3Dセキュア2.0とは？ ECサイト運営に欠かせないセキュリティの基礎知識

インターネットに接続できる環境があれば、どこからでも買い物を行えるのが魅力のECサイト（ネットショッピング）。巣ごもり需要の拡大もあり一般化しつつあるECサイトですが、注意しなければいけないのが第三者によるクレジットカードの不正利用です。

そのようなクレジットカードの不正利用を防止するためのセキュリティ対策が「3Dセキュア2.0（EMV 3Dセキュア）」です。

ここでは、3Dセキュア2.0がどのようなものなのか詳しく解説します。

3Dセキュアとは

3Dセキュアとは、ECサイトをはじめとした、店員とカード保持者が非対面で決済を行う際の不正利用対策として、各クレジットカードの国際ブランドが採用している本人認証方法です。

3Dセキュアでは、カード保有者は事前に専用のパスワードを設定しておきます。決済時にカード情報と設定したパスワードの入力を行うことで、不正利用を防止するという仕組みです。

カード裏面の署名欄に記載されている、3桁または4桁の「セキュリティコード」とは異なり、クレジットカード情報が盗まれたとしても、なりすましなどの不正利用を防ぐことができます。

3Dセキュアはブランドごとに異なる名称で呼ばれているため、覚えておきましょう。例えば、Visaは「Visa Secure」、アメリカンエキスプレスは「American Express SafeKey」、マスターカードは、「Mastercard ID Check」といった名称でサービスが提供されています。

3Dセキュア1.0と2.0の違い

今までは、3Dセキュア1.0というVisaが開発した本人認証システムが採用されていました。

3Dセキュア1.0では、購入の際にカード会社の認証画面に遷移し、IDやパスワードの入力が求められます。セキュリティコードに比べると不正利用の防止に役立つ反面、わずらわしさを感じたユーザーが離脱する恐れがありました。

ユーザーがIDやパスワードを忘れてしまうと決済そのものが行えず、万が一流出した場合は不正利用を防ぐことができません。

一方で、3Dセキュア2.0は一度しか使うことができない「ワンタイムパスワード」や、生体認証を本人認証として導入しています。クレジットカード決済を行う際に、スマートフォンに送信されたパスワードを入力したり指紋認証を行ったりすれば、本人認証が完了するという仕組みです。

この方法なら、IDやパスワードを覚える必要がなく、クレジットカードを紛失しても不正利用される恐れもありません。

ユーザー目線でより使い勝手が良くなったのが、3Dセキュア2.0といえるでしょう。

3Dセキュア2.0のメリット

3Dセキュア2.0はユーザー、ECサイトを運営する企業双方から見ても、多くのメリットを備えています。

3Dセキュア2.0が持つメリットとしては、以下の点が挙げられます。

安全かつ素早い決済の実現

従来の3Dセキュア1.0を使った本人認証の場合は、カード利用者が事前にIDやパスワードを設定し、決済の度に入力を行う必要がありました。

一方で、3Dセキュア2.0なら都度送信されるワンタイムパスワードを入力するだけで本人認証が完了します。ワンタイムパスワード以外にも、生体認証やQRコードのスキャンなど、さまざまな方法で認証を行うことが可能です。

IDやパスワードの流出による不正利用を防ぎながら、よりスムーズに決済を行える点は、大きなメリットのひとつといえるでしょう。

カゴ落ちリスクの軽減

ユーザーが買い物かごに入れた商品を購入せずに離脱してしまう「カゴ落ち」を防げる点も、3Dセキュア2.0のメリットのひとつです。

3Dセキュア1.0は、IDやパスワードを入力してもらうために、別画面に遷移するかポップアップウィンドウを表示するなど、決済までの手間が大きいものでした。

3Dセキュア2.0では、カード発行会社が決済情報などを基に、リスクが高いと判断した場合だけ本人認証を行う「リスクベース認証」を採用しています。

基本的には追加認証を行うことなく決済が完了し、追加認証が必要な場合も、前述の通りワンタイムパスワードや生体認証を行うだけです。

決済までの手間が大きく改善されるため、カゴ落ちリスクの低減につながる可能性があります。

1.0から2.0に切り替わるタイミング

2022年11月現在、国際ブランド各社は3Dセキュア1.0のサポート終了を発表し、2.0への移行を進めています。

3Dセキュア1.0のサポート終了後は、クレジットカード会社が「チャージバック」を保証する制度も終了するとしている点に注意が必要です。

チャージバックとは、カード保持者が不正利用による被害を受けないための救済制度のことです。不正利用により購入が取り消された場合、3Dセキュアなどで本人認証が終了している場合はカード会社が、それ以外は加盟店側が返金を負担します。

サポート終了後は、3Dセキュア1.0で本人認証が行われていてもチャージバックの保証が行われず、返金は加盟店側（ECサイト）が負担しなければいけません。

不正利用があった場合のリスクが大きく高まるため、早急に移行する必要があります。

3Dセキュア2.0への移行に伴いECサイトで必要な作業

3Dセキュア2.0に移行する際には、ECサイト側でもいくつか行うべき作業や施策があります。スムーズに移行するために、どのような作業が必要か知っておくことも重要です。

個人情報保護の施策

3Dセキュア2.0では、ユーザーのクレジットカード情報に加えて、端末の情報や氏名、生年月日など、さまざまな個人情報をECサイトが取り扱うことになります。

個人情報保護法に基づき、個人情報取扱事業者として、カード利用者から情報利用の同意を得なければいけません。

また、幅広い個人情報を取り扱うことから、ECサイト事業者には個人情報の流出を防ぐための厳重な施策が求められます。

外部アプリとの連携機能の構築

3Dセキュア1.0と2.0は使用が大きく異なります。ECサイトと連携させるためのシステム開発が必要になったり、移行に伴うコストが発生したりする場合がある点にも注意しましょう。

決済代行会社などに、どのような対応が必要なのか、移行や利用にどれくらいのコストが発生するのかを確認しておくと安心です。

不正利用を確実に防げるわけではない点に注意

ユーザー、事業者ともにメリットが大きい3Dセキュア2.0ですが、不正利用を100％防げるわけではありません。

クレジットカード情報とスマートフォンを盗まれたなど、何らかの方法でワンタイムパスワードを取得されてしまった場合は、なりすましによる不正利用が発生する恐れがあります。

クレジットカードブランドが3Dセキュア2.0に対応していなかったり、機能が正常に作動しなかったりすることもあるでしょう。

3Dセキュア2.0だけでセキュリティ対策を済ませるのではなく、その他の施策も複合的に行い、セキュリティ強化に努めることが重要です。

複数の対策を講じて不正利用を防ごう

3Dセキュアを利用すれば、クレジットカードを使った決済をより安全に行えるようになります。特に、利便性が増した2.0は決済までの認証が簡単、セキュリティもより強固など、ユーザー・事業者ともにメリットが大きいです。

3Dセキュア1.0のサービスが終了し、2.0の導入が推奨されているため、早急に移行を行うことをおすすめします。

ただし、3Dセキュア2.0を導入したからといって、必ず不正利用を避けられるわけではありません。その他の不正検知サービスも活用する、セキュリティが強固なカート機能を選定するといった対策も重要です。

メルカートでは、カード決済不正防止ツールとの連携、高水準なセキュリティなどで、クレジットカードの不正利用を防止することが可能です。

セキュリティの強固なECサイトを構築したいとお考えの場合は、お気軽にお問い合わせください。