3Dセキュア認証の登録方法は？導入形態や手続きについて

かつて、インターネットでクレジットカード決済をおこなう場合は、クレジットカード番号や有効期限、セキュリティコードを入力するだけで決済ができました。 しかしこれでは、盗難や紛失で他人の手にクレジットカードが渡った場合、自身のクレジットカードが不正利用されるリスクを回避できません。 そこで、1999年に現在の3Dセキュア2.0（EMV 3-Dセキュア）の前身である3Dセキュア1.0が誕生しました。 3Dセキュアでは、クレジットカード情報の他にパスワードなどカード券面になく本人しか知り得ない情報の入力を要求することで本人認証をおこなうため不正利用に対して有効とされています。

3Dセキュア1.0と2.0の違い

不正利用対策として有効とされていた3Dセキュア1.0ですが、取引のたびにパスワードの入力が求められるため、「パスワードを忘れた」「入力が煩わしい」といった理由でカゴ落ちが増えました。 そうした3Dセキュア1.0の課題を改善すべく、2016年に登場したのが3Dセキュア2.0（EMV 3-Dセキュア）です。両者の違いは以下のとおりです。

※イシュアー（カード発行会社）によって基準が異なる

EMV 3-Dセキュアはモバイルアプリにも対応しており、会員登録や会員情報変更といった非決済分野に対応できるだけでなく、リスクベース認証を採用しています。 リスクベース認証とは、EC加盟店で決済をするカード会員の個人情報やデバイス情報から、カード発行会社（イシュアー）にて不正利用のリスクがあると判断したときに本人認証画面を表示する仕組みです。認証方法には生体認証やSMS認証など多くの方法があるため利便性が高く、3Dセキュア1.0に比べてカゴ落ちのリスクが減少しました。 3Dセキュアの仕組みについて、より詳しく知りたい人は以下の記事をご覧ください。 >> 「3Dセキュアの仕組み：フリクションレスフローでコンバージョンを最大化しながら決済不正を防止」はこちら

一般社団法人日本クレジット協会が発表した「日本のクレジット統計 2023年版」によると、クレジットカードの不正利用被害額は、2021年が約330億円、2022年が436億円、2023年が540億円と増加の一途をたどっています。さらに、不正利用の手口の内訳を見ると、被害総額の90%以上が番号盗用に起因していることもわかります。 こうした状況を憂慮した経済産業省は、EC加盟店に対して2025年3月末までに3Dセキュア2.0（EMV 3-Dセキュア）の導入義務化を発表しました。さらに、カード会社（アクワイアラー）各社が把握する不正利用額が3ヵ月連続で50万円超の不正顕在化加盟店は即時にEMV 3-Dセキュア導入に着手しなければならないとしています。 3Dセキュア義務化について、より詳しく知りたい人は以下の記事をご覧ください。 >> 「EMV 3-Dセキュア（3Dセキュア2.0）の導入が義務化！背景や必要な対応と注意点について」はこちら

前述のとおり、3Dセキュア2.0（EMV 3-Dセキュア）は2025年3月末までに導入が義務付けられました。しかし、技術的に導入ができないもの、なりすましによる不正が発生する可能性が低い取引などに関しては未導入が認められます。

ただし、上記加盟店でも特に(2)(3)については、不正状況に応じて加盟店はEMV 3-Dセキュアを導入しないといけない点には注意が必要です。 また、EMV 3-Dセキュアのバージョン2.3ではスマートスピーカーにも対応するなど、時代の変化にともなってEMV 3-Dセキュアの対応範囲は今後も拡大を続けることが予想されます。現在は対象外であっても、将来的にEMV 3-Dセキュアの導入が必要になる可能性はあるでしょう。

3Dセキュアを導入するには、3Dセキュア専門のシステム会社を利用するほか、認証やオーソリゼーションなどの決済システムを自社で構築する方法や、決済代行会社（PSP）を利用する方法があります。 ここからは、3Dセキュアの主な導入形態を3つご紹介します。

自社構築

自社構築とは、クレジットカード番号からカード発行会社（イシュアー）を判定し、3Dセキュアを開始するために必要な情報を返す役割をもつ3DSサーバを自社開発する方法です。 自社構築の場合は、自社で決済システムの仕様を変更したいときに柔軟に対応できるなどのメリットがあります。 しかし、まず3DSサーバそのものはEMV 3-Dセキュアの仕様を取り決めているEMV Co.からの認定を受けなければなりません。そのうえで、接続している決済代行会社やカード会社（アクワイアラー）、情報処理センターなどの事業者とのやり取りが必要になります。また、国際ブランドとの3DSサーバの接続テストや認定試験の有効期限対応、アップグレードに応じたシステム対応などもすべておこなう必要があります。 さらに自社に技術者がいることが前提となるため、結果的に導入にかかるコストが高くなる恐れがあります。

決済代行会社の3Dセキュアシステムの導入

決済代行会社を通じて3Dセキュアを導入する方法です。 加盟店は各アクワイアラーや決済代行会社との契約締結が必要ですが、多くの場合、すでに複数の認証ステップを決済代行会社がおこなっています。

そのため、システム開発や事務手続きなど導入時に必要な工数を大幅に削減できるというメリットがあります。

3Dセキュアシステムプロバイダーを利用

3Dセキュアのシステムを提供しているプロバイダーを利用して実装する方法です。 システム構築時に必要な認定試験や保守メンテナンスはプロバイダー側でおこなわれるため、初期費用を抑えられるのがメリットです。 ただし、利用するアクワイアラーや決済代行会社との間で接続試験等が必要な場合もあります。またアクワイアラーとプロバイダーが異なるため、多くの場合それぞれに手数料の支払いが必要です。

EMV 3-Dセキュアの導入手続きは、導入形態によって異なります。 ここでは、クレジット取引セキュリティ対策協議会「EMV 3-Dセキュア導入ガイド」の記載内容をもとに、大半のEC加盟店が該当する、決済代行を利用するケースでの手続きをご紹介します。 決済代行会社を使うケースでは、EC加盟店がカード会社と直接契約する場合と決済代行会社が包括代理契約を結ぶ場合があり、必要な手続きは類似していますが、包括代理契約ではカード会社とのやり取りも決済代行会社が実施します。 必要な手続きは以下のとおりです。

不正利用の手口は日々巧妙化しているため、加盟店はアクワイアラーやイシュアーと連携して適切に対処しなければなりません。 ここからは、「クレジットカード・セキュリティガイドライン【5.0 版】」の内容をもとに3Dセキュアを運用するうえで押さえるべきポイントを解説します。

カード情報保護対策の徹底

EC加盟店が講じるべきカード情報保護対策としては、PCI DSS準拠もしくは非保持化が挙げられます。 PCI DSS非準拠の場合はカード番号を非通過・非処理・非保存としなければならず、これを非保持化と言います。また、PCI DSSでは保持してはいけない情報（セキュリティコードなど）も定められていますので注意しましょう。 さらに、基本的なセキュリティ対策についても留意しなければなりません。具体的には、「EC加盟店における基本的なセキュリティ対策導入ガイド」及び「セキュリティ・チェックリスト（第3版）」に記載されたシステム脆弱性対策ができているか定期的に確認することが求められるようになるでしょう。 加盟店に求められるカード情報保護対策について、より詳しく知りたい人は以下の記事をご覧ください。 >> 「3Dセキュア2.0（EMV 3-Dセキュア）の導入が義務化！運用のポイントについて」はこちら

不正利用対策には包括的な取り組みが必要

これまでの不正利用対策では、以下の4つをベースとした複数の対策を導入することを指針としていました。

• 本人認証（3Dセキュアや認証アシスト）

• 券面認証（セキュリティコード）

• 属性や行動分析（不正検知システム）

• 配送先情報

しかし、加盟店の業種や業態、取り扱い商品、不正利用の実態によって必要な不正利用対策は異なる他、これらの方策を組み合わせても実効的な抑止効果が得られにくいケースもありました。 そこで、「クレジットカード・セキュリティガイドライン【5.0版】」の「2025年4月以降のEC加盟店の情報保護対策及び不正利用対策」において、2025年4月以降はクレジットカードの決済前、決済時、決済後の場面ごとに対策を講じるという、点ではなく線としてとらえた包括的な取り組みが必要とされました。 つまり、EMV 3-Dセキュアの導入だけでは不正利用対策としては万全ではなく、属性行動分析による不正検知システムや不正ログイン対策、前述したシステム脆弱性対策、そして配送停止等の不正対策といった多重的な対策を取ることが大切となっていきます。 不正利用対策について、より詳しく知りたい人は以下の記事をご覧ください。 >> 「3Dセキュアでカードの不正利用、チャージバック対策は可能？EMV 3-Dセキュアの特徴や弱点について」はこちら

認証精度向上とフリクションレス決済の実現

認証精度の向上とフリクションレス決済を実現するためには、EC加盟店と決済代行会社がAReq（3DSの認証要求電文）データ項目の設定をおこなう必要があります。 AReqに設定するデータ項目を増やすことで、一貫性や正確性が向上し、不要なチャレンジ認証の発生を抑えることができます。これにより、フリクションレス決済の実現につながります。 例えば、購入者の住所情報を連携するなどの対応が考えられます。 ただし、カード発行会社（イシュアー）によってチェックする項目は異なるため、多くのデータを設定したからといって、必ずしもフリクションレス取引率が向上するわけではありません。 しかし、イシュアもデータをタンキング（データを蓄積すること）していますので、可能な限りデータを追加しておくことは有益といえます。また、イシュアーはカード会員の本人認証情報をもとにチャレンジを行うため、もしカード会員が本人認証サービスに未登録の場合、EC加盟店側からイシュアーの本人認証サービスへの登録を促すことも重要です。 認証精度向上とフリクションレス決済の実現について、より詳しく知りたい人は以下の記事をご覧ください。 >> 「EMV 3-Dセキュア（3Dセキュア2.0）の導入が義務化！運用のポイントについて」はこちら

LACOSTEやTHE NORTHFACEといった19の世界的ブランドを扱い、23のWebサイトと100の実店舗を運営するオーストラリアの小売り大手True Alliance。当初、多くのサイトと店舗を展開するために、複数の異なるシステム（決済ゲートウェイ）を使用しており、不正利用対策も複雑化、不完全な統合システムを導入していたことで決済時の不正利用が大きな問題となっていました。 そこで、Adyenのユニファイドコマースソリューションや不正利用対策ソリューションRevenueProtect、3Dセキュア（3DS2）認証を導入するとともに、プラットフォームと連動する新しい決済端末を全店舗に導入しました。 その結果、リスクルールのカスタマイズが可能になり、すべての自社ブランドと販売チャネルで迅速に不正利用に対応できるようになりました。また、Webサイト全体に3Dセキュア（3DS2）認証を展開したことで、より安全なオンライン決済の提供が可能になりました。 こうした、Adyenの強固なセキュリティ技術により、ECサイトでの不正利用率が0.1%未満となり、年間140万ドルのコスト削減につながっています。 詳しくはこちらをご覧ください。 >> 「True Alliance」の導入事例はこちら

EC加盟店に対して2025年3月末までに3Dセキュア2.0（EMV 3-Dセキュア）の導入が義務化されています。なかには、導入が技術的にできないもの、不正が起こる可能性が低い取引など、導入対象外の取引も一部ありますが、時代の変化にともなって対応範囲が拡大していくことは十分考えられます。 EMV 3-Dセキュアの導入形態には、大きく自社構築と決済代行会社の利用という2つの方法がありますが、自社構築についてはハードルが高く、一般的なEC加盟店は決済代行会社を利用するのがおすすめです。 ただし、手続きが軽減するとはいえ、EMV 3-Dセキュアの導入にはある程度時間がかかります。未導入の場合は早めに着手しましょう。

Adyenでは、3Dセキュア2.0（EMV 3-Dセキュア）に加え、不正利用検知システムなど多重的な不正利用対策に対応するサービスを提供しています。PCI DSSに準拠しており、さまざまな国や事業規模、業態の決済における導入実績があります。さらに、世界各地の異なる規制やニーズに適応可能なため、世界中のどこでもスムーズな認証を提供できます。

万が一のトラブルや不明な点があるときには、24時間年中無休で利用できる技術サポートもご用意しています。EMV 3-Dセキュアの導入をご検討の際は、ぜひAdyenまでお問い合わせください。

お問い合わせはお気軽に

記事の内容や、Adyenの製品について。より詳しくお知りになりたい場合は、お気軽にお問い合わせください。

導入について相談する