3Dセキュアとは
3Dセキュア(3D Secure)とは、クレジットカードのオンライン決済において、カード番号・有効期限・セキュリティコードだけでは判断できない「本人確認」を追加する国際認証規格です。「3D」は「3つのドメイン」を意味し、①イシュアードメイン(カード発行会社)、②アクワイアラードメイン(加盟店契約会社)、③インターオペラビリティドメイン(カードブランドのネットワーク)の3者が連携して認証を行う仕組みです。Visa(Visa Secure)・Mastercard(Mastercard Identity Check)・JCB(J/Secure 2.0)・American Express(SafeKey 2.0)などの主要ブランドが採用しています。3Dセキュアを導入することで、不正利用が発生した場合の責任(ライアビリティ)が加盟店からカード発行会社に移転します。これによりEC事業者はチャージバック損失リスクを大幅に低減できます。日本では経済産業省のクレジットカードセキュリティガイドラインにより、EC加盟店への3Dセキュア2.0導入が実質的に義務化されています。
3Dセキュア1.0と2.0の違い
旧バージョンの3Dセキュア1.0(EMV 3DS 1.0)では、すべての取引でカード保有者に静的パスワードの入力を求めていました。このアプローチはセキュリティは高い反面、購入フローに余分な手間が生じ、カゴ落ちの一因となっていました。2019年にリリースされた3Dセキュア2.0(EMV 3DS 2.0)では「リスクベース認証(RBA:Risk Based Authentication)」が導入されました。取引ごとに100以上のデータポイント(デバイス情報・購入履歴・IPアドレス・購買行動パターン等)を瞬時に分析し、リスクが低い取引は追加認証なしで承認(フリクションレス認証)、リスクが高い取引のみ生体認証やワンタイムパスワードを要求(チャレンジフロー)します。実際に3Dセキュア2.0を導入した事業者では、追加認証が発生するのは全取引の5〜10%程度に留まり、購買体験を維持しながらセキュリティを強化できるとされています。またモバイルアプリSDKにも対応し、ネイティブアプリでの生体認証(Face ID/Touch ID)との統合も容易です。
ライアビリティシフトとチャージバック防止効果
3Dセキュア2.0の最大のビジネスメリットは「ライアビリティシフト(責任転嫁)」です。3DS認証を実施し、イシュアーが認証した取引については、不正利用によるチャージバックの責任がイシュアー(カード発行会社)に移転します。つまり加盟店は「認証済み取引」については原則としてチャージバック損失を負担しなくてよくなります。チャージバックは通常、被害額に加えて手数料・調査費用・業務負荷が発生し、EC事業者にとって大きな損失リスクです。特に高額商材・デジタルコンテンツ・旅行・チケットなどはチャージバックの的になりやすい業種であり、3DS2.0の導入効果が特に高いと言えます。一方で、3DS認証を経由しない取引(例:ゲスト決済)はライアビリティシフトの対象外となるため、すべての決済フローへの3DS統合が重要です。なお、フリクションレス認証で承認された取引もライアビリティシフトの対象になります。
EC事業者向け導入手順と注意点
3Dセキュア2.0の導入は主にPSP(決済サービスプロバイダ)経由で行います。JPCCのゲートウェイはEMV 3DS 2.0に標準対応しており、追加のAPI連携で有効化できます。導入手順は①PSPへの3DS2.0有効化申請、②決済フォームへの3DSメソッド呼び出しの組み込み、③認証結果(ECI値・AAV)の受け取りと決済リクエストへの付加、④テスト環境での全シナリオ検証(フリクションレス成功・チャレンジフロー成功・認証失敗)、⑤本番切り替えの順です。注意点として、①すべてのカードが3DS2.0に対応しているわけではなく、非対応カード向けのフォールバック処理の設計が必要です。②認証失敗率(False Decline)の監視と閾値設定が重要で、過剰な認証要求は正規購入者の離脱を招きます。③継続課金(定期課金)では初回決済時のみ認証を実施し、その後の課金はMITトランザクション(加盟店起因取引)として処理する設計が一般的です。JPCCではこれらの実装を専任エンジニアチームがサポートします。
よくある質問(6問)
友寄 玄道代表取締役
クレジットカード番号等取扱契約締結事業者(関東(ク)第197号)として、決済業界の実務と規制の両面から記事の正確性を監修しています。