「3Dセキュア2.0の導入が義務化されるって本当?」
「もし3Dセキュア2.0の義務化を無視したら罰則はあるの?」
など、3Dセキュア2.0の導入の義務化について疑問や不安を感じている方はいませんか?
3Dセキュア2.0(EMV 3-Dセキュア)とは、ネット上のカード決済をより安全にするための本人認証のことです。
クレジット取引セキュリティ対策協議会より、2025年3月末までに3Dセキュア2.0の導入を義務化することが発表されており、EC事業者様は対応を迫られることになります。
そこで本記事では、
- 3Dセキュアの概要
- 3Dセキュア2.0を導入するのに必要な作業2つ
- EC事業者に求められている不正利用対策
などを解説していきます。
3Dセキュア2.0を導入することで、ECサイト事業者様が享受できるメリットなども紹介しますので、ぜひ最後までご覧ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
目次
3Dセキュアとは、クレジットカード本人認証サービスのこと
3Dセキュア2.0(EMV 3-Dセキュア)とは、ネット上でクレジットカード決済を安全におこなうための本人認証サービスです。
ただし、クレジットカードを利用した全ての決済に適用されるのではなく、高リスクと判断された決済のみ本人認証を行います。
3Dセキュアなしの決済では通常、クレジットカード番号と有効期限で認証を行います。
つまり、クレジットカードさえあれば本人以外でも利用できるため、セキュリティ面に課題がありました。
一方で、3Dセキュア2.0対応の場合は、高リスクだと判断された場合は、本人確認に次のいずれかの認証が必要となります。
- 生体認証
- ワンタイムパスワード
- QRコードなどによる認証
このようにカード情報の入力後、高リスクだと判断した決済は追加認証が必要となるので、クレジットカード不正利用のリスクを防ぐことができます。
なお、クレジット取引セキュリティ対策協議会から3Dセキュア2.0の導入義務化が発表されていますが、VISA、Mastercard、JCB、AMEXといった、各クレジットカードブランドも早期導入を推奨しています。
【国際カードブランドごとで3Dセキュアの呼称は異なる】
VISA:「Visa Secure」
Master Card:「Mastercard Secure Code」
JCB:「J/Serure」
AMEX:「American Express SafeKey」
【重要】まもなくECサイトへの3Dセキュア2.0の導入が義務化!
2025年3月末までに、原則としてすべてのEC加盟店に3Dセキュア2.0の導入を求めると発表されています。(※参考:クレジットカード・セキュリティガイドライン)
ECサイトに3Dセキュア2.0の導入が義務化された背景には、クレジットカードの不正利用が急増していることが挙げられます。
以下の図は、最新のクレジットカード不正利用被害の発生状況です。
※引用:日本クレジット協会
発表されたデータからも分かるように、2024年は555億円の被害額が発生しています。
クレジットカードの不正利用被害額は年々右肩上がりに増えており、2024年は過去最高の被害額となりました。
よって、EC事業者様においては、自社サイトで不正利用が発生しないよう3Dセキュア2.0を導入し対策することが求められます。
以下の記事では、3Dセキュア2.0の導入について示されているクレジットカード・セキュリティガイドラインについて詳しく解説しているので、本記事と併せてご覧ください。
「3Dセキュア1.0」と「3Dセキュア2.0」の違い
3Dセキュア1.0と2.0の大きな違いは、
- 本人認証の方法が追加されたこと
- リスクベース認証が取り入れられたこと
の2つです。
3Dセキュア1.0では、IDとパスワードだけで本人確認をしていたため、忘れると購入に至らない「カゴ落ち」が問題でした。
しかし、3Dセキュア2.0では生体認証やワンタイムパスワードの導入でフローがスムーズになり、カゴ落ちの問題が大幅に解消されました。
また、3Dセキュア1.0ではカード決済のたびにIDとパスワードで本人確認をしていましたが、3Dセキュア2.0ではリスクベース認証が取り入れられたことで、高リスクだと判断した決済にのみ追加認証を行うようになりました。
よって、正規購入者は決済画面で煩わしい入力を行わなくてもスムーズに決済が完了するようになったので、1.0に比べてカゴ落ちのリスクを減らすことができました。
なお、3Dセキュア1.0と2.0の違いを以下の表に簡潔にまとめたので、比較してみてください。
| 3Dセキュア1.0 | 3Dセキュア2.0 | |
|---|---|---|
| 本人認証の方法 | ・ID ・パスワード | ・ID ・パスワード生体認証 ・ワンタイムパスワード ・QRコードスキャンによる認証 |
| リスクベース認証 | なし | あり |
| スマホアプリ対応 | なし | あり |
| カゴ落ちリスク | 懸念あり | ほぼ懸念なし |
| チャージバック補償 | なし | あり |
3Dセキュア2.0導入の対象外になるもの
3Dセキュア2.0導入の対象外として挙げられるのは、おもに、
- 対面取引のみを行っている店舗
- クレジットカード決済を取り入れていないEC事業者
です。
3Dセキュアは、ネット上のカード決済をより安全にするための本人認証のことなので、対面取引のみを行っている店舗やクレジットカード決済を取り入れていないEC事業者は対象外となります。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
3Dセキュア2.0の義務化を無視した場合の罰則は?
3Dセキュア2.0の導入が義務化となりますが、もしこれを無視した場合は罰金などの罰則規定はありません。
ただし、行政の措置として3Dセキュア2.0未導入のEC加盟店に対し、「報告徴収」や「立入検査」を行うことができる規定はあります。
また、3Dセキュアを導入しないままでいると、いくつかのリスクを背負うことにもなります。
3Dセキュア未導入によるリスクについては、『5. ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ』で紹介しています。
3Dセキュア2.0を導入するのに必要な作業2つ
EC事業者様が、3Dセキュア2.0を導入するためには、以下のような作業が必要です。
- 既存システムで必要な対応を確認する
- 個人情報を厳重に管理する
1つずつ解説していきます。
【作業1】既存システムで必要な対応を確認する
3Dセキュア1.0に対応したシステムを導入している場合、システムのアップデートをおこなうことで3Dセキュア2.0に対応できることがあります。
決済代行会社などに確認し、3Dセキュア2.0への移行に伴いどのような対応が必要なのかを確認しましょう。
一方、自社でECサイトを構築している場合は、3Dセキュア2.0の導入にともないシステム開発や改修が必要です。
よって、時間がかかることを想定して、できるだけ早めにシステム開発や改修に取り掛かる必要があるでしょう。
【作業2】個人情報を厳重に管理する
3Dセキュア2.0では、クレジットカード情報に加えて以下のような個人情報をECサイトが取り扱うことになります。
- 接続元IPアドレス
- デバイスのOS
- 生年月日
「個人情報取扱事業者」として個人情報保護法に沿った対応が求められ、カード利用者からの情報利用の同意が必要です。
さらに、個人情報を流出させないための対策も求められるので、事業者様にはセキュリティシステムの強化や従業員への研修強化など、より厳格なデータ管理が必要になります。
以下の記事では、個人情報保護法について詳しく解説しているので、個人情報のセキュリティ強化にお役立てください。
ECサイトに3Dセキュア2.0を導入するメリット2つ
ECサイトへ3Dセキュア2.0を導入するメリットは、次の2つです。
- チャージバックのリスクを避けられる
- セキュリティ性能の向上
それでは順に見ていきましょう。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
【メリット1】チャージバックのリスクを避けられる
3Dセキュアを導入すると、チャージバックのリスクを避けられます。
チャージバックとは、ユーザーがクレジット決済に同意しなかった場合、クレジットカード会社が売り上げを取り消してユーザーに返金する仕組みです。
チャージバックが起きる最大の原因は、クレジットカードの不正利用です。
そのため、チャージバックのリスクを避けるには、クレジットカードの不正利用を防ぐ3Dセキュア2.0の導入が必須です。
もしチャージバックになってしまえば、
- ECサイトでの売り上げを回収できなくなる
- 購入された商品は戻ってこない
といった二重のリスクを負うことになります。
3Dセキュア2.0を導入していれば、仮にチャージバックが発生しても、補償の対象となる場合があり加盟店が被害金額分を負担しなくてもよいことがあります。
ただし、2022年10月以降の補償対象は3Dセキュア2.0のみとなり、1.0では補償が受けられなくなっているのでご注意ください。
チャージバックについてもっと詳しく知りたい方は、以下の記事をご覧ください。
【メリット2】セキュリティ性能の向上
3Dセキュア2.0は、セキュリティ性能が大幅に向上しています。
前提として、3Dセキュア1.0は利用者が設定したIDとパスワードのみの認証でした。
それに対し3Dセキュア2.0は、
- SMSやアプリを用いたワンタイムパスワード
- 指紋や顔などの生体認証
- モバイル端末によるQRコードスキャン
など、さまざまな認証方法に対応しています。
特に、ワンタイムパスワードは1回のみの使用に限られるため、セキュリティが非常に高くなっています。
また、一度きりしか使用しないため覚えておく必要がなく、クレジットカードを盗まれた場合でも、不正利用のリスクは低いです。
このように、3Dセキュア2.0は本人確認がスムーズになりながらも、セキュリティは強化されているなどのメリットがあります。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ
ECサイトに3Dセキュア2.0を導入しなかった場合のリスクはおもに4つです。
- カード不正利用のリスクが高まる
- チャージバック補償が受けられない
- 自社サイトへの信頼が失われる
- カード会社から制裁措置が課される恐れがある
まだ3Dセキュア2.0の導入が完了していないEC事業者様は、必ず最後までお読みください。
【リスク1】カード不正利用のリスクが高まる
ECサイトに3Dセキュア2.0が導入されていないと、クレジットカード不正利用のリスクが高まります。
不正利用のリスクにより、具体的には以下のような損失が発生します。
- 不正利用された分の商品や商品代金の損失(=チャージバック)
- 不正利用発生時の対応に係る人件費の発生
自社サイトでクレジットカードが不正利用された場合、不正に気づいたカード保有者本人が異議申し立てをすることにより、不正利用分が返金される仕組みである「チャージバック」が発生します。
このチャージバックは、カード保有者本人にとっては救済措置になりますが、EC事業者は売上金を返金しても商品は戻ってこないため、大きな損失といえます。
また、チャージバックの損失だけでなく、不正利用に関する処理や手続きなどの人件費もかかることが多いでしょう。
【リスク2】チャージバック補償が受けられない
3Dセキュア1.0のままや、そもそも3Dセキュアが未導入の場合は、チャージバックが発生しても補償を受けることができません。
つまり、先程もお伝えしたように、チャージバックにより売上金を返金しても商品は戻ってこないといった大きな損失を受けることになります。
クレジットカード不正利用のリスクを防ぐことに加えて、万が一チャージバックが発生したときの備えとしても3Dセキュア2.0の導入は必要です。
【リスク3】自社サイトへの信頼が失われる
3Dセキュア2.0の未導入で、実際に不正利用が続いてしまうと、ユーザーから自社サイトへの信頼が少しずつ失われていってしまいます。
悪い評判が増えてしまうと、ショップには以下のようなことが起こるリスクが高いです。
- 長い間利用してくれていた優良顧客が離れていく
- 新規顧客も獲得できない
- 優秀な人材が来てくれない
- 会社の評価が大きく下がり株価にも大きなダメージを与える
このように、長い年月をかけて作り上げてきた自社への評判が、クレジットカード不正利用の被害により簡単に壊れてしまう可能性があります。
【リスク4】カード会社から制裁措置が課される恐れがある
3Dセキュア2.0未導入の場合、カード会社から制裁措置が課される恐れがあります。
理由として、3Dセキュア2.0の導入義務化に向けて、「カード会社」「加盟店を管理している企業」「決済会社」などもEC事業者に対して導入を促すことが求められているからです。
もし3Dセキュア2.0に対応しないままカードの不正利用が増え続けた場合、カード会社からは、
- オーソリ認証率の低下
- 契約変更または終了
などを突き付けられる可能性があります。
オーソリ認証率が低下すると、正規利用者でもオーソリで弾かれることがあり、クレジットカード決済ができなくなるケースが出てきます。
さらに、カード会社から契約解除されてしまうと、決済方法にクレジットカードを選択できなくなるので、顧客離れによる売上低下を招くことになるでしょう。
クレジットカードのオーソリについて、さらに詳しく知りたい方は以下の記事をお読みください。
【注意】3Dセキュア2.0だけでは不正利用を100%防げるわけではない
実際に、3Dセキュアだけに頼っていた企業で、クレジットカードの不正利用の被害にあったケースはいくつかあります。
理由としては、
- 個人端末の乗っ取りなどで本人認証で使用するワンタイムパスワードを入手されてしまう
- ECサイトや決済代行会社の設定によって3Dセキュア2.0が作動しない
- 公的機関やECサイトのメールアドレスと偽って連絡し、決済情報を入手される
などの不正被害があるので、3Dセキュア2.0に頼りすぎるのは避けた方がいいでしょう。
以下の記事では、3Dセキュアだけに頼ることは危険なことについて詳しく説明しているので、本記事と併せて参考にしてください。
EC事業者に求められている不正利用対策
EC事業者に求められているクレジットカード不正利用対策は、以下の図の「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」とカード決済時の「3Dセキュア2.0の導入」が義務付けられています。
最近では、フィッシング詐欺などで窃取したログイン情報を使って、本人になりすましてECサイトに不正ログインをする手口が増えています。
また、フィッシング詐欺やクレジットマスターなどで窃取したクレジットカード情報を使って、ECサイトでカードを不正利用される被害も年々増加していています。
フィッシング詐欺:実在するサービスや企業になりすまして、偽のメールやSMSから偽サイトに誘導し、IDやパスワードなどの情報を盗んだりマルウェアに感染させたりする手口
クレジットマスター:クレジットカード番号の規則性を悪用し、他人のカード番号を割り出す行為
フィッシング詐欺やクレジットマスターがどのような手口であるか、詳しくは以下の記事で解説しておりますので、気になる方はお読みください。
これらの背景から、「線の考え方」に基づき、カード決済前の「不正ログイン対策の実施」を行うように求められています。
さらに、導入が義務化されている3Dセキュア2.0ですが、先程もお伝えしたように、カード決済時の不正利用を100%防げるわけではありません。
もし3Dセキュア2.0が突破された場合を想定して、カード決済時の対策強化に加え、決済後にも対応できる対策を行う必要があるということです。
当サイトを運営するかっこ株式会社は、カード決済前の不正ログイン対策と、カード決済時・決済後を対策できる不正検知システムを開発・提供していますので、次章で紹介していきます。
3Dセキュア2.0と不正検知システムの併用がおすすめ
カード決済前の「不正ログイン対策の実施」と、カード決済時の強化、さらにカード決済後の不正転売なども対策したい場合は、3Dセキュア2.0と不正検知システムの併用がおすすめです。
クレジットカード・セキュリティガイドラインに遵守するためには、かっこ株式会社が開発・提供している不正検知システム「O-PLUX」が有効です。
※参考:かっこ株式会社
「O-PLUX」は、ECで起こる不正ログイン・不正注文をリアルタイムに検知し、個人情報漏洩やクレジットカードの不正利用、悪質転売などの不正被害を防止することができます。
また、「O-PLUX」は国内で最も導入されている不正検知システムで、高精度な検知により、累計120,000サイト以上に導入していただいています。(※2025年3月末日時点。株式会社東京商工リサーチ「日本国内のECサイトにおける有償の不正検知サービス導入サイト件数調査」による)
「O-PLUX」が決済前、決済時・決済後どのように機能するのかは、以下の図をご覧ください。
※参考:かっこ株式会社
※参考:かっこ株式会社
「O-PLUX」に興味を持っていただいた事業者様は、以下をクリックしてお気軽にお問い合わせください。
-8-1000x300.png)
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
カード不正利用対策の疑問・不安は「かっこ株式会社」にご相談を
3Dセキュア2.0の導入が義務化されることにより、クレジットカード不正利用対策について考え直すEC事業様も多いと思われます。
そんなとき、どこに相談したらいいか分からないときは、ぜひ弊社「かっこ株式会社」にご相談してください。
事業内容や規模によって、どんな対策が必要であるかのご提案をさせていただきます。
疑問や不安を抱いている事業者様は、まずはお気軽に以下からお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
まとめ
2025年3月末、全てのEC加盟店は3Dセキュア2.0の導入が義務化されます。
まだ3Dセキュア2.0を導入していないEC事業者様は、早急に対応を行うようにしましょう。
もし3Dセキュア2.0を未導入のままでいると、罰金などの罰則規定はありませんが、行政の措置として「報告徴収」や「立入検査」が行われることがあります。
また、いくつかのリスクが発生する恐れがあることも覚えておきましょう。
▼ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ
- カード不正利用のリスクが高まる
- チャージバック補償が受けられない
- 自社サイトへの信頼が失われる
- カード会社から制裁措置が課される恐れがある
ただし、3Dセキュア2.0の導入をしておけば、100%カード不正利用を防げるわけではありません。
実際に、3Dセキュア2.0が突破されてしまい、カード不正利用が発生しているケースもあります。
カード不正利用対策を万全に行うためには、クレジットカード・セキュリティガイドラインを遵守することが重要です。
このガイドラインに遵守するためには、「不正ログイン対策の実施」を行うことと、3Dセキュア2.0が突破されてしまった場合を想定した、カード決済時とカード決済後の対策強化です。
当サイトを運営するかっこ株式会社は、「不正ログイン対策」と「カード決済時とカード決済後の対策強化」の両方に対応できる不正検知システム「O-PLUX」を開発・提供しています。
かっこの不正検知システムについてもっと知りたいという事業者様は、いつでもお気軽にお問い合わせください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
