Knowledge Hub

記事

3Dセキュア必須化後の最新動向:日本のEコマースへの影響と対策とは?

高まるセキュリティと、低下するコンバージョン率。この課題に取り組むEC事業者・決済担当者の皆様に必見の情報です。

2025年6月2日
 ·  7 分

「2025年3月末まで」。日本のEC加盟店の3Dセキュア2.0(EMV 3-Dセキュア)の導入に関して、「クレジットカード・セキュリティガイドライン」に記述され、多くの企業が対応をしています。このブログでは、必須化に至った背景から今後の展望まで、以下のチャプターに分けて解説していきます。

目次

  • これまでの背景

  • 実装状況

  • 実装効果

  • 日本での影響

  • リスクベース認証

  • 推奨される対策

  • 今後の展望

これまでの背景

クレジット取引セキュリティ対策協議会が策定している、「クレジットカード・セキュリティガイドライン」(以下「ガイドライン」)。2024年春には、「2025年3月末まで」という導入期限が明示され、原則、全てのEC加盟店に3Dセキュア2.0(EMV 3-Dセキュア)の導入が求められることになりました。

なお、日本国内でのクレジットカード不正利用被害額は年々増加しており、日本クレジット協会によると2024年の被害額は555億円、前年比2.6%増に。特にECでの被害は深刻で、被害額の92.5%がインターネット取引における「番号盗用」によるものでした。

「3Dセキュア2.0」について、ここで少し説明を加えます。本ブログでは、「3Dセキュア2.0」は「EMV 3-Dセキュア」を示します。これは、国際的なカード標準化団体であるEMVCo(Visa、Mastercard、JCBなどが共同出資)によって開発され、主要な国際ブランドによってサポートされている認証プロトコルです。その仕組みついては、こちらの記事にまとめています。

実装状況

3Dセキュア2.0必須化が発表されて以来、3Dセキュア2.0の導入は大幅に進みました。下のグラフが示すように、2023年初旬から現在(2025年5月)までのAdyenの日本での3Dセキュア2.0取引件数は大幅に増え、全体的な成功率は15%増加しています。

成功率の向上は、イシュアー側で3Dセキュア2.0の導入が進んだことや、クレジットカードの利用者(買い物客)への理解促進が進んだことが、大きく貢献しています。また、現在では、より適切な認証手段が使われるようになっており、利用者が煩わしさを感じない「フリクションレス認証」の通過率や、「チャレンジ(追加認証)」の完了率も向上しています。

なお、Adyenのすべての加盟店は、ガイドラインの新要件(2025年4月1日施行)に先立って、すでに3Dセキュア2.0を導入済みです。これは、当社の認証エンジン「Authenticate」をご利用することで、3Dセキュア2.0への対応や規制市場におけるコンプライアンス処理が自動的にサポートされる仕組みになっているためです。

また、Adyenでは、日本市場に特化した最適化を加え、認証エンジンを強化しています。これにより、認証の成功率が大きく向上し、最大で3%改善しています。

Adyenの認証エンジンは、加盟店の皆様に代わって、各国・各地域の強固な本人認証(SCA)規制への対応を担うことを基本方針としています。欧州をはじめとする規制の厳しい市場での経験から、セキュリティと利便性のバランスを保ちながら、法令順守を実現することが極めて重要であると私たちは考えています。そして日本においても、ガイドラインへの対応が求められる中、加盟店側での追加対応なしに、全加盟店が要件を満たすことができる仕組みを整えています。

実装効果

欧州では、PSD2(決済サービス指令2)導入後、強固な顧客認証(SCA)を実施した取引における不正発生率が大幅に減少しています。SCAを適用した取引の不正率は、適用していない取引と比べて70〜80%も低くなったというデータもあります。

3Dセキュア2.0の導入には、ライアビリティシフト(チャージバックに関する責任の移転)といったメリットもあり、加盟店側の金銭的リスクを軽減する効果があります。

また、3Dセキュア2.0の導入はコンバージョン率を高めることにもつながります。これは、本人認証が成功すれば、イシュアーは利用者の本人性を確認できるため、決済承認時の拒否率が大幅に低下するためです。

なお、3Dセキュア2.0が普及している欧州のような市場でのAdyenのトランザクションは、フリクションレスまたはチャレンジで正常に認証された場合、認証されていない場合よりもトランザクションが承認される可能性が最大3%高くなっています。

一方で、3Dセキュア2.0の導入には、いくつかのトレードオフがあることも事実です。特に、認証ステップが追加されることによりユーザー体験にフリクションが生じ、購入手続きが途中で放棄される、いわゆる「カート放棄(カゴ落ち)」のリスクが高まることがあります。

こうしたカゴ落ちは、以下のような複数の要因に起因すると考えられます:

  • 利用者が3Dセキュア2.0の事前設定を済ませておらず、イシュアーにより取引が拒否されるケース

    • オンラインでカードを使う前に、イシュアーから本人確認のための事前設定を求められることがあります。たとえば、SMSによるワンタイムパスワード(OTP)のための携帯電話番号の登録や、生体認証情報の登録などです。こうした事前登録を済ませていない場合、本人認証が実行できず、イシュアー側で取引が拒否されることになります。

  • 3Dセキュア2.0のチャレンジ画面で離脱が発生するケース

    • チャレンジフロー(追加認証)が表示された際、利用者が認証を完了できずに離脱してしまうケースは非常に多く見られます。原因は複数あります:

      • 利用者が不正利用犯である この場合、3Dセキュア2.0は正しく機能しており、不正取引を防止できています。

      • 正規のカード会員がチャレンジを完了できない 利用者本人であっても、認証手順を嫌がる、あるいはその場で対応できないなどの理由で、認証を完了できないことがあります。

      • テクニカルエラー 加盟店側とイシュアー側のシステム間の接続エラーなどにより、利用者が本人確認を正常に完了できなくなるケースです。

さらに、3Dセキュア2.0を利用することで、イシュアーには利用者に関するより多くのデータが共有されるため、取引ごとのリスクレベルをより詳細に判断できるようになります。ただし、送信されたデータに「リスクの兆候」が含まれている場合、取引が拒否される可能性が高くなる点にも注意が必要です。つまり、利用者に関する正確なデータを送信することの重要性がより一層高まっているのです。

日本での影響

2025年4月1日以降、日本市場ではコンバージョン率のわずかな低下が見られます。このトランザクション成功率の低下は、3Dセキュア2.0の適用が増加した直接的な影響と言えるでしょう。

Adyenのプラットフォーム全体で見ると、日本国内でのクレジットカードによる本人発信取引において、4月1日以前と比べて、1回目の決済処理ベースでのコンバージョン率(=総成功率)が約1.6ポイント低下していることが確認されています。

ただし、利用者が同じカードで再試行した取引も含めた注文ベースの最終的な成功率(=純成功率)では、低下幅は約0.8ポイントにとどまっています。

3Dセキュア2.0必須化によりコンバージョン率が低下した主な要因として、日本市場における以下の3つの傾向が挙げられます:

① 利用者がカードの3Dセキュア2.0の設定を完了していない

3Dセキュア2.0取引の約3%が、イシュアーによって拒否されており、その主な原因はオンライン利用のための事前設定がされていないカードであると考えられます。

日本では、多くの発行会社が3Dセキュアの本人確認手段としてSMSによるOTPを採用しています。 イシュアーによって対応は異なり、携帯電話番号が登録済みであれば自動的に3Dセキュア2.0へ登録される場合もあれば、事前にクレジットカードの利用者自身が銀行のウェブサイトやアプリ上で電話番号の確認や登録を行わないと、認証が完了できない場合もあります。

② イシュアーが非常に慎重なリスク管理姿勢をとっている

日本市場では、イシュアーが他市場と比べて非常に慎重なリスク管理姿勢をとっており、3Dセキュア2.0の取引全体のうち、不正関連の理由で拒否されている割合が4%を超えていることが確認されています。

日本のイシュアーは、加盟店に対して「高リスク」と見なす基準が非常に厳しく設定されています。たとえば、過去3か月間に毎月継続して合計50万円以上の不正取引が発生していると、加盟店が「高不正リスク」と分類されるケースがあります。

高単価商材を扱う業種(例:ラグジュアリー、旅行、ハイエンド家電など)では、たった1件の不正取引でこの基準を満たしてしまう可能性があり、結果としてイシュアー側のリスク許容度が低くなり、決済拒否が増加する傾向があります。

また、興味深いことに、認証が成功しているにもかかわらず、承認時に「不正の疑い(Suspected Fraud)」として取引を拒否されるケースも観察されています。 この矛盾した動きの背景としては、次のような技術的・運用的な要因が考えられます:

  • イシュアーの認証システムと承認システムが別々に運用されている

  • 「Suspected Fraud」の拒否は多くの場合、日本エラーコードの「G12」に分類されており、これは信用枠の問題や不正検知システムの反応を示すことがあります。

③ 加盟店側に技術的な課題がある

日本国内では、ほぼすべての加盟店が3Dセキュア2.0の実装を完了していますが、一部の加盟店において、3Dセキュア2.0の認証フロー処理中に技術的な不具合が発生しているケースが確認されています。

3Dセキュア2.0の認証フローは、デバイスフィンガープリント(利用者の端末情報の取得)やチャレンジフローなど、加盟店側のシステムとイシュアー側の環境が通信を行う複数のステップで構成されています。これらのステップにおいて接続エラーなどの技術的問題が発生しており、結果として、3Dセキュア2.0取引全体のうち約2%に該当する割合で不具合が発生しています。

3DS, a protected card.

今回の新たな規制の主な目的は、EC加盟店における不正利用対策の強化ですので、不正利用率の推移は注視すべき重要な指標です。

現時点での速報的な評価では、3Dセキュア2.0が必須となる取引において、不正利用の報告件数が最大で75%減少していることが確認されています。この大幅な減少は、ヨーロッパでPSD2が施行された際に見られた傾向と類似しています。

この改善は、3Dセキュア2.0の利用拡大が主な要因と考えられます。ただし、今後の動向には注意が必要です。不正利用やチャージバックに関するデータは報告が遅れる傾向があり、最終的な評価には3か月程度のタイムラグが生じる可能性があります。

リスクベース認証

ガイドラインでは、3Dセキュア2.0の適用がほとんどすべての取引に求められていますが、一方で「過去に本人認証された保存済みカード情報を使った取引」において、その取引が「低リスク」と判断される場合には、3Dセキュア2.0の適用を任意とすることが認められています(いわゆる「パターン2」の例外適用)。ここで役立つのが、リスクベース認証です。

リスクベース認証とは?

リスクベース認証(RBA)とは、リスクが高い取引のみ本人認証を実行する仕組みです。Adyenの単一プラットフォームとAdyen Upliftにより、日本市場では3Dセキュアを一律で適用する必要はなくなり、リスクベース認証によって柔軟に対応できます。

どのように機能するのか?

前述した「パターン 2 」に該当する取引、つまり同一カードでの2回目以降の取引に対して、3Dセキュア2.0はリスク評価に基づいて選択的に適用されます。

Adyenのプラットフォームが保有する数十億件に及ぶデータポイントを活用することで、各取引のリスクレベルを高精度に判断し、3Dセキュア2.0を実施すべきかどうかを最適に判断しています。

導入するメリットは?

欧州でのPSD2の運用経験から分かったことは、例外適用(Exemptions)が「セキュリティ」と「ユーザーの利便性」のバランスを取るうえで非常に重要な役割を果たすということです。 適切な例外適用によって、フリクション(利用者にとっての手間)を最小限に抑え、スムーズなチェックアウト体験を提供できます。ただし、例外適用は、チャージバックのリスクとバランスを取ることも重要になります。

リスクベース認証により、加盟店は、「セキュリティ要件を満たしつつ」「不正利用を抑えて」「顧客の離脱を防ぎ、コンバージョン(購入完了率)を向上させる」という、3つの成果を同時に実現することが可能になります。

リスクベース認証の効果を示す代表的な事例が Wolt(日本でも急成長している食料品や日用品などを扱う地域密着型のデリバリープラットフォーム)です。Woltでは、リスクベース認証を活用しつつ3Dセキュアを戦略的に適用することで、リピーター顧客のコンバージョン率を5%以上向上させました。このようなスマートな運用により、既存顧客にとっての決済フローの負担を最小限に抑え、スムーズな注文体験を提供できています。

推奨される対策

日本国内での新しいガイドラインの施行と、3Dセキュア2.0の利用拡大を踏まえ、加盟店の皆様には決済成功率を高く維持するために、以下の対策を推奨いたします:

リスクベース認証の活用

加盟店がCard-On-File(保存済みカード情報を用いた取引)を取り扱っている場合、当社の「Tokenize」および「Authenticate」を利用することで、リスクベース認証の機能を自動的に有効化することが可能です。これは、当社が単一のプラットフォームで決済の全体プロセス(フルファネル)を制御していることによるものです。

現在日本国内には、リスクベース認証を導入することで大きなメリットを得られるにもかかわらず、「すべての取引で常に3Dセキュア2.0を要求する」という既存の運用方針により、それを活用できていない加盟店が多数存在しています。

特にCard-On-File取引においては、3Dセキュア2.0の一律適用ではなく、当社のリスクベース認証によるリスク判断に基づいた柔軟な運用を行うことで、

  • ガイドライン準拠(コンプライアンス)

  • 不正対策(セキュリティ)

  • スムーズな購入体験(顧客利便性)

をバランス良く実現することが可能です。ぜひ、Adyenのテクノロジーをご活用ください。

利用者向け案内メッセージの実装

日本のイシュアーから返されるエラーコードは、アクワイアラー経由のエラー応答よりも、詳細な理由を示していることが多くあります。

Adyenでは、こうした日本国内のイシュアーからのエラーコードを加盟店に共有するとともに、それに応じた「利用者向け案内(ショッパーアドバイス)」も提供しています。これにより、具体的な対処方法を提示でき、決済拒否のリスクを軽減することが可能です。

これらのエラーコードは、3Dセキュア2.0による拒否も新たにカバーするよう更新されています。

たとえば、利用者に「イシュアーに連絡して3Dセキュアを有効化するよう促す」ような案内を表示することで、利用者が自身のカードを3Dセキュア2.0対応に切り替えたり、再試行時にイシュアー側が承認する可能性が高まります。

インテグレーションの見直し

Adyenでは、日本の3Dセキュア2.0必須化に対応するロジックを構築しており、「Authenticate」を利用している加盟店であれば、追加開発不要でそのまま利用することが可能です。

ただし、以下の2点については、既存のインテグレーションの見直しを強く推奨いたします:

1. 技術的エラーの防止

3Dセキュア2.0の認証フローでは、さまざまな種類のレスポンスが発生します。各ステップですべての3Dセキュア2.0関連の応答に正しく対応できるよう、システム側での処理が整っているかをご確認ください。

2. データ品質の最適化

3Dセキュア2.0は、データ量の多いメッセージであり、イシュアーは特定のフィールド(例:配送先住所、メールアドレス、デバイス情報など)をリスク指標として活用します。そのため、正確で一意性があり、必要な項目がすべて埋まったデータを送信しているか、当社のドキュメントに沿ってご確認ください。

今後の展望

この新しい規制は、まだ施行されたばかりであり、不正利用への影響もこれから徐々に明らかになっていく段階です。

その中でAdyenは、主要なステークホルダー(イシュアー、国際ブランド、規制当局など)との緊密な連携を継続します。また、現場で得られた知見をもとに、改善が必要な点をフィードバックしながら、セキュリティと利便性の両立、ガイドライン遵守を実現できるよう、エコシステム全体の最適化に取り組んでまいります。

お問い合わせはお気軽に

記事の内容や、Adyenの製品について。より詳しくお知りになりたい場合は、お気軽にお問い合わせください。

導入について相談する

記事業界インサイト決済パフォーマンス

最新の情報を直接お届け