よむよむカラーミー
ECサイト開設・運営のヒントが見つかるWebメディア

ECサイトへの導入が義務化!3Dセキュア2.0(本人認証)とは?必要な対策や注意点を紹介!

3Dセキュア2.0は、2025年3月末を目処に全てのECサイトに導入が義務付けられた、クレジットカードの不正利用を防ぐためのシステムです。
この記事では、3Dセキュア2.0の仕組みや義務化により必要な対応など基本についてご紹介します。

ツクルくん
ツクルくん

3Dセキュア2.0って聞いたことあるけど、何だろう。

カラミちゃん
カラミちゃん

ECサイトへの導入が義務化された本人認証システムのことですよ!ツクル君もECサイトを運営しているなら、きちんと学んで導入を進めましょうね。

3Dセキュア2.0(EMV 3-Dセキュア)とは?仕組みや特徴を紹介

3Dセキュア2.0(EMV 3-Dセキュア)はインターネットでクレジットカード決済をする際の不正利用を防ぐための、新しい本人確認の仕組みです。
それまでの3Dセキュア1.0に代わり、より確実で利便性の高い認証方式となっています。

顧客がクレジットカード情報を入力すると、画面に本人確認画面が出てくるので、指示に従って認証すると決済処理が完了する流れです。

3Dセキュア2.0ではこの本人確認の工程において生体認証(指紋や顔認証など)やワンタイムパスワードなど、本人ではないと入力できない情報を利用するため、なりすましによる不正利用を防ぐとされています。

3Dセキュア1.0との違い

従来の認証方法の3Dセキュア1.0は、ネットショッピングの際にクレジットカード利用者に対して本人認証を行い、不正利用のリスクを判断する仕組みです。

3Dセキュア1.0は基本的に事前に登録したパスワードを利用者が入力し、一致した場合のみ決済が完了します。

ですが、もしパスワードも流出してしまった場合は不正利用されてしまいますし、毎回パスワードを入力するため「入力が面倒で購入を止めた」というカゴ落ちリスクもありました。

一方の3Dセキュア2.0(EMV 3Dセキュア)は、以下の点で大きく進化しています。

  • 1.リスクベースで認証が行われる
  • 2.ワンタイムパスワードや生体認証が使える
  • 3.ECサイトのスマホアプリからの決済が可能

最も大きな違いは、リスクベースで認証を行うという点です。

3Dセキュア1.0では、購入時には必ず認証が行われていましたが、3Dセキュア2.0認証は取引の金額が少額の場合や、利用者の過去の決済履歴から判断して不正が疑われない場合など、リスクが低いと判断されると、本人認証の手続きを省略できます。

毎回のパスワード入力が無くなるため、カゴ落ちリスクを減らせます。
図で表すと以下のように仕組みが異なります。

また、従来の固定パスワードだけでなく、ユーザーの利便性向上のためワンタイムパスワードや生体認証にも対応しているので、本人でなければ認証ができず、なりすましを防げます。

さらに、3Dセキュア1.0ではWebブラウザ上の決済のみ対象でしたが、2.0ではスマホアプリからの決済も範囲に含まれます。

このように、3Dセキュア2.0はよりスムーズな決済と不正利用防止の両面において、進化を遂げています。

ECサイトで3Dセキュア2.0の導入が義務化

ECサイトにおけるクレジットカード不正利用が年々増えているため、経済産業省は2025年3月を目処にECサイトへの3Dセキュア2.0の導入を義務化することを発表しました。

ここでは、クレジットカードの不正利用の現状や導入が義務化された理由などを見ていきます

ECサイトにおける不正利用の実態

経済産業省が2024年に公表した「クレジットカードのセキュリティ対策について」という資料によると、2023年のクレジットカードの不正利用の被害総額は約541億円でした。

2014年は被害総額が約114億円なので、約10年で5倍近くになっています
下記は、クレジットカードの被害額の推移を表したグラフです。

また、同資料によりますとこの被害の大半は、不正アクセスなどで盗み取られたクレジットカード番号によるEC取引が占めているそうです。

そのためクレジットカードの被害額をこれ以上増やさないためには、ECサイトにおけるクレジットカード不正利用を防ぐことが最重要とされています。

政府の取り組みと義務化の経緯

上記でお伝えしたように、拡大するクレジットカードの不正利用被害を受け、政府は2020年8月に「クレジットカード不正利用対策強化月間」を設け、対策の一環として「EMV 3-Dセキュア(3Dセキュア2.0)」の導入を決定しました。

インターネットでのクレジットカードの不正利用は、不正取得したカード情報をそのまま利用する手口が主でした。
そのため3Dセキュア2.0を導入すれば、カード情報だけでは不正利用ができなくなり、被害を大幅に防げると期待されています。

政府は、この対策を行うことで不正利用被害を従来よりも減らすことを目指しています。

ECサイトの3Dセキュア2.0義務化で必要な対応

3Dセキュア2.0が義務化されることはわかりましたが、その他にはどのような対応が必要なのかについて、もう少し詳しく解説していきます。

各EC事業者に求められる対策や期限

3Dセキュア2.0の導入期限は原則として2025年3月末です。

また、ECサイトを運営するEC事業者だけではなくクレジットカードの発行を行うイシュア―や、クレジットカード加盟店を管理するアクワイアラー、クレジットカード加盟店の決済を代行するPSP(決済サービスプロバイダ)なども不正利用対策の対象となっています。

2024年3月に経済産業省から発表された「クレジットカード・セキュリティガイドライン」によると、各事業者には具体的に、以下のような対応が求められています。

EC事業者 ・3Dセキュア2.0の導入計画を策定し、早目に導入する
・もしすでに不正利用が多発している店舗は、期限を待たず3Dセキュア2.0の導入にすぐに着手する
イシュア― ・自社カード会員に対して3Dセキュア2.0の登録を強く促すための取組を実施し、2025年3月末までにEC利用会員ベースで80%登録している状態を目指す
・2025年3月末時点において、3Dセキュア2.0登録会員の全員が「静的(固定)パスワード」以外の認証方法に移行している状態を目指す
アクワイアラー・PSP ・不正利用が多発しているEC事業者に対しては3Dセキュア2.0の即時導入を促す
・その他のEC事業者に対しても、不正利用発生リスクが高い事業者を優先しながら、2025年3月末までに完了するよう3Dセキュア2.0の導入を促す
・EC事業者と新規に契約する際は、2025年3月末までの3Dセキュア2.0導入義務化を説明した上で契約する

このように、クレジットカード事業を行っている各企業も、加盟しているEC事業者が3Dセキュア2.0を2025年3月末を目処に導入できるよう、働きかける必要があります。
また、すでに不正利用が多発している店舗に対しては早急に対応しなければなりません。

3Dセキュア導入に加えカード情報の保護対策も必要

経済産業省が発表しているクレジットカード・セキュリティガイドラインでは3Dセキュア2.0の導入が義務付けられましたが、それだけでなくカード情報自体の保護対策も行わなければならないと書かれています。

ECサイトでは、サイト自体の脆弱性やデバイス管理の基本的なセキュリティ対策の不備などにより、カード情報が漏洩したり悪意のあるサイバー攻撃の影響を受けたりといった事故が多く起きています。

そのため、ECサイトでは基本的なセキュリティ対策を継続することが必須となっています。

また、そもそもカード情報を自社の機器・ネットワークに保存するなど、不要な保持を避けた運用(非保持化)であることも重要です。

セキュリティ対策は総合的に実施する必要があり、3Dセキュア2.0導入のみでは不十分です。

カード情報を含む全ての個人情報保護の観点から、専門家によるセキュリティ診断を実施するなどECサイトを運用する上ではさまざまなセキュリティ対策が求められます。

ECサイトが3Dセキュア2.0未対応の場合の影響

クレジットカード・セキュリティガイドラインによって3Dセキュア2.0が義務化されますが、もし対応しなかったとしたら、どうなってしまうのでしょうか。
考えられる影響について3つご紹介します。

不正利用リスクと損失(チャージバック)の発生

ECサイトが3Dセキュア2.0に未対応の場合、不正利用のリスクが高まるので、具体的には以下のような損失が発生する可能性があります。

  • ・不正利用された分の商品やサービス代金の損失(チャージバック)
  • ・不正利用された際の対応に係る人件費の発生

クレジットカードが不正に利用された場合、不正に気づいたカード保有者が申し立てることにより、不正利用分が返金される仕組みであるチャージバッグが発生します。

このチャージバッグは保有者にとっては救済措置になりますが、ショップ側は売上金を返金しても商品は戻ってこないので、大きな損失といえます。

また、売上や商品の損失だけでなく、不正利用に関連する処理や手続きなどの人件費もかかってしまいます。

このように不正利用は、ショップ側にも損益をもたらす恐れがあります。

なおチャージバックについてさらに詳しく知りたい方は、下記の「チャージバックとは?」の記事をせひご覧ください。

ブランドイメージの低下

不正利用の対策をせず、実際に不正利用が続いてしまうと、ユーザーからのショップへの信頼(ブランドに対する安心感)がじょじょに失われていってしまいます。

一度評判が落ちてしまうと、ショップには以下のようなことが起こるリスクが高いです。

  • ・長年利用してくれていた顧客が離れてしまう
  • ・新規顧客も購入しづらくなる
  • ・優秀な人材を採用できなくなる
  • ・株価など会社の評価が大きく下がる

このように、長い年月をかけて作り上げてきた良い評判が、不正利用の被害で簡単に壊れてしまう可能性があるのです。

特に近年はSNSやレビュー欄などで簡単にユーザーが発信できるので、不正利用が多い店舗という情報がすぐに広まりやすいでしょう。
会社の信頼を守り、被害を防ぐためにも、3Dセキュア2.0の導入は必須の対策といえます。

決済会社からの制裁措置

3Dセキュア2.0の導入義務化に向けて、カード発行会社や加盟店を管理している企業、決済会社などもECの店舗に対して導入を促すことが求められています。

そのため、導入を促しても未対応のECサイトには決済会社から一時的な入金停止処理や最悪の場合は契約解除など制裁措置が課される可能性があります。
もし契約解除をされてしまうと、事業継続に支障が出てしまうでしょう。

決済会社は顧客保護を重視しており、セキュリティ対策が不十分なECサイトに対して厳しい姿勢を示すことが予想されます。

また2024年時点では、ECサイトの3Dセキュア2.0未導入に対する罰則などは発表されていませんが、今後、未対応の場合は法的な措置が行われるかもしれません。

不正利用はショップ側にもさまざまな損害を与えるため、3Dセキュア2.0をはじめとした対策を講じましょう。

ECサイトの3Dセキュア2.0導入時の注意点

ECサイトに3Dセキュア2.0を導入する際に知っておきたい注意点をご紹介します。

ユーザー体験に配慮する

認証手続きを省ける時もある3Dセキュア2.0ですが、これまで3Dセキュア自体を導入していなかった場合は、決済ページの操作が増えます。

認証手順が増えることで購買フローが複雑化し、ストレスを感じるユーザーが出てくる可能性があります。

そのため、3Dセキュア2.0を導入する際は、以下の点にも十分配慮する必要があります。

  • ・ユーザーに余計な手間をかけない認証方式の選択
  • ・ユーザビリティの高いUI/UXデザインの採用
  • ・認証に関するわかりやすい説明の提示

事前のユーザーテストや、導入後にECサイトの分析を行いユーザー体験への影響を常に把握して、もし問題があるようであれば改善につなげることが重要です。

不正を必ず防げるわけではない

3Dセキュア2.0はインターネットでクレジットカード購入の際の本人認証システムのため、導入したからといって不正を100%防げるわけではありません。

未知の脆弱性を狙ったサイバー攻撃であったり、内部関係者による不正であったりなど、不正アクセスや不正利用などが起こる要因は他にもさまざま存在します。

そのため、クレジットカード・セキュリティガイドラインにもあったように、さまざまなセキュリティ対策を常に行わなければなりません。

例えば3Dセキュア2.0の導入に加えて、不正アクセスや不正注文を検知するようなサービスを導入するなどが考えられます。

ECサイトのセキュリティについては「ECサイト構築・運用セキュリティガイドライン」というコンテンツが経済産業省より公開されていますので、こちらも合わせて参考にしてください。

カラーミーショップで3Dセキュア2.0を導入するには?

カラーミーショップではさまざまな決済方法が利用いただけます。
そのため、決済会社ごとに3Dセキュア2.0の導入方法が異なりますが、どの決済会社であったとしても基本的には、すでに3Dセキュアをご利用いただいている場合は、自動的に切り替わるところが多いです。

ですが、もしこれまで3Dセキュアを利用されていなかった場合は、イプシロンやZEUSなど各決済会社へ問い合わせて申請することで利用できるようになります。

まとめ

クレジットカードでの不正利用を防ぐ効果がある3Dセキュア2.0は、2025年3月末を目処にECサイトヘの導入が義務化されました。
不正利用対策が不十分だと、金銭的損失やブランドイメージの低下、決済会社からの制裁措置などのリスクが発生するので、必ず対応しましょう。

ただし、3Dセキュア2.0は万能ではありませんので、同時にさまざまなセキュリティ対策が必要になります。
インターネット上で商売を行う以上、セキュリティ対策は怠らずにきちんと行うことが、長く店舗を運営するために必須といえます。

▼こちらの記事も読まれています▼