

個人情報には他にもクレジットカードの利用履歴、配送先住所、ネットワーク情報なども含まれ、リスクベース認証ではこれらをリアルタイムに分析します。そして、いつもの利用とは状況や環境が異なる場合に不正利用の可能性が高いと判断して本人認証画面を表示します。

このように広範な個人情報を取り扱うものであることから、事業者は個人情報保護のための厳重な施策が必要です。

なお、当社は個人情報保護に万全を尽くしております。当社の個人情報保護方針については、以下をご参照ください。
プライバシーポリシー

ECサイトへの連携

3Dセキュア2.0への移行にあたっては、ECサイトの運営元である事業者が決済を委託している決済代行会社や、採用しているECカートシステムによって対応策が異なってきます。したがって、まずはこれらの会社に確認することから始めましょう。

3Dセキュア2.0と3Dセキュア1.0とでは仕様が異なることから、ECサイトとの連携のために加盟店側でシステム開発などの作業が発生するケースも多々あることでしょう。3Dセキュア2.0ではモバイルアプリ用のSDK（ソフトウェア開発キット）が用意されており、加盟店が自ら実装する場合は対応が必要です。
また、3Dセキュア2.0への移行に伴ってコストが発生する可能性もあります。対応策に加えて必要な費用に関しても、契約している決済代行会社に確認しておきましょう。

なお、当社の「サブスクペイ」を導入いただくと、2025年3月から義務化された3Dセキュア2.0が標準搭載されているため、追加料金0円で対応可能です。

3Dセキュア2.0の注意点

3Dセキュア2.0を導入するにあたってはいくつかの注意点があります。
1つ目は、新たにAPI（Application Programming Interface：外部アプリとの連携機能）を構築せねばならず、開発のための時間やコストを要することです。

2つ目は、リスクベース認証は高度になったものの完全ではないため、巧妙な不正アクセスを100%取り除くことはできない点です。特に悪意のある第三者が、何らかの方法でリスクベース認証を通過した場合には不正を見抜くことはできません。

3つ目は、3Dセキュア1.0は無償で提供されていたのに対し、3Dセキュア2.0は有償での提供となる可能性があり、導入に際してコスト面が障壁になる恐れがあることです。

なお、1つ目の注意点について、当社の「サブスクペイ」では、API型（ゲートウェイ型）接続にも対応しております。
当社API仕様書を参考にしていただいて決済情報を弊社決済システムに通信することで決済を行うことができます。

▼お客様ECサイトとサブスクペイのAPI連携イメージ

また、2つ目の注意点については、当社の「サブスクペイ」では、リスクベース認証だけでなく、PCI DSS 4.0（クレジットカード業界におけるグローバルセキュリティ基準）への準拠・プライバシーマークとISMS（JIS Q 27001:2014）認証の取得により、強固なセキュリティ対策がされたサービスをご利用いただけます。

▼サブスクペイのセキュリティ基準

そして3つ目の注意点については、前述の通り、当社の「サブスクペイ」を導入いただくと、2025年3月から義務化された3Dセキュア2.0が標準搭載されているため、追加料金0円で対応可能です。

3Dセキュア2.0対応のクレジットカード決済は「サブスクペイ」にお任せ！

クレジットカードの導入には、高いセキュリティ対策が求められます。また、事業者がクレジットカード会社と個別に契約を結ぶのはハードルが高く、現実的ではありません。
そこで、5大カードブランドに対応し、サブスクリプションサービスにも適した「サブスクペイ」の導入をご検討ください。

導入企業様からは「法令改正に伴う3Dセキュア2.0（本人認証サービス）の義務化や、カード情報の非保持化（トークン決済）に対応するなど、サブスクペイの迅速かつ適切なサポートには非常に満足しています」といった好評価をいただいております。