3Dセキュア2.0(本人認証サービス)とは?導入するメリットや注意点も解説
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
近年、日本でもキャッシュレス化が急速に進んでおり、とりわけクレジットカードは高い保有率を誇ることから、キャッシュレス決済の代表格として広く使われています。しかし、クレジットカードは決済時にカード番号、有効期限、セキュリティコードを入力するだけで利用できるため、便利な反面、不正利用されやすいことが課題でした。
そこで、近年では3Dセキュア2.0の導入が進められています。本記事では、3Dセキュア2.0について解説するとともに、3Dセキュア2.0導入のメリットや注意点、必要な対応について解説します。
目次[非表示]
3Dセキュアとは
3DセキュアとはVisaが開発したEC決済における本人認証システムです。実店舗でクレジットカードを使用する際は、顧客によるサインや端末への暗証番号入力で本人確認をします。しかし、ECサイトなどのネット上での決済時には本人確認ができないため、なりすましによる不正利用が課題となっていました。
3Dセキュアは非対面でのクレジットカード決済時の不正利用対策として開発された認証システムです。3Dセキュアではカード保有者が事前に専用のパスワードを設定し、決済時にカード情報とパスワードの入力をすることで、なりすましなどの不正利用を防ぎます。
3Dセキュア2.0とは
3Dセキュア2.0とは、ユーザーの離脱率の高さに課題のあった3Dセキュア1.0から、リスクベース認証を導入することでユーザーの利便性を向上し、ワンタイムパスワード、QRコードスキャンなどによる認証も可能になった新しい3Dセキュアの仕組みです。
3Dセキュアはクレジットカードの国際ブランド各社が採用しており、インターネット上でのクレジットカード利用時における本人認証方法として世界的標準になりつつあります。
本項では、3Dセキュア2.0の仕組みと3Dセキュア2.0と1.0の違い、セキュリティコードとの違いについて解説します。
3Dセキュア2.0の仕組み
3Dセキュア2.0はクレジットカードの業界団体が標準化した認証スキームです。クレジットカード利用時に、不正利用が疑われる場合にのみ本人認証画面を追加で表示するリスクベース認証が導入されています。
リスクベース認証では、クレジットカードの利用履歴から、普段と異なるブラウザや端末、配送先、場所や時間などの異なる条件を検知した場合などの、不正利用が疑われる場合にのみ追加で認証が実施されます。
また、3Dセキュア2.0では、指紋や顔を使用した生体認証や1度だけ利用可能なワンタイムパスワード、QRコードスキャンなどにも対応可能です。
3Dセキュア2.0と1.0の違い
3Dセキュア1.0ではすべてのカード利用者に本人認証を実施していたため、認証フローでの離脱率が高くなる課題がありましたが、3Dセキュア2.0ではリスクベース認証が導入されたため、不正利用が疑われる場合にのみ本人認証を追加で実施するようになった結果、離脱率を下げることに成功しています。
また、3Dセキュア1.0ではパスワードやIDのみで本人認証を実施していましたが、3Dセキュア2.0では、指紋や顔を使用した生体認証や1度だけ利用可能なワンタイムパスワード、QRコードスキャンなどによる認証が可能です。
他にも、3Dセキュア2.0からは、モバイルアプリへの対応や、モバイルウォレットへの登録時にも利用できるなどの変更が加わりました。
3Dセキュアの詳細については、以下の記事もあわせてご参照ください。
オンラインでの決済には本人認証(3D)システムが重要!仕組み・導入のメリットとは
セキュリティコードとの違い
3Dセキュアと混同されやすい単語にセキュリティコードがあります。セキュリティコードは、カード裏面の署名欄に印字されている3桁か4桁の番号で、決済時の本人確認に利用されています。印字情報のため、スキミングなどでカードの磁気情報を盗まれた場合も、不正利用されないメリットがありますが、カードそのものが盗難された場合には不正利用を防げません。
セキュリティコードはクレジットカードに印字された情報のため変更できませんが、3Dセキュアはあらかじめユーザーがシステムに登録した認証情報を用いるため、まったく別の仕組みです。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
3Dセキュア2.0の導入が進む背景
3Dセキュア2.0の導入が進んでいるのはセキュリティ強化のためだけではありません。経済産業省はすベてのEC事業者に対して、2025年3月末までに3Dセキュア2.0の導入を義務化する旨を発表しました。そのため、事業者側は3Dセキュア2.0を導入しない場合には、顧客からの信用を失う可能性や法的な罰則を受ける可能性があります。
また、クレジットカードブランド各社は、3Dセキュア1.0のサポートを順次終了しており、チャージバックの保証についても終了しています。サポートが終了すると、クレジットカードの不正利用による返金を事業者側が負担することになるため、リスクを下げるためにも、事業者側は早急な3Dセキュア2.0の導入が必要です。
参考:クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性
3Dセキュア2.0導入のメリット
3Dセキュア2.0の導入は、EC事業者、クレジットカード利用者の双方にメリットがあります。
本項では、3Dセキュア2.0導入のメリットとして、下記の3点を解説します。
- 3Dセキュア1.0以上に不正利用を防止できる
- 安全性を高めつつカゴ落ちのリスクを減らせる
- 3Dセキュア1.0よりもユーザーの負担を軽減できる
3Dセキュア1.0以上に不正利用を防止できる
3Dセキュア2.0を導入することで、3Dセキュア1.0以上に不正利用を防止できます。3Dセキュア1.0では、ID・パスワードのみで本人認証を実施していたため、情報が流出すると不正利用されるリスクがあり、セキュリティの強化が課題でした。
3Dセキュア2.0では従来の認証方法に加え、生体認証やワンタイムパスワード、QRコードによる認証が追加されたため、認証情報の改ざんや盗難が発生しにくく、不正利用のリスクを削減可能です。
また、3Dセキュア2.0ではリスクベース認証が導入されたことで、ユーザーの利便性も向上していますが、不正利用の可能性がある場合のみ追加認証を実施する仕組みのため、インターネット上での本人確認を併用することで、さらにセキュリティを強化できます。
なりすましの代表的な手口については、以下の記事もあわせてご参照ください。
【事例あり】なりすましの代表的な手口とは?具体的な種類から対策まで徹底解説
安全性を高めつつカゴ落ちのリスクを減らせる
3Dセキュア2.0を導入することで、高いセキュリティを確保できるだけでなく、カゴ落ちのリスクも減らせます。3Dセキュア1.0では、すべての取引で別画面やポップアップでの追加認証が必要でした。そのため、認証フローが煩雑になったり、IDやパスワードを忘れると決済できなくなったりしたため、決済途中で利用者がサイトを離脱してしまうカゴ落ちリスクが高いという課題がありました。
3Dセキュア2.0では、端末情報や、ブラウザの情報などから不正利用リスクが高い場合のみ追加認証するリスクベース認証が導入されたため、ユーザーインターフェースや入力の仕組みが大幅に改善されています。その結果、ユーザーがスムーズに決済できるようになり、カゴ落ちのリスクを減らせます。
3Dセキュア1.0よりもユーザーの負担を軽減できる
3Dセキュア2.0を導入することで、3Dセキュア1.0よりもユーザーの負担を軽減できます。3Dセキュア1.0では、カード利用者は事前にIDやパスワードを設定し、決済のたびに入力する必要がありました。
しかし、3Dセキュア2.0であれば、ワンタイムパスワードの入力だけで決済を完了でき、生体認証、QRコードのスキャンなどさまざまな認証方法を利用可能です。スムーズに決済ができる点は、事業者側だけでなく、ユーザー側としても大きなメリットです。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
3Dセキュア2.0の導入時に必要な対応
3Dセキュア2.0を導入することで、3Dセキュア1.0よりもセキュリティレベルを高めつつ、ユーザーの利便性も向上できるということをこれまで述べさせていただきましたが、3Dセキュア2.0はどのように導入すればよいのでしょうか。本項では、3Dセキュア2.0の導入時に必要な主な対応として、以下の2点を解説します。
- 個人情報保護に関する対応
- 外部アプリやECサイトとの連携
個人情報保護に関する対応
3Dセキュア2.0を導入するためには、個人情報保護に関する対応が必要です。3Dセキュア2.0ではクレジットカード情報に加えて、ユーザーの端末情報や、氏名、生年月日など多くの個人情報をサービス上で取り扱うことになります。事業者側は個人情報取扱事業者になるため、個人情報保護法に基づき、ユーザーから情報利用の許諾の取得が必要です。
また、許諾だけでなく、多くの個人情報を取り扱うことから、個人情報流出を防止するための厳重な対策も必要です。
個人情報保護法の詳細については、以下の記事もあわせてご参照ください。
個人情報保護法を分かりやすく解説|情報の取り扱い方法や改正内容とは
外部アプリやECサイトとの連携
3Dセキュア2.0を導入するためには、外部アプリやECサイトとの連携が必要です。サービスの運営元である事業者が決済を委託している決済代行業者や、ECカートシステムによって対応策が異なるため、対応可否の確認から始める必要があります。
3Dセキュア2.0と3Dセキュア1.0とでは仕様も異なるため、サービスとの連携のために事業者側でシステムへの改修が必要になることもあります。モバイルアプリを提供している場合には、3Dセキュア2.0用のソフトウェア開発キットが用意されているので、導入時に活用しましょう。
また、3Dセキュア2.0導入におけるシステム改修ではコストも発生するので、対応内容を確認する際にあわせて確認しましょう。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
利用者が3Dセキュア2.0を使うために必要な条件
3Dセキュア2.0の導入時に必要な対応として、事業者による個人情報保護に関する対応と外部アプリやECサイトとの連携を解説しましたが、それだけでは3Dセキュア2.0を利用できません。
3Dセキュアの「D」とは、事業者、クレジットカード利用者、クレジットカードブランドの3つのドメイン(領域)を意味しています。この3つのドメインが連携することで本人認証が可能になるのです。そのため、事業者だけでなく、クレジットカード利用者やクレジットカードブランドにも、3Dセキュア2.0を使うために必要な条件があります。
本項では、クレジットカード利用者が3Dセキュア2.0を使うために必要な条件である以下の2点を解説します。
- 対応しているクレジットカードブランドでの決済
- カード利用者の3Dセキュア2.0に関する事前登録
対応しているクレジットカードブランドでの決済
3Dセキュア2.0を使用するためには、対応しているクレジットカードブランドでの決済が必要です。3Dセキュア2.0対応のクレジットカードを発行している国際ブランドは、主に以下の6つです。
Visa
- MasterCard
- JCB
- AMERICAN EXPRESS
- Diners Club
- UnionPay
手持ちのクレジットカードが3Dセキュア2.0に対応しているかどうかを、公式ホームページや管理サイトからの問い合わせで確認してもらう必要があります。
カード利用者の3Dセキュア2.0に関する事前登録
3Dセキュア2.0を利用するためには、クレジットカード利用者による、3Dセキュア2.0に関する事前登録が必要です。本人確認に必要な各種情報を登録していない場合、手持ちのクレジットカードが3Dセキュア2.0に対応していても、3Dセキュア2.0を利用できません。
3Dセキュア2.0に必要な各種情報の登録は、インターネット上の管理サイトにてカード発行時に作成したアカウントを使用して登録できるサービスが多いため、ユーザーに登録を促しましょう。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
3Dセキュア2.0の注意点
3Dセキュア2.0はユーザーの利便性を損なわずにセキュリティレベルを向上できますが、導入する際にはいくつかの注意点があります。本項では、3Dセキュア2.0を導入する際の注意点として、下記の2点を解説します。
- 導入に費用や時間がかかる場合がある
- 不正利用をすべて防げるわけではない
導入に多くの費用や時間がかかる場合がある
3Dセキュア2.0の導入に多くの費用や時間がかかる場合がある点には注意が必要です。3Dセキュア1.0は無償で提供されていましたが、3Dセキュア2.0は基本的に有償で提供されます。
そして、3Dセキュア2.0と3Dセキュア1.0ではシステム上の処理内容が異なるため、3Dセキュア2.0用の外部システムと連携するためのシステム改修が必要になる場合があります。システム改修には時間とコストがかかるため、3Dセキュア2.0の利用料とあわせて考慮が必要です。
不正利用をすべて防げるわけではない
3Dセキュア2.0は3Dセキュア1.0と比較してセキュリティレベルを向上できますが、それでも不正利用をすべて防げるわけではありません。
本人確認用のワンタイムパスワードを入手されてしまえばクレジットカードの不正利用は可能であり、公的機関や有名企業のメールアドレスと偽って連絡して決済情報を不正に入手する詐欺もあるため、3Dセキュア2.0に頼りすぎるのは危険といえます。3Dセキュア2.0だけでなく、複数のシステムや手法を組み合わせることで、総合的にセキュリティレベルの向上を検討しましょう。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
セキュリティを高めるならeKYCとの併用も推奨
サービスのセキュリティを高めるのであれば、インターネット上で本人確認を行うeKYCとの併用もおすすめです。3Dセキュア2.0の導入でセキュリティレベルは向上しますが、すべての不正利用を防げるわけではありません。
サービスのセキュリティレベルを高めるのであれば、3Dセキュア2.0を用いたクレジットカード認証を実施したのちに、eKYCでなりすまし確認をするなど、複数システムを組み合わせることが有効です。
eKYCを導入してサービスのセキュリティをより高めたい場合には、ネクスウェイ本人確認サービスがおすすめです。ネクスウェイ本人確認サービスなら、ユーザーはスマホで撮影するだけで手軽に本人確認ができるため、離脱を防げます。また、幅広い本人確認書類に対応しているので、さまざまなシーンで利用可能です。
はじめて本人確認業務を導入する場合も、ネクスウェイ本人確認サービスならあらかじめ必要な業務要件を踏まえたオールインワンパッケージで提供しているため、3Dセキュア2.0とあわせて導入する際も、簡単でスピーディーに導入できます。
eKYCについて詳細を知りたい方はこちらの記事もご覧ください。
eKYCとは?オンライン本人確認とKYCの違いや導入するメリットを解説
まとめ
キャッシュレス化が急速に進んでいる昨今、インターネット上でのクレジット決済のセキュリティ強化は、ECサービスを提供する上で必須の対応といえます。とりわけ、3Dセキュア2.0は
経済産業省がすベてのEC事業者に対して、2025年3月末までの導入を義務化しているため、迅速に導入する必要があります。
3Dセキュア1.0ではすべての決済時に追加認証を実施していたため、複雑な認証フローによるユーザーの離脱が懸念されていましたが、3Dセキュア2.0からはリスクベース認証が導入され、不正利用の可能性が高い場合のみ追加認証がされるようになり、ユーザーの利便性が向上しました。
しかし、3Dセキュア2.0を導入しても、すべての決済で追加認証をするわけではなく、不正利用をすべて防げるわけではありません。そのため、サービスのセキュリティを向上するために、3Dセキュア2.0とeKYCを併用することがおすすめです。
eKYCの費用について知りたい方はeKYC料金表をダウンロード
eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード
