「3Dセキュア2.0の導入が義務化されるって本当?」
「もし3Dセキュア2.0の義務化を無視したら罰則はあるの?」
など、3Dセキュア2.0の導入の義務化について疑問や不安を感じている方はいませんか?
3Dセキュア2.0(EMV 3-Dセキュア)とは、ネット上のカード決済をより安全にするための本人認証のことです。
経済産業省より、2025年3月末までに3Dセキュア2.0の導入を義務化することが発表されており、EC事業者様は対応を迫られることになります。
そこで本記事では、
- 3Dセキュアの概要
- 3Dセキュア2.0を導入するのに必要な作業2つ
- EC事業者に求められている不正利用対策
などを解説していきます。
3Dセキュア2.0を導入することで、ECサイト事業者様が享受できるメリットなども紹介しますので、ぜひ最後までご覧ください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
目次
3Dセキュアとは、クレジットカード本人認証サービスのこと
3Dセキュア2.0(EMV 3-Dセキュア)とは、ネット上でクレジットカード決済を安全におこなうための本人認証サービスです。
ただし、クレジットカードを利用した全ての決済に適用されるのではなく、高リスクと判断された決済のみ本人認証を行います。
3Dセキュアなしの決済では通常、クレジットカード番号と有効期限で認証を行います。
つまり、クレジットカードさえあれば本人以外でも利用できるため、セキュリティ面に課題がありました。
一方で、3Dセキュア2.0対応の場合は、高リスクだと判断された場合は、本人確認に次のいずれかの認証が必要となります。
- 生体認証
- ワンタイムパスワード
- QRコードなどによる認証
このようにカード情報の入力後、高リスクだと判断した決済は追加認証が必要となるので、クレジットカード不正利用のリスクを防ぐことができます。
なお、経済産業省から3Dセキュア2.0の導入義務化が発表されていますが、VISA、Mastercard、JCB、AMEXといった、各クレジットカードブランドも早期導入を推奨しています。
【国際カードブランドごとで3Dセキュアの呼称は異なる】
VISA:「Visa Secure」
Master Card:「Mastercard Secure Code」
JCB:「J/Serure」
AMEX:「American Express SafeKey」
【重要】まもなくECサイトへの3Dセキュア2.0の導入が義務化!
2025年3月末までに、原則としてすべてのEC加盟店に3Dセキュア2.0の導入を求めると発表されています。(※参考:クレジットカード・セキュリティガイドライン)
ECサイトに3Dセキュア2.0の導入が義務化された背景には、クレジットカードの不正利用が急増していることが挙げられます。
以下の図では、最新のクレジットカード不正利用被害の発生状況です。
※引用:日本クレジット協会
発表されたデータからも分かるように、年々クレジットカードの不正利用被害額は増えており、2024年1月~9月までの時点で約400億円の被害額が発生しています。
このペースのままでは、昨年の被害額と同じまたは上回ることが予想されます。
よって、EC事業者様においては、自社サイトで不正利用が発生しないよう3Dセキュア2.0を導入し対策することが求められます。
以下の記事では、3Dセキュア2.0の導入をはじめとしたクレジットカード・セキュリティガイドラインについて詳しく解説しているので、本記事と併せてご覧ください。
「3Dセキュア1.0」と「3Dセキュア2.0」の違い
3Dセキュア1.0と2.0の大きな違いは、
- 本人認証の方法が追加されたこと
- リスクベース認証が取り入れられたこと
の2つです。
3Dセキュア1.0では、IDとパスワードだけで本人確認をしていたため、忘れると購入に至らない「カゴ落ち」が問題でした。
しかし、3Dセキュア2.0では生体認証やワンタイムパスワードの導入でフローがスムーズになり、カゴ落ちの問題が大幅に解消されました。
また、3Dセキュア1.0ではカード決済のたびにIDとパスワードで本人確認をしていましたが、3Dセキュア2.0ではリスクベース認証が取り入れられたことで、高リスクだと判断した決済にのみ追加認証を行うようになりました。
よって、正規購入者は決済画面で煩わしい入力を行わなくてもスムーズに決済が完了するようになったので、1.0に比べてカゴ落ちのリスクを減らすことができました。
なお、3Dセキュア1.0と2.0の違いを以下の表に簡潔にまとめたので、比較してみてください。
| 3Dセキュア1.0 | 3Dセキュア2.0 | |
|---|---|---|
| 本人認証の方法 | ・ID ・パスワード | ・ID ・パスワード生体認証 ・ワンタイムパスワード ・QRコードスキャンによる認証 |
| リスクベース認証 | なし | あり |
| スマホアプリ対応 | なし | あり |
| カゴ落ちリスク | 懸念あり | ほぼ懸念なし |
| チャージバック補償 | なし | あり |
3Dセキュア2.0導入の対象外になるもの
3Dセキュア2.0導入の対象外として挙げられるのは、おもに、
- 対面取引のみを行っている店舗
- クレジットカード決済を取り入れていないEC事業者
です。
3Dセキュアは、ネット上のカード決済をより安全にするための本人認証のことなので、対面取引のみを行っている店舗やクレジットカード決済を取り入れていないEC事業者は対象外となります。
3Dセキュア2.0の義務化を無視した場合の罰則は?
3Dセキュア2.0の導入が義務化となりますが、もしこれを無視した場合は罰金などの罰則規定はありません。
ただし、行政の措置として3Dセキュア2.0未導入のEC加盟店に対し、「報告徴収」や「立入検査」を行うことができる規定はあります。
また、3Dセキュアを導入しないままでいると、いくつかのリスクを背負うことにもなります。
3Dセキュア未導入によるリスクについては、『5. ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ』で紹介しています。
3Dセキュア2.0を導入するのに必要な作業2つ
EC事業者様が、3Dセキュア2.0を導入するためには、以下のような作業が必要です。
- 既存システムで必要な対応を確認する
- 個人情報を厳重に管理する
1つずつ解説していきます。
【作業1】既存システムで必要な対応を確認する
3Dセキュア1.0に対応したシステムを導入している場合、システムのアップデートをおこなうことで3Dセキュア2.0に対応できることがあります。
決済代行会社などに確認し、3Dセキュア2.0への移行に伴いどのような対応が必要なのかを確認しましょう。
一方、自社でECサイトを構築している場合は、3Dセキュア2.0の導入にともないシステム開発や改修が必要です。
よって、時間がかかることを想定して、できるだけ早めにシステム開発や改修に取り掛かる必要があるでしょう。
【作業2】個人情報を厳重に管理する
3Dセキュア2.0では、クレジットカード情報に加えて以下のような個人情報をECサイトが取り扱うことになります。
- 接続元IPアドレス
- デバイスのOS
- 生年月日
「個人情報取扱事業者」として個人情報保護法に沿った対応が求められ、カード利用者からの情報利用の同意が必要です。
さらに、個人情報を流出させないための対策も求められるので、事業者様にはセキュリティシステムの強化や従業員への研修強化など、より厳格なデータ管理が必要になります。
以下の記事では、個人情報保護法について詳しく解説しているので、個人情報のセキュリティ強化にお役立てください。
ECサイトに3Dセキュア2.0を導入するメリット2つ
ECサイトへ3Dセキュア2.0を導入するメリットは、次の2つです。
- チャージバックのリスクを避けられる
- セキュリティ性能の向上
それでは順に見ていきましょう。
【メリット1】チャージバックのリスクを避けられる
3Dセキュアを導入すると、チャージバックのリスクを避けられます。
チャージバックとは、ユーザーがクレジット決済に同意しなかった場合、クレジットカード会社が売り上げを取り消してユーザーに返金する仕組みです。
チャージバックが起きる最大の原因は、クレジットカードの不正利用です。
そのため、チャージバックのリスクを避けるには、ユーザーの不正利用を防ぐ3Dセキュア2.0の導入が必須です。
もしチャージバックになってしまえば、
- ECサイトでの売り上げを回収できなくなる
- 購入された商品は戻ってこない
といった二重のリスクを負うことになります。
3Dセキュア2.0を導入していれば、仮にチャージバックが発生しても、補償の対象となる場合があり加盟店が被害金額分を負担しなくてもよいことがあります。
ただし、2022年10月以降の補償対象は3Dセキュア2.0のみとなり、1.0では補償が受けられなくなっているのでご注意ください。
チャージバックについてもっと詳しく知りたい方は、以下の記事をご覧ください。
【メリット2】セキュリティ性能の向上
3Dセキュア2.0は、セキュリティ性能が大幅に向上しています。
前提として、3Dセキュア1.0は利用者が設定したIDとパスワードのみの認証でした。
それに対し3Dセキュア2.0は、
- SMSやアプリを用いたワンタイムパスワード
- 指紋や顔などの生体認証
- モバイル端末によるQRコードスキャン
など、さまざまな認証方法に対応しています。
特に、ワンタイムパスワードは1回のみの使用に限られるため、セキュリティが非常に高くなっています。
また、一度きりしか使用しないため覚えておく必要がなく、クレジットカードを盗まれた場合でも、不正利用のリスクは低いです。
このように、3Dセキュア2.0は本人確認がスムーズになりながらも、セキュリティは強化されているなどのメリットがあります。
ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ
ECサイトに3Dセキュア2.0を導入しなかった場合のリスクはおもに4つです。
- カード不正利用のリスクが高まる
- チャージバック補償が受けられない
- 自社サイトへの信頼が失われる
- カード会社から制裁措置が課される恐れがある
まだ3Dセキュア2.0の導入が完了していないEC事業者様は、必ず最後までお読みください。
【リスク1】カード不正利用のリスクが高まる
ECサイトに3Dセキュア2.0が導入されていないと、クレジットカード不正利用のリスクが高まります。
不正利用のリスクにより、具体的には以下のような損失が発生します。
- 不正利用された分の商品や商品代金の損失(=チャージバック)
- 不正利用発生時の対応に係る人件費の発生
自社サイトでクレジットカードが不正利用された場合、不正に気づいたカード保有者本人が異議申し立てをすることにより、不正利用分が返金される仕組みである「チャージバック」が発生します。
このチャージバックは、カード保有者本人にとっては救済措置になりますが、EC事業者は売上金を返金しても商品は戻ってこないため、大きな損失といえます。
また、チャージバックの損失だけでなく、不正利用に関する処理や手続きなどの人件費もかかることが多いでしょう。
【リスク2】チャージバック補償が受けられない
3Dセキュア1.0のままや、そもそも3Dセキュアが未導入の場合は、チャージバックが発生しても補償を受けることができません。
つまり、先程もお伝えしたように、チャージバックにより売上金を返金しても商品は戻ってこないといった大きな損失を受けることになります。
クレジットカード不正利用のリスクを防ぐことに加えて、万が一チャージバックが発生したときの備えとしても3Dセキュア2.0の導入は必要です。
【リスク3】自社サイトへの信頼が失われる
3Dセキュア2.0の未導入で、実際に不正利用が続いてしまうと、ユーザーから自社サイトへの信頼が少しずつ失われていってしまいます。
悪い評判が増えてしまうと、ショップには以下のようなことが起こるリスクが高いです。
- 長い間利用してくれていた優良顧客が離れていく
- 新規顧客も獲得できない
- 優秀な人材が来てくれない
- 会社の評価が大きく下がり株価にも大きなダメージを与える
このように、長い年月をかけて作り上げてきた自社への評判が、クレジットカード不正利用の被害により簡単に壊れてしまう可能性があります。
【リスク4】カード会社から制裁措置が課される恐れがある
3Dセキュア2.0未導入の場合、カード会社から制裁措置が課される恐れがあります。
理由として、3Dセキュア2.0の導入義務化に向けて、「カード会社」「加盟店を管理している企業」「決済会社」などもEC事業者に対して導入を促すことが求められているからです。
もし3Dセキュア2.0に対応しないままカードの不正利用が増え続けた場合、カード会社からは、
- オーソリ認証率の低下
- 契約変更または終了
などを突き付けられる可能性があります。
オーソリ認証率が低下すると、正規利用者でもオーソリで弾かれることがあり、クレジットカード決済ができなくなるケースが出てきます。
さらに、カード会社から契約解除されてしまうと、決済方法にクレジットカードを選択できなくなるので、顧客離れによる売上低下を招くことになるでしょう。
クレジットカードのオーソリについて、さらに詳しく知りたい方は以下の記事をお読みください。
【注意】3Dセキュア2.0だけでは不正利用を100%防げるわけではない
実際に、3Dセキュアだけに頼っていた企業で、クレジットカードの不正利用の被害にあったケースはいくつかあります。
理由としては、
- 個人端末の乗っ取りなどで本人認証で使用するワンタイムパスワードを入手されてしまう
- ECサイトや決済代行会社の設定によって3Dセキュア2.0が作動しない
- 公的機関やECサイトのメールアドレスと偽って連絡し、決済情報を入手される
などの不正被害があるので、3Dセキュア2.0に頼りすぎるのは避けた方がいいでしょう。
以下の記事では、3Dセキュアだけに頼ることは危険なことについて詳しく説明しているので、本記事と併せて参考にしてください。
EC事業者に求められている不正利用対策
EC事業者に求められているクレジットカード不正利用対策は、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入することです。
※引用:日本クレジット協会
3Dセキュア2.0はカード決済時の不正対策に有効ですが、先程もお伝えしたように、3Dセキュア2.0は不正利用を100%防げるわけではありません。
もし3Dセキュア2.0がすり抜けられてしまった場合を想定して、決済後にも対応できる対策を行う必要があるということです。
また、3Dセキュア2.0が発動する前に、会員登録の時点で不正なアクセスをブロックする対策も必要です。
当サイトを運営するかっこ株式会社は、カード決済前・決済時・決済後それぞれに対応できる不正検知システムを開発・提供しています。
次章では、3Dセキュア2.0と併用して導入するべき、弊社の不正検知システムについて紹介していきます。
3Dセキュア2.0と不正注文検知システムの併用がおすすめ
カード決済前・決済時・決済後のそれぞれの場面ごとに対策を導入したいなら、3Dセキュア2.0と不正注文検知システムの併用がおすすめです。
3Dセキュア2.0の導入が義務化されることにより、3Dセキュアの導入でクレジットカードの不正利用はある程度防ぐことができるかもしれません。
しかし、実際に3Dセキュア2.0が突破されてしまうケースも発生しているので、もしものためにもカード決済時と決済後どちらにも対応できる不正検知システムを導入しておくべきです。
いくつかある不正検知システムのなかでも特におすすめなのが、国内で最も選ばれていて信頼性が高い「O-PLUX」です。
※参考:かっこ株式会社
不正注文検知システム「O-PLUX」は、クレジットカードの不正利用を防ぐことはもちろんですが、EC事業者様の頭を悩ます「不正転売」や「代引きの受取拒否」などECサイトで起こるであろう10の不正をまとめて対策できます。
※参考:かっこ株式会社
3Dセキュア2.0と併用して「O-PLUX」を導入いただいている企業様も増えてきており、導入後の効果も十分に感じていただけています。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
より不正対策を強力なものにしたい場合は、カード決済前の不正ログイン対策として「O-MOTION」の導入もおすすめです。
不正アクセス検知システム「O-MOTION」は、重要な顧客の個人情報を扱う金融機関などにも導入いただいている、会員サイト向けクラウドサービスです。
※参考:かっこ株式会社
3Dセキュア2.0だけでは防ぐことができない巧妙な手口も、弊社の不正検知システム「O-PLUX」や不正アクセス検知システム「O-MOTION」なら高精度に検知してブロックします。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
カード不正利用対策の疑問・不安は「かっこ株式会社」にご相談を
3Dセキュア2.0の導入が義務化されることにより、クレジットカード不正利用対策について考え直すEC事業様も多いと思われます。
そんなとき、どこに相談したらいいか分からないときは、ぜひ弊社「かっこ株式会社」にご相談してください。
事業内容や規模によって、どんな対策が必要であるかのご提案をさせていただきます。
疑問や不安を抱いている事業者様は、まずはお気軽に以下からお問い合わせください。
アクセスから注文まで一貫して対応-かっこの不正検知サービス- 
まとめ
2025年3月末、全てのEC加盟店は3Dセキュア2.0の導入が義務化されます。
まだ3Dセキュア2.0を導入していないEC事業者様は、早急に対応を行うようにしましょう。
もし3Dセキュア2.0を未導入のままでいると、罰金などの罰則規定はありませんが、行政の措置として「報告徴収」や「立入検査」が行われることがあります。
また、いくつかのリスクが発生する恐れがあることも覚えておきましょう。
▼ECサイトに3Dセキュア2.0を導入しなかった場合のリスク4つ
- カード不正利用のリスクが高まる
- チャージバック補償が受けられない
- 自社サイトへの信頼が失われる
- カード会社から制裁措置が課される恐れがある
ただし、3Dセキュア2.0の導入をしておけば、100%カード不正利用を防げるわけではありません。
実際に、3Dセキュア2.0が突破されてしまい、カード不正利用が発生しているケースもあります。
カード不正利用対策を万全に行うためには、カード決済前・決済時・決済後のそれぞれの場面ごとに対策を行う必要があります。
かっこ株式会社の不正注文検知システム「O-PLUX」や不正アクセス検知システム「O-MOTION」は、3Dセキュア2.0と併用して、カード決済前・決済時・決済後すべてに対応して対策することができます。
気になる事業者様は、いつでもお気軽にお問い合わせください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了しています。
3Dセキュア2.0についてはこの資料で解説しています。是非バナーをクリックし、ダウンロードください。
