「3Dセキュア1.0と3Dセキュア2.0(EMV 3Dセキュア)の違いは何?」
「ECサイトを運営する企業は3Dセキュア2.0を導入すべきなの?」
と疑問に思うことはありませんか?
3Dセキュア2.0に対応する他社のECサイトも増えてきて、自社はどう対応すべきか悩んでいる方もいるのではないでしょうか。
しかし、3Dセキュア1.0から3Dセキュア2.0への移行判断が遅れると、補償が受けられずに店舗側の損失が増えてしまう可能性もあります。
そこで、3Dセキュア1.0と3Dセキュア2.0の違いと、企業としてどう準備していくべきかポイントを解説します。自社ECサイトの「カゴ落ち」や「チャージバック」のリスクを抑えつつ、セキュリティも高めていきたい方はご一読ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
目次
「3Dセキュア2.0」とは?「3Dセキュア1.0」との違いも解説!
そもそも3Dセキュアでは、どのようなことができるのか、1.0と2.0のバージョンの違いは何なのかわからないといった方もいるのではないでしょうか。
ここでは、以下の疑問について解説していきます。
- 「3Dセキュア」とは?
- 「3Dセキュア2.0」とは?
- 「3Dセキュア1.0」と「3Dセキュア2.0」の違いは?
1つずつ詳細を見ていきましょう。
「3Dセキュア」とは?
3Dセキュアとは、ネットショッピングの際にクレジットカードの利用者に対して本人認証を行い、不正利用のリスクを判断するための仕組み。
3Dセキュア2.0と区別するために「3Dセキュア1.0」「旧3Dセキュア」という表記で案内されることもあります。
3Dセキュア1.0に対応しているECサイトなどでは、
- カード利用者が事前に専用パスワードを登録
- ネットショッピングの決済時に本人認証画面をサイト側で表示
- 利用者が専用パスワードを入力し、一致したときにのみ決済が完了
といった流れで、カード利用者本人の買い物であると判断しています。
仮に何らかの理由でクレジットカード情報が流出した場合、第三者に悪用されてしまうケースも。
しかし、3Dセキュアが導入されていれば、本人認証を通過しないと決済が完了しないため「不正利用の防止」に役立てることが可能です。
3Dセキュア1.0におけるメリット・デメリットは、以下の記事にて解説しています。3Dセキュア1.0についてより深く知りたい方は、併せてご一読ください。
「3Dセキュア2.0(EMV 3Dセキュア)」とは?
3Dセキュア2.0(正式名称:EMV 3Dセキュア)は、3Dセキュア1.0の新バージョンとして登場した仕組みです。
3Dセキュア2.0の特徴は以下の3つです。
- リスクベース認証が可能に
- ECサイトのスマホアプリからの決済も対象となる
- ワンタイムパスワードや生体認証が使える
3Dセキュア2.0の目玉機能である「リスクベース認証」については後述しているので、併せてご覧ください。
そのほか、スマホアプリからの利用ができるようになったり、ワンタイムパスワードなどで認証できるようになったりと、ユーザーの利便性が向上する機能が搭載されています。
すでにNTTドコモやSBペイメントサービスなどでは導入が完了しており、3Dセキュア2.0が設定されたクレジットカードでないと決済できないようになっています。
このほかにも各ECサイトでは3Dセキュア2.0への対応が急務に。それは、3Dセキュア1.0のサポート終了日時が以下のように決まっているからです。
- Visa:2022年10月14日
- Mastercard:2022年10月17日
- JCB:2022年10月17日
- American Express:2022年10月13日
- Diners Club:2022年10月13日
※クレジット取引セキュリティ対策協議会「EMV 3-Dセキュア導入ガイド」より
3Dセキュア1.0のサポート終了にともない、チャージバック時の補償も終了する見込みです。
(※詳細は契約カード会社(アクワイアラー)等へご確認ください。)
【チャージバックとは?】
クレジットカードの不正利用が起こったときに、カード会社が店舗に対して売上金額の返金請求をすること。
その場合は、カード会社から入金された売上金額を返金するが、発送済みの商品は戻らないため、店舗側の損失となる。
3Dセキュア1.0では、チャージバックが発生したときに、カード発行会社から取り消された売上金額分の補償を受けられました。
しかし、今後3Dセキュア2.0が導入されていない場合は、補償が受けられなくなる恐れがあります。
そのため、店舗側の損失が今まで以上に大きくなる可能性があり、早急な対応が求められています。
「3Dセキュア1.0」と「3Dセキュア2.0(EMV 3Dセキュア)」の違いは?
「3Dセキュア1.0」と「3Dセキュア2.0」の違いを以下にまとめました。
| 3Dセキュア1.0 | 3Dセキュア2.0 | |
|---|---|---|
| ユーザーが決めた専用パスワードで本人認証 | ◯ | - |
| リスクベース認証 | - | ◯ |
| スマホアプリへの対応 | - | ◯ |
| ワンタイムパスワード | - | ◯ |
| カゴ落ちリスク | △ | ◯ |
| チャージバック時の補償※ | - | ◯ |
※3Dセキュア1.0のサポート終了以降
3Dセキュア1.0では、設定しているカード利用者全員に対して認証を行っていました。
ネットで買い物をするごとに本人認証画面が出るため、
- パスワードを忘れた
- 入力が面倒になった
などの理由で、ユーザーが離脱して購入に至らない「カゴ落ち」が発生する可能性も。
しかし、3Dセキュア2.0では不正利用が疑われる決済にのみ本人認証画面を表示する「リスクベース認証」が可能です。
Visaによると決済処理時間が85%削減し、カゴ落ち率は70%も削減が期待できると言われています。
3Dセキュア2.0を導入したときの、カード利用者と店舗側のメリットのまとめは以下の通りです。
【カード利用者】
- 専用パスワードの登録や入力をする手間が省ける
- さまざまなデバイスやアプリからでも、安心したネットショッピングを楽しめる
【店舗側】
- リスクベース認証によって、カゴ落ちする可能性を減らせる
- ワンタイムパスワードなどで、カード決済時の認証を強化できる
- チャージバックが発生したときに補償を受けられる
このように3Dセキュア2.0は、カード利用者にも店舗側にも多くのメリットをもたらす仕組みです。
ここまで読んで「リスクベース認証とは、一体何なの?」と思っている方もいるのではないでしょうか。続いてリスクベース認証の詳細について解説します。
3Dセキュア2.0(EMV 3Dセキュア)の目玉機能「リスクベース認証」とは?
リスクベース認証とは、ECサイトでクレジットカード決済をする際に、不正利用の疑いがあるときにのみ本人認証画面を表示する方法です。
決済時に、
- クレジットカードの利用履歴
- カード利用者が利用している端末(スマホ・タブレットなど)
- 配送先住所
- ネットワーク情報
などをリアルタイムで分析し、いつもの利用と違う場合に不正利用と判定します。
リスクベース認証の導入により、95%の決済が低リスクであると判断され、本人認証画面でワンタイムパスワードなどの入力が不要になるそうです。
リスクベース認証の詳細や導入のメリット・デメリットについては以下の記事にて解説しています。
3Dセキュア2.0のメイン機能を詳しく知っておきたい方は、以下の記事もご一読ください。
ここまで、3Dセキュア1.0と3Dセキュア2.0の違いや、大きな特徴となるリスクベース認証について解説しました。
続いて、3Dセキュア2.0の導入に向けて、企業が進めておきたい準備をお伝えします。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
3Dセキュア2.0(EMV 3Dセキュア)のリリースに向けて、企業はどんな準備をすれば良いのか
すでに3Dセキュア1.0を導入している場合は、3Dセキュア2.0への変更にともない、切り替え作業などが必要になる場合があります。
たとえば、株式会社ゼウス(SBIグループ)では、以下のように案内が行われました。
現在ご利用の3Dセキュアから3Dセキュア2.0(EMV3Dセキュア)への移行にともない、一部加盟店様においてはシステム仕様の修正が必要な場合がございます。<中略>対象の加盟店様においては、各カードブランドが定める日程に従い3Dセキュア2.0(EMV3Dセキュア)へ切替作業が発生いたします。
引用:ゼウス
このとき、企業が行う対応は大きく2つに分けられます。
- 3Dセキュア2.0の導入
- 不正検知システムを導入
どちらで対応すべきか迷わないように、それぞれのメリット・デメリットを見ていきましょう。
【対策1】3Dセキュア2.0(EMV 3Dセキュア)を導入する
3Dセキュア2.0を導入する場合の、メリットとデメリットは以下の通りです。
2つのメリット
- リスクベース認証とワンタイムパスワードの組み合わせにより、カゴ落ちリスクを抑えてセキュリティを強化できる。
- チャージバック発生時の返金請求が発生しない
前述の通り、リスクベース認証により高リスクの取引のみを選別し、本人認証を求められます。そして、認証方法にワンタイムパスワードなどを利用することから、カード利用者が登録したパスワードを忘れるといったこともなくなり、2段階でカゴ落ちリスクを抑えられる点がメリットです。
4つのデメリット
- 新たにAPIを構築するなど開発に時間やコストがかかる
- 精度に関する情報が少ない
- リスクベース認証を通過した場合、不正を見抜けない
- 3Dセキュア1.0と異なり、有償での提供となる可能性がある
- 決済承認率が低下する恐れがある
ECサイトに3Dセキュア2.0を対応させるためにAPIの構築が必要だったり、そもそもの導入が有償になったりする可能性もあり、コスト面でハードルが高くなる恐れがあります。
また、リスクベース認証がどれほどの精度で行われているのか正確な情報が少なく、実際になりすましが発生するケースも否定できないでしょう。
3Dセキュア1.0よりセキュリティは高くなるとはいえ、まだ完璧な仕組みとは言い切れないのが現状です。
なお、3Dセキュア2.0は不正を完全に防ぐことはできないため、3Dセキュア2.0を導入していてもクレジットカードの不正利用多発が原因で、カード会社から決済承認率を下げられるリスクもあります。
クレジットカードの決済承認率が低下すると、正規のカード利用者でも決済が拒否される可能性が高まり、売上減少やカゴ落ちの増加につながります。
よって、3Dセキュア2.0を過信しすぎずに、もし3Dセキュアが突破されてしまった場合の二重の対策を行う必要があります。
二重の対策としておすすめなのが、以下の【対策2】で紹介する不正検知システムの導入です。
【対策2】不正検知システムを導入する
不正検知システムとは、ECサイトでの注文時に、なりすましや不正注文を検知し、チャージバックの発生を最低限に抑えるサービスです。
不正注文検知サービスを導入するメリット・デメリットを以下に挙げてみました。
3つのメリット
- ユーザーの購買フローは変えずに審査を行うので、カゴ落ちリスクを低減しつつセキュリティを強化できる
- 商材や不正リスクに応じた個別のチューニングが可能である
- 設定方法が簡単で導入しやすいサービスもある
不正注文検知サービスを使うと、ユーザーは決済時の画面遷移なくスムーズに商品の購入ができるようになります。
店舗側はカゴ落ち率を減らしたり、チャージバックのリスクを抑えたりすることが可能です。
クラウド型のシステムを採用すれば、すでに運用中のECサイトにも導入しやすくなります。
3つのデメリット
- 不正対策のサービスの違いがわかりづらく、選択がむずかしい
- 実際に使ってみないと、効果がわかりにくい
- 導入の仕方によっては、運用の負荷が大きくなる
不正注文検知サービスは複数あり、実際に自社に合っているものはどれなのか迷うことがあります。選択を誤って導入した場合、「思った以上の効果は出なかった」といった結果にもなりかねません。
そこで、おすすめしたい不正検知システムが『O-PLUX』。O-PLUXなら、ECサイトを運営する際のさまざまな課題を解決可能です。
・クレジットカードのなりすまし注文による、チャージバックの損失がなかなか防げない
⇒注文情報をリアルタイムで審査し、商品の発送前に不正を検知可能
・不正注文が発生していないか、担当者が目視で確認する業務に負担がかかっている
⇒システムが一定の基準で審査を行い、不正を見抜ける。確認漏れや担当者が変わったことで精度が落ちるといったリスクも少ない
・代引き受け取り拒否・後払い決済の未払いなど、あらゆる手段での不正注文が後を絶たない
⇒不正を繰り返す人の買い方や他社での類似不正もシステム内に搭載し、さまざまな購入方法の不正注文を判断
とはいえ、「導入後、本当に効果が見込めるの?」と心配する方もいるでしょう。こういったケースでは、O-PLUXのトライアルがおすすめです。実際に導入後と同じ環境で、効果を検証できます。
O-PLUXの効果を確かめた上で本導入の検討をしたい方は、以下からお問い合わせください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
不正注文対策を進めるなら、プロに相談するのも1つの手
3Dセキュア2.0、不正注文検知サービスのどちらかを採用しようと思っても、導入費用がかかるため社内稟議を通す準備が必要です。しかし、いくらECサイトの担当者が導入したいと思っていても、上長の許可がなければ導入は実現しません。
「スムーズに稟議を通したい」「繰り返す不正注文に手を焼いている」など、不正注文対策を推進するにあたり困っていることがあるなら専門家に相談するのも1つの手です。
たとえば、セキュリティ対策を専門とする弊社(かっこ株式会社)では、不正対策全般に関する相談も承ります。
不正注文対策を実施し、早期の段階で自社サイトのセキュリティを高めたい方は、以下から気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
まとめ:3Dセキュア2.0(EMV 3Dセキュア)と併せて不正注文検知サービスの検討も
3Dセキュア1.0と3Dセキュア2.0の違い、企業がしておきたい準備について解説しました。全体のまとめは以下の通りです。
・3Dセキュアは、クレジットカードの不正利用を防ぐ仕組み
・3Dセキュア1.0は、カード利用者が登録したパスワードで本人認証をする。2022年10月頃から順次サポートが終了する予定
・3Dセキュア2.0は、リスクベース認証が可能となり、不正利用のリスクが高いときのみ、ワンタイムパスワードなどで本人認証する。カード利用者、店舗側双方の利便性と安全性が高まる
・3Dセキュア2.0のほか、不正注文検知サービスの検討も業務効率化のポイント
今後、3Dセキュア1.0のサポート終了によって、ECサイトを運営する店舗側の対応は必至です。ユーザーに安全なネットショッピングをしてもらうことや、店舗のカゴ落ち・チャージバックのリスクを考えると3Dセキュア2.0への移行が得策です。
しかし、3Dセキュア2.0の導入には、コストがかかる点がデメリットに。そこで、おすすめしたいのが不正検知システム『O-PLUX』です。
ユーザーの購買導線はそのままに、不正な注文が商品の発送前にわかるようになります。ECサイトのセキュリティを高めつつ、カゴ落ちやチャージバックのリスクも抑えることが可能です。
また、「O-PLUX」は不正対策と同時に決済承認率の可視化もできます。
とはいえ、自社に合うシステムなのか、機能は使いやすいかなど、実際に利用してみないとわからない部分もあります。そのようなときは、O-PLUXのトライアルをご利用ください。
「O-PLUXのトライアルを試したい」「詳しい機能をもっと知りたい」といった方は、以下からお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
なお、決済承認率を可視化すべき理由については、以下の記事でも詳しく解説しておりますので、ぜひ参考にしてください。
