3Dセキュアは、ネット上のカード決済をより安全にするための本人認証のことです。
経済産業省より、2025年3月を目処に3Dセキュア2.0の導入を義務化することが発表され、事業者様は対応を迫られることになります。
そこで本記事では、下記の内容を解説します。
- 3Dセキュアの概要
- 3Dセキュアと3Dセキュア2.0の違い
- 3Dセキュア2.0への移行で必要な作業
- 3Dセキュア2.0のメリットと注意点
3Dセキュア2.0を導入することで、ECサイト事業者様が享受できる多くのメリットも紹介しますので、ぜひ最後までご覧ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
目次
3Dセキュアとは、クレジットカード本人認証サービスのこと
3Dセキュアとは、ネット上でクレジットカード決済を安全におこなうためのサービスです。
VISA、Mastercard、JCB、AMEXといった、各クレジットカードブランドが導入を推奨しています。
3Dセキュアなしの決済は、クレジットカード番号と有効期限での認証です。つまりクレジットカードさえあれば本人以外でも利用できるため、セキュリティ面に課題がありました。
一方で、3Dセキュア対応の場合は、本人確認に次の認証が必要となります。
- 3DセキュアのID
- パーソナルメッセージ
- パスワード
下記は、クレジットカード決済時に3Dセキュアで本人認証を加えた際の流れを図にしたものです。
カード情報の入力後、3Dセキュアの認証画面が設定されているので、第三者に情報が漏れることがなく、クレジットカードの不正利用を防げます。
ECサイトへの3Dセキュア2.0の導入義務化が決定
2023年に「クレジットカード・セキュリティガイドライン」が改訂され、原則としてすべてのEC加盟店に3Dセキュア2.0の導入を求めると発表されました。
EC加盟店はこのガイドラインに則り、2025年3月末を目処に3Dセキュア2.0を導入しなければなりません。
※参考:経済産業省
ECサイトに3Dセキュア2.0の導入が義務化された背景には、クレジットカードの不正利用が急増していることが挙げられます。
下図は、最新のクレジットカード不正利用被害の発生状況です。
※引用:一般社団法人日本クレジット協会
発表されたデータからもわかるように、2023年のカード不正利用の被害額は半年で262億円以上にものぼり、昨年の同じ時期と比べて大幅に増えています。
このペースのままでは、昨年の被害額を大きく上回ることは明らかです。事業者様においては、不正利用の被害を受けないよう3Dセキュア2.0を導入し対策することが求められます。
下記の記事では、3Dセキュア2.0の導入をはじめとしたセキュリティガイドラインの改正点を詳しく解説しています。併せてご覧ください。
「3Dセキュア」と「3Dセキュア2.0」の違い
3Dセキュア1.0と2.0の大きな違いは、本人認証の方法が追加されたことです。
以前はIDとパスワードだけで本人確認をしていたため、忘れると購入に至らない「カゴ落ち」が問題でした。
しかし、生体認証やワンタイムパスワードの導入でフローがスムーズになり、カゴ落ちの問題が大幅に解消されました。
加えて、3Dセキュア1.0ではブラウザ対応のみだったものが、モバイル端末・アプリへも対応可能となり、汎用性が高まっています。
2つの違いをわかりやすくするために、3Dセキュア1.0と2.0の違いを下図にまとめました。
| 3Dセキュア1.0 | 3Dセキュア2.0 | |
|---|---|---|
| 本人認証の方法 | ・ID ・パスワード | ・ID ・パスワード生体認証 ・ワンタイムパスワード ・QRコードスキャンによる認証 |
| リスクベース認証 | なし | あり |
| スマホアプリ対応 | なし | あり |
| カゴ落ちリスク | 懸念あり | ほぼ懸念なし |
| チャージバック補償 | なし | あり |
消費者の利便性を高めつつ、ECサイトのセキュリティ機能がさらに強化されています。
そのため、消費者と事業者の双方にメリットがあるバージョンアップといえるでしょう。3Dセキュア2.0に関するさらに詳しい情報は、次の記事でも解説しています。
3Dセキュア2.0への移行でECサイトに必要な作業2選
事業者様が、3Dセキュア2.0へ移行するためには、下記のような作業が必要です。
- 既存システムで必要な対応を確認する
- 個人情報を厳重に管理する
1つずつ解説していきます。
【作業1】既存システムで必要な対応を確認する
3Dセキュア1.0に対応したシステムを導入している場合、システムのアップデートをおこなうことで3Dセキュア2.0に対応できることがあります。
決済代行会社などに確認し、3Dセキュア2.0への移行に伴いどのような対応が必要なのかを確認しましょう。
一方、自社でECサイトを構築している場合は、3Dセキュア2.0の導入にともないシステム開発や改修が必要です。
【作業2】個人情報を厳重に管理する
3Dセキュア2.0では、クレジットカード情報に加えて下記のような個人情報をECサイトが取り扱うことになります。
- 接続元IPアドレス
- デバイスのOS
- 生年月日
「個人情報取扱事業者」として個人情報保護法に沿った対応が求められ、カード利用者からの情報利用の同意が必要です。
さらに、個人情報を流出させないための対策も求められるので、事業者様にはセキュリティシステムの強化や従業員への研修強化など、より厳格なデータ管理が必要になります。
下記の記事では、具体的な情報漏洩対策を解説しています。個人情報のセキュリティ強化にお役立てください。
ECサイトに3Dセキュア2.0を導入するメリット3選
ECサイトへ3Dセキュア2.0を導入するメリットは、次の3つです。
- チャージバックのリスクを避けられる
- ドロップ率(離脱率)を下げられる
- セキュリティ機能の向上
順番に見ていきましょう。
【メリット1】チャージバックのリスクを避けられる
3Dセキュアを導入すると、チャージバックのリスクを避けられます。
チャージバックとは、ユーザーがクレジット決済に同意しなかった場合、クレジットカード会社が売り上げを取り消してユーザーに返金する仕組みです。
チャージバックになってしまえば、ECサイトでの売り上げを回収できなくなります。また、すでに売買が成立しているため、購入された商品も戻ってきません。
チャージバックが起きる最大の原因は、クレジットカードの不正利用です。そのため、チャージバックのリスクを避けるには、ユーザーの不正利用を防ぐ3Dセキュアが必須です。
次の記事では、クレジットカード決済とチャージバックの関係性やチャージバックを回避する方法を説明していますので、ぜひチェックしてみてください。
仮にチャージバックが発生しても、3Dセキュアで本人確認されていると補償の対象となる場合があり、加盟店が負担しなくてもよいことがあります。
ただし、2022年10月以降の対象は3Dセキュア2.0のみとなり、1.0では補償が受けられなくなっているので確認しましょう。
クレジットカードの不正が発覚した場合に発生する事業者様への負担を、下記の記事で解説しています。チャージバックについても触れていますので、ぜひご覧ください。
【メリット2】ドロップ率(離脱率)を下げられる
3Dセキュア1.0はパスワード入力画面でのドロップ率(離脱率)が多いのが難点でした。
「本人確認に手間がかかる」「3Dセキュアのパスワードを忘れてしまう」のがネックになっていたのが理由です。
一方、3Dセキュア2.0は、クレジットカードの不正利用のおそれがあるかをリアルタイムで判定します。
本人確認は、不正利用のリスクが高いと判断された場合にのみおこなわれます。
3Dセキュア2.0では、本人に認証手続きが求められることはほとんどありません。そのため、「パスワード画面で離脱され、決済まで進んでいる顧客」を逃さずにすみます。
【メリット3】セキュリティ性能の向上
3Dセキュア2.0は、セキュリティ性能が大幅に向上しています。
前提として、3Dセキュア1.0は利用者が設定したIDとパスワードのみの認証でした。
それに対し3Dセキュア2.0は、
- SMSやアプリを用いたワンタイムパスワード
- 指紋や顔などの生体認証
- モバイル端末によるQRコードスキャン
など、さまざまな認証方法に対応しています。
特に、ワンタイムパスワードは1回のみの使用に限られるため、セキュリティが非常に高くなっています。
また、一度きりしか使用しないため覚えておく必要がなく、クレジットカードを盗まれた場合でも、不正利用のリスクは低いです。
このように、3Dセキュア2.0は本人確認がスムーズになりながらも、セキュリティは強化されているなどのメリットがあります。
ECサイトに3Dセキュア2.0を導入する際の2つの注意点
ここまで解説したように、優れた機能を持つ3Dセキュア2.0ですが、ECサイトへの導入には次のような注意点もあります。
- 対応していないクレジットカードがある
- 不正を100%防げるわけではない
3Dセキュア2.0をECサイトに導入するなら、上記の注意点についても理解しておきましょう。
1つずつ詳しく解説します。
【注意点1】対応していないクレジットカードがある
3Dセキュア2.0はクレジットカードブランドが提供するサービスですが、中には対応していないものもあるので注意が必要です。
利用率の高いクレジットカードは、どうしても不正利用のリスクも上がってしまいます。
特に、シェア率の高いカードなどでは悪用者に狙われるリスクが高まるため、3Dセキュア2.0に対応していないと不正利用されやすくなります。
そのため、3Dセキュアとセットで「不正注文検知サービス」を導入するなど、他の不正対策と併用することが重要です。
他の不正対策については、後ほど「3Dセキュア2.0と不正注文検知サービスの併用がおすすめ」で解説します。
なお、3Dセキュアに対応しているおすすめのクレジットカードブランドは、下記の記事を参照してください。
【注意点2】不正を100%防げるわけではない
3Dセキュア2.0は1.0と比べて10倍ものデータ分析をおこない、セキュリティ強化につなげていますが、現時点では安全が保障されている数字ではありません。
実際に、3Dセキュアだけに頼っていた企業が不正注文の被害にあったケースもあります。
繰り返しになりますが、3Dセキュア2.0は1.0と比べると高いセキュリティ機能を持ちますが、不正を100%防げるわけではありません。
もし、本人確認で使用するワンタイムパスワードを入手されてしまえば、不正に利用されてしまうおそれもあります。
また、ECサイトや決済代行会社の設定によっては、3Dセキュア2.0が作動しないこともあります。
公的機関やECサイトのメールアドレスと偽って連絡し、決済情報を入手する詐欺もあるので、3Dセキュア2.0に頼りすぎるのは避けた方がいいでしょう。
下記の記事では、3Dセキュア以外の不正対策について触れています。自社の多面的な不正対策の資料として、ご活用ください。
3Dセキュア2.0と不正注文検知サービスの併用がおすすめ
日々巧妙化している不正対策には、3Dセキュア2.0だけでなく、不正注文検知サービスとの併用がおすすめです。
不正注文検知サービスとは、ECサイトでの注文やクレジットカード決済時に不正を自動で検知するサービスのことを言います。
3Dセキュアと不正注文検知サービスの併用がおすすめの理由は、主に次の2つです。
- 3Dセキュアでは不正が完全に防ぎきれない
- 不正が起きた時の被害額がとてつもなく大きい
実際に弊社が扱う不正注文検知サービス「O-PLUX」で防いだ不正は、1年間で約731億円(※)にものぼります。
※2022年度実績 クレジットカード決済/後払い決済/代引き決済における、O-PLUXで自動審査結果NGと判定した取引の合計金額
また、最近の不正注文の手口は巧妙化しており、すべての不正手口を把握するのは困難です。
そこで、かっこ株式会社が提供する不正注文検知サービス「O-PLUX」をおすすめします。「O-PLUX」は独自の技術で高精度の不正検知を実現しています。
さらに、累計110,000サイト以上の不正データをリアルタイムで共有、審査に活用しているため、最新かつ巧妙な不正にも対応が可能です。
いきなり社内で高額なサービスの導入に踏み切れない場合は、1万円のトライアルも利用できます。
実際に不正が起きているかなども確認できるため、今後対策をすべきか判断する意味でもおすすめです。
EC向け不正検知で4年連続No.1(※)の実績を誇る不正注文検知サービス「O-PLUX」のトライアルの詳細が気になる方は、下記のボタンをクリックのうえご確認ください。
※2023年3月末日時点。株式会社東京商工リサーチ調べ
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
まとめ:3DセキュアはECサイトの不正対策に役立つサービスの1つ
3Dセキュアは、クレジットカードでの支払いが普及した現代では、安全のため必須のサービスといえます。
よりセキュリティ機能の高まった「3Dセキュア2.0」のメリットは、下記のとおりです。
- チャージバックのリスクを避けらる
- ドロップ率(離脱率)を下げられる
- セキュリティ機能の向上
しかし、注意点として次の2点も忘れてはなりません。
- 3Dセキュアでは不正が完全に防ぎきれない
- 不正が起きた時の被害額がとてつもなく大きい
そこで、3Dセキュアと専門的なセキュリティサービスの併用をおすすめします。
不正注文を未然に防いでチャージバックのリスクも回避できる「O-PLUX」についての詳しい資料は、下記のボタンからダウンロードのうえご覧ください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
