日本クレジット協会の発表によると、2019年のクレジットカード不正利用被害額は2019年の1年間で273.8億円。
2020年のデータは1月~3月の分が集計・公表されていますが、すでに61億円もの被害が発生しており、この被害の拡大を防ぐため、様々なセキュリティ対策がとられています。
このページでは、その対策の1つである「3Dセキュア」についての、導入手順やメリットデメリット、一般的な普及率についてまとめました。
目次
3Dセキュアとは?クレジットカード決済の不正利用対策として挙げられる本人認証サービス
3Dセキュアとは各カード会社(ブランド)が設定する本人認証サービスです。ECなどの非対面での決済時に、本人確認として使われます。
- VISA・・・VISA認証サービス
- Mastercard・・・SecureCode
など、各クレジットカード会社毎に異なる名称を付けている場合もありますが、総称として本人認証サービスと呼ばれており、今回はその中でも代表的な3Dセキュアとしてお伝えしていきます。
3Dセキュアで照合するパスワードは、クレジットカードの契約時等に設定します。
このパスワードはクレジットカード券面に記載されている情報とは異なるものです。
つまり3Dセキュアを設定するとクレジットカードの券面・内部データにない「カードの持ち主しか知らない情報」で本人確認が行えるため、不正利用防止につながります。
3Dセキュア導入のメリット
3Dセキュア導入のメリットは
- セキュリティ精度を高め不正利用の防止につながる
- チャージバック時の加盟店負担を軽減できる
という2点があげられます。
クレジットカードの決済に必要な情報が増えれば増えるほど、不正利用はしにくくなり、3Dセキュアの導入は、不正利用の防止につながります。
また、セキュリティに力を入れている加盟店だと印象付けることで、不正者に狙われにくくもなります。
さらに、不正利用の被害からカードの契約者を守る「チャージバック」が適用された場合のリスク回避にも繋がります。
チャージバック発生時は原則として
- カード利用者の本人確認がされている場合はカード会社
- 本人確認がされていない場合は加盟店
が負担します。
3Dセキュアはこの本人確認に該当するため、チャージバック発生時の経営負担を軽減できます。
3Dセキュア導入のデメリット
対して、3Dセキュア導入にはデメリットもあり、具体的に
- 導入していないクレジットカード会社もある
- 決済フローが増えカゴ落ちのリスクが高まる
- 不正利用を100%未然に防げるというものではない
の3点があげられます。
そもそも3Dセキュアを導入していないクレジットカード会社もあります。
普及率に関しても追って解説していきますが、3Dセキュアはカードブランドがそれぞれ提供する認証サービスのため、対応していないブランドもあるのです。
また、3Dセキュアを導入すると決済前に購入者にパスワードを入力してもらう必要が発生します。このひと手間が、ユーザーが途中で購入をやめてしまう「カゴ落ち」のリスクとなります。
そして、3Dセキュアは一定の効果が見込める対策ではありますが、万能ではありません。
3Dセキュアのパスワードも含めて情報をカードの持ち主に入力させる「フィッシング」という不正手口もありますし、3Dセキュアのパスワード自体を設定していないカードの持ち主もいます。
その他、「3Dセキュア」のメリットやデメリットに関してはこちらの記事で解説しています。
3Dセキュアの導入方法
ECサイトを運営する事業者が3Dセキュアを導入する場合、各クレジットカードブランドが3Dセキュアを提供しているアクワイアラー(加盟店管理会社)に問い合わせを行い、加盟店となる必要があります。
契約内容はアクワイアラー毎に異なりますが、基本的には加盟店となった後、自社サーバーにソフトウェアを組み込むことで実装します。
その実装の際、
- 完全認証(3Dセキュアによる本人認証を前提として受付ける)
- 任意認証(パスワード登録がある購入者のみ本人認証を行う)
のどちらにするか設定できるケースが多くあるため、導入する場合はどちらにするか検討しましょう。
より安全性が確保されるのは完全認証ですが、パスワードを設定していない購入者もいます。
この普及率に関しては、3Dセキュア導入時の注意点とも言えるため、次で詳しくお話します。
3Dセキュアの普及率は発行会社ごとに異なる
3Dセキュアの普及率は発行会社毎に異なります。
未導入のカードブランドもありますし、カードの持ち主がパスワードを設定していない場合もあります。
2017年には、以下のような報道もありました。
Visa リスク& データ・プロダクツ SVP & Global Headのマーク・ネルソン氏によると、「Visaでは、3-Dセキュア 1.0を16年間展開してきましたが、現在、10%のコマースが活用しています」と説明したように、9割の加盟店は導入していないことが課題だ。
3-Dセキュアがこれまで普及してこなかった理由として、まずユーザー体験が理想通りではなく、離脱が起こることが挙げられる。
サイトによっては、20〜30%の売上減になったケースもある。
そのため3Dセキュアの普及率は他のセキュリティ対策よりも低い結果となりました。
2017年、こうした状況を背景に利用者の利便性向上とより安全な決済環境を見据え「3Dセキュア2.0」が誕生しました。
3Dセキュア2.0ではリスクの高い5%ほどの取引のみに対して承認を要求(リスクベース認証)することで、利便性とセキュリティを両立しています。
また日本では、2018年の改正割賦販売法の施行を受けてクレジット取引セキュリティ対策協議会が発表した「実行計画2019」でも、3Dセキュアは効果的なセキュリティ対策として紹介されています。(参考:経済産業省)
「実行計画2019」については当サイトでも解説していますので、こちらもぜひご覧ください。
こういった背景からも、3Dセキュアが今後のセキュリティ対策として期待できることは明らかです。
しかし、3Dセキュアの認証に必要なパスワードを含めた決済情報を入力させる不正手口(フィッシング等)もあります。
ですから、3Dセキュアだけでセキュリティ対策が万全というわけではなく、ECサイト事業者としては他のセキュリティ対策と組み合わせた「3Dセキュア」の導入が理想的です。
3Dセキュア以外のクレジットカード決済の不正利用対策
3Dセキュア以外のクレジットカードの不正利用対策としては、
- 券面認証(セキュリティコード)の利用
- 不正検知サービスの導入
- 配送先情報の蓄積
といったものが挙げられます。
「券面認証(セキュリティコード)の利用」とはクレジットカードに記載されている3桁もしくは4桁の数字を照合する本人確認方法です。
そして「不正検知サービス」とは
- 取引データ
- 統計分析
- 検知サービスそれぞれのノウハウ
といった情報から、決済を行う前に危険性を判断するシステムです。
「配送先情報の蓄積」とは、購入商品の配送先をこれまでに不正利用に使われた場所と照らし合わせ、商品の発送前に検知する方法です。
これらは前項でも触れたクレジット取引セキュリティ対策協議会が発表した「実行計画2019」でも紹介されています。
詳しくはこちらの記事で解説しているため、3Dセキュアと併せて導入予定という方はぜひご覧ください。
また、当サイトを運営するかっこ株式会社の「O-PLUX」は、ECサイトの不正注文を見抜くクラウドサービスで、不正な購入を注文時に検知し、発送前に取引をストップできます。
不正検知システムについては、以下のページをご覧ください。
このように3Dセキュアを始めとした不正利用対策には様々なものがあります。
不正利用のリスクを取り除けば、クレジットカード決済は購入者の利便性を向上する非常に便利なものです。
自社の運営方針に沿ったものから導入してリスクを回避しましょう。