最近、ECサイトなどでクレジットカード決済した後に本人認証を求められることが増えた、と感じることはありませんか?
これは、一般社団法人 日本クレジット協会が策定した「クレジットカード・セキュリティガイドライン」が改訂され、クレジットカードの不正利用対策が強化されたことによるものです。
特にECサイトにおける不正利用が増加しており、セキュリティ対策の重要性が高まっています。
このような背景からガイドラインでは本人認証の厳格化が求められており、2025年3月末までには原則として全てのEC加盟店にEMV 3-Dセキュアの導入が義務付けられました。
今回は、この必須対応となった本人認証システムの1つ、「EMV 3-Dセキュア(3Dセキュア2.0)」の仕組みについて解説します。
クレジットカード・セキュリティガイドラインとは、一般社団法人 日本クレジット協会が策定した、クレジットカード情報の漏えいや不正利用を防ぐためのセキュリティ対策の指針です。
このガイドラインは、クレジットカード会社、加盟店、決済代行事業者などに対し、適切なセキュリティ対策の実施を求めています。
クレジットカード・セキュリティガイドライン [6.0版]
策定の背景には、近年のクレジットカード不正利用の増加があり、特にECサイトでの被害が深刻化しています。
2024年における不正利用の被害額は555億円となり、過去最高を記録しました。
出典:一般社団法人日本クレジット協会「クレジットカード不正利用被害額の発生状況」(2025年3月発表)
ECサイトや決済代行事業者へのサイバー攻撃、フィッシング詐欺などにより、クレジットカード情報が不正に取得され、不正利用が行われています。
ECサイトを運営する事業者が適切なセキュリティ対策を実施しなければ、カード情報の漏えいリスクが高まり、利用者の信用を失うリスクがあります。 EC事業者が守るべきルールを明確にし、被害拡大の防止を図るため、クレジットカード・セキュリティガイドラインが策定されました。
ガイドラインに対応しない場合、以下のようなリスクがあります。
2025年の改訂(【6.0版】)では、従来の対策基準に加え、
が追加されました。
「カード決済前」「カード決済時」「カード決済後」といったカード決済の流れを考慮した「線」の考え方に基づき、不正利用対策が強化されています。
ECサイトなどでクレジットカード決済をする際、一般的にはクレジットカード番号や有効期限、セキュリティコード、氏名などの情報が入力されます。
しかし、これらの情報だけでは、その決済をしている人物がクレジットカードの会員本人であるかを確認できません。
カード情報の盗用によって、第三者によって容易に不正利用されるリスクがありました。
一部では住所確認システム(AVS)やCVC検証といった追加のセキュリティ対策も行われていましたが、依然として不正利用の高い危険にさらされていました。
こうしたカード情報の盗用による不正使用被害に対処するため、本人認証サービスとして3Dセキュアが導入されました。
3Dセキュアは、オンライン決済の安全性を高め、不正使用を減らすことを目的に設けられた認証規格です。
カード会社ごとに「Visa Secure」「Mastercard Identity Check」「J/Secure」「American Express SafeKey」などのサービス名が付けられています。
3Dセキュアの最初の仕様は2001年に発表されました(3Dセキュア1.0) 3Dセキュアに対応している加盟店では、決済時にクレジットカード会社での認証を経由して本人認証を行います。
具体的には、オンラインショッピングサイトでカード情報を入力後、そのクレジットカードが3Dセキュアに対応しているかが識別されます。
対応している場合は、別のページにリダイレクトされ、そこでカード会社から提供された認証方法が求められます。
多くの場合、カード会員があらかじめ設定したパスワードの入力が要求され、このパスワードが正しければ本人認証が完了し、決済が進みます。
パスワードが誤っていたり、入力されなかったりした場合はエラーとなり決済は行われません。
一部のサービスではパスワード入力時に、事前に登録した「パーソナルメッセージ」を表示させることで、表示内容が正しければ正規のクレジットカード会社からの認証であると利用者が判断できるようになっています。
3Dセキュアを導入するビジネス側のメリットとして、不正防止のための追加レイヤーが構築できることが挙げられます。
これにより、正当な顧客のみからカード支払いを受け付けることができます。
さらに、3Dセキュアで支払いを認証すると、不正利用によるチャージバックの責任が事業者からカード会社に移動する(ライアビリティシフト)という大きな保護機能があります。
しかし、この3Dセキュア1.0には「かご落ち率が高い」という欠点がありました。
かご落ちとは、顧客が商品をカートに入れたものの、決済せずに離脱してしまうことを指します。
決済完了のためのステップが増えることで決済フローが煩雑になることや、追加でパスワードなどを作成・記憶する場合にパスワードを忘れてしまうことが多く、かご落ちにつながってしまうという欠点がありました。
従来の3Dセキュア1.0の欠点を解消するため、6社の主要カードネットワークで構成されるEMVCoは、2016年にEMV 3-Dセキュア(3Dセキュア2.0)の仕様を公開しました。利用者にとって負担の少ない認証とより優れたユーザー体験を特長としています。
主な改善点の1つが「フリクションレス認証」(リスクベース認証)です。
EMV 3-Dセキュアでは、ビジネス側や決済サービスプロバイダーが、配送先住所などの支払い特有のデータや、顧客のデバイスID、以前の取引履歴などのコンテキストデータといった、より多くのデータ要素をカード会社に送信できます。
カード会社はこれらの情報を使用して取引のリスクレベルを評価し、リスクが低いと判断した場合、カード所有者からの追加入力なしに認証を完了させます。これが「フリクションレスフロー」です。
カード会社が、さらに証拠が必要であると判断した場合のみ、「チャレンジフロー」に進み、顧客は支払いを認証するために追加の入力を求められます。
このリスクベース認証により、3Dセキュア1.0に比べて、顧客に追加入力を要求せずに認証できる取引数を増やし、購入体験が向上します。
フリクションレスフローで認証が完了した場合でも、ビジネス側はチャレンジフローを通過する取引と同様にライアビリティシフトのメリットが得られます。
もう1つの改善点は、より良いユーザー体験です。
EMV 3-Dセキュアは、スマートフォンの普及後に設計されており、カード会社は自社アプリを通じた認証(帯域外認証)を容易に提供できます。
顧客はパスワード入力やSMS受信の代わりに、指紋や顔認識を使用して認証するといった革新的な認証体験が可能になります。
また、認証が必要な場合でも、決済フローの中にチャレンジフローを直接埋め込むことが可能になり、ページ全体のリダイレクトが不要になりました。
顧客が企業のサイトやウェブページで認証する場合、3Dセキュアのメッセージが決済ページ(ブラウザーフロー)にデフォルトで表示されます。
モバイルアプリケーションを構築している場合、EMV 3-Dセキュア用に構築されたモバイルSDKを使用すると、「アプリ内」の認証フローを構築でき、ブラウザーでのリダイレクトを避けることができます。
EMV 3-Dセキュアは、ヨーロッパでの強力な顧客認証(SCA)の要件に準拠するために使用される主要なカード認証方式でもあります。
この規制では、ヨーロッパの決済により多くの認証を適用することが求められるため、EMV 3-Dセキュアのユーザー体験の改善が購入完了率の低下を防ぐ上で重要になります。
また、EMV 3-Dセキュアプロトコル自体でも、決済サービスプロバイダーはSCAの免除をリクエストし、低リスクの支払いの認証を省略できます。
クレジットカード・セキュリティガイドライン【6.0版】により、原則として全てのEC加盟店は2025年3月末までにEMV 3-Dセキュアの導入が求められています。
加盟店は原則として決済の都度、EMV 3-Dセキュアによる認証を実施する必要があります。
アカウントなどへのカード番号登録時や、EC加盟店にリスクがあると判断したときも、EMV 3-Dセキュアによる認証を実施することが認められます。
クレジットカード会社も、2025年3月末までに本人認証方法として従来の「静的(固定)パスワード」から「動的(ワンタイム)パスワード」へ移行するよう取り組むことを求められています。
近年では、スマートフォンアプリから生成されるワンタイムパスワードや、電子メール、SMSで送信されるワンタイムパスワードを認証に利用するカードが増えています。
また多くの決済代行サービスは、EMV 3-Dセキュアに対応しています。 決済代行サービスを利用する場合、多くの場合、そのサービスの提供するAPIやSDK、構築済み決済フォーム(Checkout、Payment Links、Elements など)などを導入することで、比較的容易にEMV 3-Dセキュアへの対応が可能となります。
ただし、クレジットカード・セキュリティガイドライン【6.0版】への対応はEMV 3-Dセキュアの導入だけでなく、EC加盟店のシステムおよびWebサイトの脆弱性対策や、適切な不正ログイン対策の実施も含まれる点に注意が必要です。
具体的には、システム管理画面のアクセス制限、Webアプリケーションの脆弱性対策、マルウェア対策、不審なIPアドレスからのアクセス制限、二段階認証/多要素認証、ログイン試行回数の制限などが挙げられています。
決済代行サービスによっては、これらの対策についてもサポートや連携サービスを提供している場合があります。
各サービスの内容をよく理解したうえでサービスの選定やシステムの構築を行うと良いでしょう。
クレジットカードの不正利用対策も日々進化を続けています。
最新の動向を追って対策を行っていないと、知らぬ間に不正利用されるだけでなく、クレジットカード会社の加盟店から契約を解除され、新規加盟もできない可能性があります。
クレジットカード・セキュリティガイドラインは毎年改訂されているため、ガイドラインを読むところから初めてはいかがでしょうか。
アジアクエストではECサイトの構築を行っており、事業規模や目的に応じた最適なECソリューションをご提案しています。
実際にEMV 3-D セキュア対応を行った事例もあります。 ECサイトの構築や運用に関するご相談がございましたら、ぜひお気軽にお問い合わせください。