記事
3Dセキュア2.0(EMV 3-Dセキュア)とは?2.0から2.3までの経緯と特徴、今後の展望について
EC加盟店での決済時の不正利用を回避するためのサービス「3Dセキュア2.0(EMV 3-Dセキュア)」は、よりスムーズかつ安全な決済体験を提供すべく、2016年にリリースされたあとも進化が続いています。この記事ではその進化の経緯や各バージョンの特徴、今後の展望を解説します。
EC加盟店での決済における不正利用のリスクを低減するための本人認証サービス「3Dセキュア2.0(EMV 3-Dセキュア)」。2016年のリリース以降、2.1、2.2、2.3と進化を続けており、利用者にとってはより安全性と利便性の高いサービスとなっています。
この記事では、EMV 3-Dセキュアのバージョンアップの経緯や各バージョンの特徴を解説します。
3Dセキュアに関して
3Dセキュアとはインターネットでの買い物利用時の不正防止を防止するために各国際ブランドが提供している本人認証サービスの総称です。
具体的には、クレジットカードで買い物をする際、クレジットカード情報や有効期限、セキュリティコードといったクレジットカード券面に記載された情報以外にパスワードなど本人しか知りえない情報の入力を求めることで本人認証をおこないます。
スキミング(磁気ストライプからカード情報を盗むこと)でカード情報が盗まれただけなら、クレジットカード情報の磁気情報に含まれないセキュリティコードがあることで、不正利用されるリスクは減らせます。しかし、盗難や紛失でクレジットカードが物理的に他人の手に渡った場合はセキュリティコードが確認できてしまうため、不正利用の恐れが高まります。 その点、3Dセキュアを導入していれば、物理的に他人の手にわたってもクレジットカードを不正利用されるリスクを軽減できます。 >>クレジットカード決済・徹底ガイド
3Dセキュア1.0から2.0への経緯
3Dセキュアは、1999年に国際ブランドのVisaによって開発され、2002年より他の国際ブランドにライセンス提供されるようになりました。しかし、決済のたびにパスワードの入力を求められるため、利用者のなかには「パスワードを紛失した」「パスワードの入力が煩わしい」と感じるケースがあり、カゴ落ち率が高まったことから普及が進みませんでした。 そこで2016年、リスクベース認証を採用した「3Dセキュア2.0(EMV 3-Dセキュア)」が登場します。リスクベース認証とは、利用者がアクセスした地理情報や時間帯、端末情報などのアクセス情報から通常と異なる購買行動が確認された場合や、不正利用のリスクがあると判定した場合に追加の認証をおこなう仕組みです。本人認証画面が表示される頻度が低下するため、利用者にとっては利便性が高くなります。 なお、3Dセキュア1.0とEMV 3-Dセキュアとでは仕様が異なり、互換性はありません。また3Dセキュア1.0は2022年10月で各国際ブランドがサポートを終了しています。 3Dセキュア1.0からEMV 3-Dセキュアへの経緯と違いについて、より詳しく知りたい人は以下の記事をご覧ください。 >> 「EMV 3-Dセキュア(3Dセキュア2.0)とは?1.0から2.0への経緯と違いについて」はこちら
3Dセキュア2.1の登場(2017年)とその特徴
2017年には、3Dセキュア2.0(EMV 3-Dセキュア)に続いて3Dセキュア2.1が登場しました。ここからは、3Dセキュア2.1の特徴を5つご紹介します。
PSD2のSCA要件に完全準拠
EMV 3-Dセキュア2.1ではPSD2のSCA要件を完全準拠しています。 PSD2とは、EU圏内のオンライン決済をより安全におこなうために定められた、デジタル決済市場に関する法的な枠組みのことです。EUでは、利用者の権利保護のため、カード会社に対しSCA(強力な顧客認証)を義務化しています。 SCAは不正利用の削減を目的としており、すべての電子決済取引で、以下の「知識」「所有」 「固有性」の3つのうち少なくとも2つの認証を受けなければなりません。
知識
(ユーザーのみが取引前から知っているもの)
概要説明
・固定パスワード
・PIN
・あらかじめ回答を登録しておき、本人認証のときに当初の回答を要求する知識ベースのチャレンジ問題
・10文字以上の単語を組み合わせた文字列で構成されるパスフレーズ
・記憶されたスワイプパス
所有
(取引開始後にユーザーのみが所有しているもの)
概要説明
・ワンタイムパスワードによって証明されているデバイスの所有
・デバイスで生成された署名で証明されるデバイスの所有権
・外部機器から読み取ったQRコードで証明されるカードまたは機器
・自分のデバイスを「記憶させる」ことができるデバイスバインディングによって証明される所有権を持つアプリやブラウザ
・カードリーダーによって証明されるカード
・動的セキュリティコードによって証明されるカードの所有
固有性
(ユーザーの一部)
概要説明
・指紋スキャン
・音声認識
・静脈認識
・手や顔の形状
・網膜や虹彩(こうさい)認証
・キーボードのキーを押すときにキーが沈む深さなどの特徴を表すキーストローク
・心拍数やユーザーを特定する動き
・デバイスを持つ角度
出典:経済産業省 商務・サービスグループ商取引監督課「資料2 クレジットカード番号等不正利用対策の強化」 SCAの要件について、より詳しく知りたい人は以下の記事をご覧ください。 >> PSD2に基づく強固な顧客認証(SCA)の要件と準拠の仕方とは
モバイル決済への対応とセキュリティの向上
EMV 3-Dセキュア2.1では、従来のブラウザベースの決済に加え、モバイル決済にも対応するようになりました。そのため、加盟店は販売チャネルを安全に広げられるようになりました。 モバイル決済の普及は、使用するデバイスからアクセスできる情報量を増加させました。そのため、より強固な本人認証の必要性が高まり生態認証が拡大するきっかけとなっています。
リスク判断の精度向上
EMV 3-Dセキュア2.1では、以前のバージョンよりも収集、利用できるデータ量が10倍に増加しました。データ項目が多くなると、イシュアー(カード発行会社)がカード会員本人を認証するためのサーバーであるアクセスコントロールサーバー(以後、ACS)の認証精度が向上するため、正確なリスク判断やフリクションレス率向上につながりました。
バイオメトリクス認証(生体認証)の導入
バイオメトリクス認証(生体認証)の導入により、煩わしいパスワードの入力や管理の手間が省け、決済体験が向上しました。代表的な生体認証としては次のようなものがあります。
顔認証・・・目や鼻などのパーツや輪郭から識別
指紋認証・・・指の指紋で認証する方法。カメラの設置が不要なためスマートフォンのログインなどに利用されている
加盟店主導の取引は認証を免除
加盟店主導の取引とは、利用者と加盟店の合意のもと利用者の認証情報の保存と使用を許可する取引のことです。例えば、サブスクリプション契約などが該当します。 EMV 3-Dセキュア2.1では、こうした加盟店主導の取引での認証を免除することが可能になりました。ただし、サブスクリプションにおける初回の支払いや契約内容の変更、クレジットカードを変更するような場合はEMV 3-Dセキュアによる認証をおこないます。
3Dセキュア2.1のサポート終了
3Dセキュア2.1(EMV 3-Dセキュア2.1)は各国際ブランドでのサポートが終了しているため、2.2または2.3への移行が必要となります。対応しているEMV 3-Dセキュアのバージョンがわからない場合は、カード会社(アクワイアラー)に連絡すれば確認できます。 各国際ブランドのEMV 3-Dセキュア2.1のサポート終了日は以下のとおりです。
Visa
バージョン2.1のサポート終了予定日
2024年9月25日
Mastercard
バージョン2.1のサポート終了予定日
2024年9月24日
JCB
バージョン2.1のサポート終了予定日
2024年9月26日
American Express
バージョン2.1のサポート終了予定日
2024年9月30日
Diners Club International
Discover
バージョン2.1のサポート終了予定日
2024年9月26日
3Dセキュア2.2の登場(2018年)とその特徴
2018年に登場した3Dセキュア2.2(EMV 3-Dセキュア2.2)は、2.1で提供されているすべての機能に加え、さらに4つの機能が追加されています。ここからは、EMV 3-Dセキュア2.2で追加された機能について解説します。
低リスク決済の認証免除は加盟店で申請可能に
EMV 3-Dセキュア2.2では、加盟店がカード会社(アクワイアラー)を通じて本人認証の免除をリクエストできるようになりました。 加盟店や決済代行会社が取引のリスクを分析し、リスクが低い取引先の認証を免除したり、信頼できる顧客として加盟店側から免除をリクエストしたりすることも可能です。免除にできるケースは国際ブランドによって若干異なるため、利用する際は事前に確認しておきましょう。 これにより、従来よりもさらに不要な追加認証を求めるケースを減らすことができるため、カゴ落ちリスクの低減が期待されています。
委任認証でスムーズな決済体験を実現
委任認証とは、カード発行会社(イシュアー)が販売業者、カード会社(アクワイアラー)といった第三者に認証の権限を委任する仕組みのことです。
外部プラットフォームが顧客のログイン認証情報を検証できるため、多くの異なるシステム間で顧客のIDを結び付けて識別ができます。委任認証を利用することで、本人認証体験を向上させながらセキュリティも高められます。
分離認証に対応
分離認証とは、利用者が当初利用した本人認証とは別の方法で本人認証ができる仕組みです。 例えば、スマートフォンで本人認証を完了していれば、デスクトップコンピューターなど別のデバイスでの本人認証も可能になります。これにより、利用者はあらゆる端末からより気軽にECサイトで決済ができるようになります。
3RI(Three-Risk-Indicators)の導入
3RI(Three-Risk-Indicators)とは、分割配送や配送遅延など、1回の認証に対して複数回の取引認証が必要な場合、初回で本人認証が免除されていれば、2回目以降は加盟店や決済代行会社がイシュアー(ACS)に対して3RIのリクエストをすることで免除を維持できる仕組みのことです。利用者は都度決済対応を求められることがなくなるため、面倒な認証手続きも少なくなります。 ただし、免除を維持できる期限などが国際ブランドごとに異なるため、仕様を確認しておきましょう。
3Dセキュア2.3の登場(2019年)とその特徴
2019年にバージョンアップされた3Dセキュア2.3(EMV 3-Dセキュア2.3)では、認証がさらに効率化され、リスクがある取引と判断したときの認証プロセスも簡素化されています。 ここからは、EMV 3-Dセキュア2.3の特徴について詳しくご紹介します。
認証の効率化と簡素化が実現
EMV 3-Dセキュア2.3ではイシュアーと加盟店のデータ交換がさらに強化されたため、取引に関するリスクや決済をおこなう利用者をより適切に評価ができるようになりました。これにより、不要な認証ステップが省略されて利用者の決済がスムーズに承認されるようになりました。 また新しいデバイスからの取引、高額な取引、予期しない取引タイプなど、イシュアーがリスクが高いと判断した場合の認証プロセスも簡素化されました。さらに、Recurring transactions(定期的な取引)や月額サブスクリプション、会費、定期配送サービスの支払いなどにも3RIの仕組みを利用できるようになったため、初回の手続き以降に面倒な手続きをおこなう必要はありません。 その他、カード会社が会員向けに提供しているアプリなどで本人認証をするOOB(アウト・オブ・バウンド)認証を必要とする場合には、利用者が手動でおこなうプロセスを自動化します。 デバイスバインディングにより利用者は自分のデバイスを「記憶させる」ことができ、初回以降決済移行の認証をより迅速におこなえるようになりました。
FIDOベースのWebAuthnとSPCサポート
EMV 3-Dセキュア2.3では、EMVCo※1はW3C(World Wide Web Consortium)※2およびFIDO Alliance※3と連携して、カード発行会社と加盟店がEMV 3-Dセキュアフロー内で使用できるWebAuthn(Web認証)とSecure Payment Confirmation(SPC)※4をサポートする仕組みとなっています。これにより不正利用リスクは軽減し、取引の正当性をより適切に判断できるようになります。 ※1:Euro Pay、Mastercard、Visa protcolの3つの組織が作った団体。世界中で使用されるクレジットカードやデビットカード、その他カード決済の国際的な技術の標準を策定している。 ※2:Web技術の標準化をおこなう非営利団体 ※3:オンライン認証におけるセキュリティと利便性の両立を図りつつ、IDやパスワードに代わる新たな認証方法を提唱する非営利団体 ※4:WebAuthnを使って迅速かつシームレスに決済の認証をおこなう技術のこと
その他の特徴
これまでEMV 3-Dセキュアでの実装が難しかったEコマース支払いチャネルの他、スマートスピーカーやIoTといったデバイスにも、EMV 3-Dセキュアが簡単に実装できるようになりました。また、これまでよりも多くのケースでEMV 3-Dセキュアが実装できるようになったことで、CNP(非対面のカード払い)による不正利用リスクを軽減し、加盟店をチャージバックから保護する仕組みも強化されています。
3Dセキュアの今後
2024年初め、アメリカ・アリゾナ州フェニックスで、EMV仕様の進歩に関する技術的な意見交換がおこなわれました。そのなかに3Dセキュア2.0(EMV 3-Dセキュア)の今後が読み取れる箇所がありますのでご紹介します。重要なポイントは以下の3点です。 1. 高額取引を承認するためのパスキーの活用 パスキーは、フィッシングに強いFIDO認証情報で高速かつ信頼性の高い認証を実現するためにパスワードの代わりとして機能します。パスキーには、デバイス間で交換できないものと複数のデバイスで同期可能なものがあり、それぞれ異なるユースケースに適しています。 2. EMV 3-DセキュアのUX(ユーザーエクスペリエンス)を更新 EMVCoは、EMV 3-DセキュアのUI(ユーザーインターフェイス)UXパフォーマンスを強化することの必要性を認識しています。これまでの経験のもと、認証成功率を向上させる方法を把握するために、2023年度第二四半期に調査を実施。結果は2024年末、「EMV 3-Dセキュア UI/UXデザイン ガイドライン」を更新する際に利用されます。 3. オフラインでも認証が可能になる メールオーダーや電話オーダーといったMOTO取引でクレジットカード決済するときの本人認証や、高額な払戻しを受ける際の認証にも、EMV 3-Dセキュアの利用が議論されています。 今後も、FIDO AllianceやW3Cと協力をしながら、セキュリティや決済体験の向上を目指す取り組みは続いていくでしょう。 出典:Highlights from the EMVCo Phoenix Technical Meeting | EMVCo
結論
不正利用の急増を受け、経済産業省は2025年3月末までにEMV 3-Dセキュアの導入を義務化しました。そのためEC加盟店はEMV 3-Dセキュアの導入を計画的に進めなければなりません。 3Dセキュア2.0(EMV 3-Dセキュア)はバージョンアップを続けており、セキュリティや利便性は向上し続けています。スマートスピーカーやIoTなど、これまで実装が難しかった支払いチャネルにも対応できるため、動向を追っていくことで自身のビジネスチャンスにつながる可能性があります。 オンライン決済の動向に関する最新の情報は海外のほうが充実しています。決済代行会社を選ぶときは、海外展開の実績がある会社を選びましょう。
Adyenの3Dセキュアのご紹介
Adyenの3Dセキュア2.0(EMV 3-Dセキュア)は、機械学習を使用して毎回最も成功率が高い認証ルートを選択します。その結果、不正利用のリスクを低減すると同時に、コンバージョン率の向上にも寄与しています。 また、Adyenでは、3Dセキュア2.0(EMV 3-Dセキュア)に加え、不正利用検知などを組み合わせた安全性の高いオンライン決済サービスを提供しています。APIの活用など、EMV 3-Dセキュアを導入するうえで多様なオプションもご用意。PCI DSSに準拠し、多くの国のあらゆる事業規模、業態に対応してきた実績があるため、貴社に最も合った決済システムの提案が可能です。 将来的にEC決済の売上を拡大したい場合や、その他の販売チャネルや海外への展開を検討している場合は、Adyenの決済システムの活用をぜひご検討ください。
