電子商取引の急速な発展に伴い、カード発行やオンライン決済の需要がここ数年で急増しました。また、銀行や金融機関は、より安全性の高いEMVチップ技術への移行を進めていますが、依然としてカード詐欺は金融業界における大きなリスクであり続けています。
Mastercardの統計によると、現在、オンラインカード取引(CNP取引、または非対面カード支払いという)は全取引量の22%を占めていますが、詐欺の59%を占めており、毎日ますます多くの取引がオンラインに移行しています。この動きは、カード加盟店や発行会社にとって、詐欺防止の課題をもたらす一方で、カード所有者の購買体験を妨げないことも求められています。
現在に至るまで、カード所有者は1999年に導入された3Dセキュア 1.0プロトコルによるオンライン取引時の認証ステップに慣れています。3Dセキュア 1.0プロトコルは、オンライン決済の安全性を向上させ、不正損失に関する責任を加盟店と発行会社の間で転換する役割を果たしていますが、いくつかの改善点も存在します。例えば、カード所有者の購買体験が中断されることや、ユーザーインターフェースの不統一による不快な体験、そして主にブラウザベースの取引に限られている点です。
使い勝手の悪い認証体験は、ユーザーのエンゲージメントに悪影響を及ぼし、リスクレベルの転換や業務効率の低下につながります。
本記事では、EMV 3Dセキュア(3Dセキュア2.0としても知られる)の概要、導入が義務化される理由、EC事業者向けの導入方法や手順、導入にかかるコストについて詳しく解説します。
EMV 3Dセキュア(3D Secure 2.0)とは?
EMV 3Dセキュア(3Dセキュア2.0)とはクレジットカード番号などの情報盗難による詐欺を防ぐための本人認証サービスであり、クレジットカード決済を安全に行うために国際的なカードブランド(「VISA」「Mastercard」「JCB」「American Express」「Diners Club」)が導入を推奨しています。各クレジットカード会社は、カード所有者のデバイス情報などを用いて詐欺リスクを判断し、必要に応じてカード所有者にパスワードの入力を求めることで取引の安全性を確保しています。
EMV 3Dセキュアの対応カード
EMV 3-Dセキュアは、オンラインショッピングでの不正利用を防ぐための、より安全な決済認証方式です。クレジットカード情報が漏洩した場合でも、この認証を通過しなければ不正に決済されることを防ぐことができます。
EMV 3-Dセキュアに対応しているカードは、Visa、Mastercard、JCB、American Expressなど、主要な国際ブランドのカードがほとんどです。しかし、すべてのカードが対応しているわけではありません。
どのようにして対応カードか確認する
- カード会社に問い合わせる:一番確実な方法は、利用しているカード会社のウェブサイトやカスタマーセンターに問い合わせることです。
- カード裏面を確認:一部のカードでは、カードの裏面にEMV 3-Dセキュアに対応している旨のマークが記載されている場合があります。
- オンラインショップで確認:多くのオンラインショップでは、決済画面で利用可能なカードブランドと、そのカードがEMV 3-Dセキュアに対応しているかどうかを表示しています。
EMV 3-Dセキュア対応カードのメリット
- 高いセキュリティ:不正利用のリスクを大幅に軽減できます。
- 安心なオンラインショッピング:安心してオンラインショッピングを楽しむことができます。
- 国際的なセキュリティ基準への対応:国際的なセキュリティ基準に沿った認証方式であるため、海外のオンラインショップでも安心して利用できます。
EMV 3-Dセキュア (3Dセキュア2.0)の各国際ブランドとそれぞれのサービス名
| カードブランド | サービス名 |
|---|---|
| Visa | Visa Secure |
| Mastercard | Mastercard ID check(Mastercard Identity Check) |
| JCB | J/Secure |
| Amex(American Express) | American Express Safekey |
| Diners(Discover) | ProtectBuy |
これらのサービス名は、カードの不正利用防止を目的としたEMV 3-D Secure認証を表しています。
EMV 3Dセキュア義務化の背景
義務化の背景
2024年3月、一般社団法人日本クレジット協会は、2023年におけるクレジットカード不正利用被害の状況を公表しました。2023年1月から12月までの不正利用被害額は、過去最高の541億円に達しています。オンラインショッピングが普及する中、不正行為者の増加や手口の巧妙化により、クレジットカード決済の不正利用は年々増加の一途をたどっています。
非対面取引の拡大に伴い、クレジットカード詐欺による被害も増加しており、安全なクレジットカード利用環境の実現が課題とされています。割賦販売法で定められたセキュリティ対策義務の実務指針として位置付けられている「クレジットカード・セキュリティガイドライン」では、関連事業者に対し「多面的かつ多層的な対策」を講じることが求められており、その具体的な対策の一つとして「本人認証」にEMV 3-Dセキュアが挙げられています。
2025年3月を目処に、経済産業省がECサイトへのEMV 3-Dセキュアの導入を義務付ける方針を発表しました。
これは、近年増加しているクレジットカードの不正利用対策の一環として行われます。具体的には次の通りです。
国際的なセキュリティ基準への対応
- PCI DSS:決済業界のデータセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)では、EMV 3-Dセキュアのような本人認証の導入が推奨されています。
- グローバルなEC市場:ECサイトは国境を越えて展開されることが多く、国際的なセキュリティ基準に対応することが求められています。
消費者保護
- 消費者の安心安全:消費者にとって、より安全な決済環境を提供することは、ECサイトを利用する際の大きな安心感につながります。
- EC市場の活性化:消費者の安心安全が確保されることで、EC市場全体の活性化が期待できます。
導入によるメリット
- 不正利用の防止:本人認証の強化により、不正利用のリスクを大幅に減らすことができます。
- 顧客の安心感向上:顧客はより安全な決済環境で買い物ができるため、安心して利用できます。
- ブランドイメージ向上:セキュリティ対策に力を入れているという企業イメージを顧客に与えることができます。
EC事業者が取るべき対策
EC事業者の改定内容
原則、全てのEC事業者にEMV 3-Dセキュアの導入を求めることとします。
- 決済システムの変更:既存の決済システムをEMV 3-Dセキュアに対応させる必要があります。
- 顧客への周知:顧客に対して、EMV 3-Dセキュアの導入について周知徹底する必要があります。
- 導入支援サービスの活用:決済代行会社などの専門企業の支援を受けることを検討することも可能です。
カード会社(イシュアー)の改定内容
- リスクベース認証の精度を向上させる。
- カード会員に対し、EMV 3-Dセキュアへの登録を促進する。
- カード会員が「固定パスワード」以外の認証方法に登録・移行するよう啓発活動を行う。
カード会社(アクワイアラー)及び決済代行事業者の改定内容
- EC加盟店が計画的にEMV 3-Dセキュアを導入できるよう支援する。
- 原則として、すべてのEC加盟店にEMV 3-Dセキュア導入が求められることを周知徹底する。
それでは、EC事業者はどのようなセキュリティ対策を実施すべきなのでしょうか。経済産業省が示す「クレジットカード・セキュリティガイドライン」では、本人認証(EMV 3-Dセキュア)を含む多面的な対策の実施が推奨されています。
すべてのEC事業者は、2025年3月までに、現行の不正利用対策に加えて、本人認証(EMV 3-Dセキュア)を導入していない場合は、計画的に導入を進める必要があります。
EC事業者向けの導入方法
EMV 3-Dセキュアの導入は、EC事業者にとって、セキュリティ強化と不正利用防止に不可欠な取り組みです。しかし、導入には様々なステップや考慮事項があります。
現状の決済システムの確認
- 現在の決済代行会社との契約内容:現在の決済代行会社がEMV 3-Dセキュアに対応しているか、対応するためのサポート体制があるかを確認します。
- システムのバージョン:現在のシステムがEMV 3-Dセキュアに対応できるバージョンであるかを確認します。
- カスタマイズの必要性:システムのカスタマイズが必要な場合は、その範囲や費用を事前に把握しておきます。
導入方法の選択
- 決済代行会社への依頼:多くの決済代行会社が、EMV 3-Dセキュアの導入支援サービスを提供しています。
- 自社開発:自社でシステム開発を行う場合は、専門知識とリソースが必要となります。
- 外部システムの導入:専門のシステムベンダーから、EMV 3-Dセキュアに対応したシステムを導入する方法もあります。
導入スケジュール策定
- システム改修期間:システム改修に必要な期間を把握し、スケジュールを立てます。
- テスト期間:導入後のシステムに問題がないか、十分なテスト期間を設けます。
- 顧客への告知:顧客への告知方法やタイミングを検討します。
顧客への周知
- ウェブサイトでの告知:ウェブサイトに導入のお知らせを掲載します。
- メールでの通知:顧客にメールで導入のお知らせと、認証方法の説明を行います。
- FAQの作成:顧客からの問い合わせに対応するためのFAQを作成します。
導入後の運用
- モニタリング:導入後のシステムを継続的にモニタリングし、問題が発生していないかを確認します。
- トラブル対応:問題が発生した場合、迅速に対応できる体制を整えます。
- 定期的なアップデート:システムのアップデートを定期的に行い、セキュリティレベルを維持します。
導入時の注意点と費用
- 顧客への影響:導入によって、顧客の利便性が低下しないように注意が必要です。
- コスト:導入には、システム改修費用や人件費など、様々なコストがかかります。EMV 3-Dセキュア導入費用詳細についてはレリパにお問い合わせください。
- セキュリティ:導入によって、新たなセキュリティリスクが発生しないように注意が必要です。
レリパのEMV 3Dセキュア導入のサポート内容
レリパは、8年以上の豊富な経験と高い専門知識、そしてECサイト開発に精通した人材を活かし、ECサイトへのEMV 3Dセキュアの導入をサポートしています。また、低コストかつ迅速なプロセスで、さまざまな決済手段のSDK(PayPal SDKやStripe SDKなど、決済ゲートウェイプロバイダーのSDK)を用いて決済機能の統合も行います。
お客様のECサイトに最適な統合方法について、ぜひレリパにお問い合わせください。
