近年日本でもキャッシュレス化が急速に進んでおり、経済産業省の調査によるとキャッシュレス比率は、2010年では13.2％だったのが2023年には39.3%へと3倍に増えており、この潮流は今後さらに勢いを増すことでしょう。

株式会社JCBの2023年度版調査によると、キャッシュレス決済の中でもクレジットカードは2023年時点で保有率が87%となっており、キャッシュレス決済の代表格となっています。

しかしながら、クレジットカードの普及と共に不正利用被害も増加の一途を辿っており、その中でもECサイトでのなりすましによる被害が大部分を占めています。
そこで本記事では、クレジットカードの不正利用を防ぐ最新の手段である「3Dセキュア2.0」について解説します。

3Dセキュアとは？

3Dセキュアとは、インターネット上でのクレジットカード決済の際に、不正利用を防ぐために導入されている本人認証サービスのことです。

クレジットカード情報の入力に加えて、カード会社に登録したパスワードやワンタイムパスワードなどを入力することで本人認証を行います。これにより、第三者が不正にカード情報を入手しても、パスワードを知らない限り決済ができないため、不正利用を防止することができます。

セキュリティコードと3Dセキュアの違い

セキュリティコードが「3桁または4桁の数字でカードの物理的な所持を証明する」のに対し、3Dセキュアは「本人認証（ワンタイムパスワードや生体認証など）を求めることでなりすましを防止する」という点が大きな違いです。
主な相違点は以下の表の通りです。

 
なお、セキュリティコードについては、以下もあわせてご覧ください。
セキュリティコードとは？ | サブスクペイ

3Dセキュアを導入すべき理由

3Dセキュアを導入すべき理由は、ECサイトにおけるクレジットカードの不正利用被害が急増しているためです。

一般社団法人日本クレジット協会が行った日本のクレジット統計2024年版によると、不正利用による被害額は555.0億円に達しています。被害の多くはクレジットカード情報を盗用されたことによるものです。

従来のECサイトでの決済は、盗んだカード情報だけでも不正利用が比較的容易に行われてしまっていました。そのため、お客様が設定したパスワードやSMSに届くワンタイムパスワードなどが必要となる3Dセキュアの導入は、不正利用対策として必須といえます。

3Dセキュア2.0（EMV 3-Dセキュア）とは？

3Dセキュア2.0（EMV 3-Dセキュア）は、ECでのクレジットカード決済において、カード発行会社（イシュアー）が取引リスクに応じて追加認証を行う本人認証サービスです。追加認証が必要な場合はワンタイムパスコードや生体認証等が行われ、リスクが低い場合は追加操作なしで完了することもあります。
従来の3Dセキュア（3Dセキュア1.0）を発展させた規格で、利便性とセキュリティの両立を目指しています。

日本クレジット協会が公表するクレジットカード・セキュリティガイドライン【6.0 版】では、2025年4月以降、原則として全てのEC加盟店に3Dセキュア2.0（EMV 3-Dセキュア）の導入が求められています（未導入の場合、ガイドライン上の要請を満たさない可能性があります）。

なお、当社のサブスクペイでは2022年から3Dセキュア2.0に対応しており、3Dセキュア2.0は標準機能として提供（追加料金0円）しています。

それでは、以下で従来の3Dセキュア1.0との違いやカード会社の対応などについてみていきましょう。

3Dセキュア2.0と3Dセキュア1.0の違い

3Dセキュア2.0は、旧バージョンの3Dセキュア1.0に比べて、利便性とセキュリティを両立させた本人認証サービスです。
主な相違点は以下の表の通りです。

なお、従来の3Dセキュアでは、すべての決済が本人認証の対象だったため、カード決済時のかご落ち率や決済処理時間に課題がありました。

しかし、現在の3Dセキュア2.0では、リスクベース認証の導入によって不正利用のリスクが低いクレジットカードは認証画面をスキップして決済でき、従来の課題であったかご落ち率や決済処理時間が改善されています（当社比：かご落ち率は約70％減少、決済処理時間は約85％向上）。

▼サブスクペイの3Dセキュア2.0のイメージ

3Dセキュア2.0対応のカード

クレジットカード会社や決済代行会社によって異なりますが、3Dセキュア2.0は、EMVCoが策定・管理する本人認証の国際仕様「EMV 3-Dセキュア」に基づいています。
各カードブランドはこの仕様をもとに、順次3Dセキュア2.0への移行を進めており、3Dセキュア1.0のサポートは段階的に終了しています。

すでに多くのクレジットカードブランドが3Dセキュア2.0に対応しており、代表的なものとしては以下が挙げられます。
・Visa（Visa Secure）
・MasterCard（Mastercard ID Check）
・JCB（J/Secure™）
・American Express（American Express SafeKey®）
・Diners Club（ProtectBuy®）

移行期間中は3Dセキュア1.0と2.0が並行して運用されているケースもあり、カード発行会社やカード種別によって対応状況が異なる場合があります。EC事業者は、利用している決済代行会社に最新の対応状況を確認することをお勧めします。

サブスクペイのクレジットカード決済では、 加盟店様に高いセキュリティを提供するために、Visa（Visa Secure）／MasterCard（Mastercard ID Check）／JCB（J/Secure™）／American Express（American Express SafeKey®）／Diners Club（ProtectBuy®）の5つのカードブランドに対応しております。

3Dセキュア2.0のメリット

3Dセキュア2.0を導入するメリットには、「なりすまし利用の防止」「チャージバックリスクの軽減」「コンバージョン率の改善」「法令順守と企業としての信頼性向上」などが挙げられます。
それぞれみていきましょう。

なりすまし利用の防止

3Dセキュアの導入後は、お客様が設定したパスワードやSMSに届くワンタイムパスワードなど、カード情報に加えて本人しか知り得ない情報が決済を完了させるために必要となります。
万が一、カード情報が流出しても、パスワードがなければ第三者による「なりすまし」がほぼ不可能になります。

チャージバックリスクの軽減

チャージバックは消費者がクレジットカードを不正に使われたり、注文した商品が届かなかったり、届いた商品が破損していたりした場合に使われる仕組みです。

チャージバックが発生すると、事業者は商品を提供していてもカード会社から入金がされません。また、入金後でもカード会社に返金を求められることがあります。
消費者にとっては安心できる仕組みですが、事業者にとっては損失につながることがあります。

その点、3Dセキュア2.0で本人認証が行われた取引は、不正利用（番号盗用等）に関する一部のチャージバックにおいて、条件を満たす場合に、ライアビリティシフト（不正利用による損失に関する責任が移転する仕組み）が適用されることがあります。
これにより、事業者様の経済的損失を防げる可能性があります。

※ただし、商品未着・品質問題など不正利用以外の理由は別扱いとなるため、チャージバック全体がなくなるわけではありません。

コンバージョン率の改善

コンバージョン率の改善に関しては、前述の通り、リスクベース認証の導入によって不正利用のリスクが低いクレジットカードは認証画面をスキップして決済でき、従来の課題であったかご落ち率や決済処理時間が改善された点が挙げられます。

スムーズな決済体験の提供とモバイル対応の強化により、購入完了までの到達率が向上します。

法令順守と企業としての信頼性向上

増加の一途をたどるクレジットカード決済の不正利用状況を受け、経済産業省は2025年3月末を目処にECサイトへの3Dセキュア2.0の導入を義務化すると発表しました。このガイドラインに準拠することは、企業としての社会的責任を果たすことでもあります。

導入を怠ると、不正利用が多発するECサイトとして、消費者からの信頼を失う可能性があります。法令順守と企業としての信頼性向上のためにも、3Dセキュア2.0の導入が重要です。

3Dセキュア2.0に切り替えるために会社がするべきこと

3Dセキュア2.0に切り替えるには、「個人情報への対応」と「ECサイトへの連携」の2点が必要です。
以下でみていきましょう。

個人情報への対応

3Dセキュア2.0（EMV 3-Dセキュア）では本人認証のために、端末情報や連絡先、配送先情報などの取引関連情報が連携される場合があります。
加盟店は、プライバシーポリシー等で利用目的や外部連携（委託／第三者提供等）の整理を行い、必要に応じて同意取得を含む対応を検討しましょう。

また、リスクベース認証では、取引時に連携される情報に加え、カード発行会社（イシュアー）側が保有する利用状況等も踏まえてリスクを判定し、普段と異なる状況等が検知された場合に本人認証画面が表示されることがあります。

このように本人認証に関連して個人情報を取り扱う可能性があるため、事業者は個人情報保護の観点から適切な対応が必要です。

なお、当社は個人情報保護に万全を尽くしております。当社の個人情報保護方針については、以下をご参照ください。
プライバシーポリシー

ECサイトへの連携

3Dセキュア2.0への移行にあたっては、ECサイトの運営元である事業者が決済を委託している決済代行会社や、採用しているECカートシステムによって対応策が異なってきます。したがって、まずはこれらの会社に確認することから始めましょう。

なお、当社の「サブスクペイ」では、2022年から3Dセキュア2.0に対応しております。お気軽にご相談ください。

3Dセキュア2.0の注意点

①APIの構築が必要な場合がある

3Dセキュア2.0の注意点の1つ目は、API（Application Programming Interface：外部アプリとの連携機能）の構築が必要な場合があり、開発に時間やコストがかかることです。

なお、この注意点について、当社の「サブスクペイ」では、API型（ゲートウェイ型）接続に対応しており、スムーズな開発をサポートします。
当社API仕様書を参考にしていただいて決済情報を弊社決済システムに通信することで決済を行うことができます。

▼お客様ECサイトとサブスクペイのAPI連携イメージ

②不正利用を100%防止できるわけではない

3Dセキュア2.0の注意点の2つ目は、悪意のある第三者が何らかの方法でリスクベース認証を通過した場合には不正を見抜くことが難しい点です。リスクベース認証は高度になったものの、不正利用を100%防止できるわけではありません。

なお、この注意点について当社の「サブスクペイ」では、3Dセキュア2.0だけでなく、PCI DSS 4.0（クレジットカード業界におけるグローバルセキュリティ基準）への準拠・プライバシーマークとISMS（JIS Q 27001:2014）認証の取得により、強固なセキュリティ対策がされたサービスをご利用いただけます。

▼サブスクペイのセキュリティ基準

3Dセキュア2.0対応のクレジットカード決済は「サブスクペイ」にお任せ！

クレジットカード決済の導入には、高いセキュリティ対策が求められます。また、事業者がクレジットカード会社と個別に契約を結ぶのはハードルが高く、現実的ではありません。
そこで、5大カードブランドに対応した「サブスクペイ」の導入をご検討ください。

導入企業様からは「法令改正に伴う3Dセキュア2.0（本人認証サービス）の義務化や、カード情報の非保持化（トークン決済）に対応するなど、サブスクペイの迅速かつ適切なサポートには非常に満足しています」といった好評価をいただいております。