2019年9月14日、欧州でオンライン決済を処理する事業者には、強固な本人認証（SCA）が義務付けられました。これらの要件は、改正決済サービス指令（PSD2）の一部でした。

この記事では、SCAに準拠するために必要なことを説明します。SCAとは何か、どのような取引が免除されるのか、あるいは対象外となるのか、そしてSCAがあなたのビジネスにどのように適用されるのかを説明します。

強固な本人認証（SCA）の目的とは？

SCAは、オンライン決済の安全性を高め、不正利用行為のリスクを低減するために導入された欧州の要件です。この要件は、欧州経済地域（EEA）、モナコ、および英国で行われるオンライン決済に適用されます。

つまり、SCAは、ヨーロッパの買い物客がオンラインで支払いをする際に、追加の認証レベルを必要とすることを意味します。

これらの認証レベルでは、お客様が知っていること、所有していること、彼らの存在の3つのうち2つを尋ねます。

これらのカテゴリーにどのような情報が含まれているかは、下の画像でご確認いただけます。

SCAが普及する前、発行銀行は顧客に1つの固定パスワードを要求することしかできませんでした。これらの新しいダイナミックなデータポイントは、ユーザーのアイデンティティをより正確に検証します。

SCAの詳細とPSD2にいかにフィットするかについてこのビデオサマリーでご覧ください：

強固な本人認証（SCA）の一例

SCAでは、従来の「知っているもの」（パスワードなど）ではなく、より多くの方法で買い物客を認証することができます。少なくとも2つの異なるカテゴリーのデータであれば、他のデータポイントを組み合わせることができるようになりました。

例：

顔認証や指紋（顧客の存在）とスマートフォン（顧客の所有物）の組み合わせ
個人的なパスワード（顧客が知っていること）を使って、スマートフォン（顧客の所有物）に送られるコード

SCAの例：指紋またはアカウントログインするスマートフォンに送信された一度限りの認証コードの組み合わせ

本人認証の強化が求められているにもかかわらず、選択できるデータポイントが増えています。これにより、お客様が支払いの認証をしやすくなり、結果的にドロップオフの減少につながるはずです。

主要な日付：「強固な本人認証（SCA）」が施行されたのはいつですか？

PSD2の一部である強力な強固な本人認証（SCA）の要件は、2019年9月14日に正式に導入されました。その後、欧州銀行監督局は、業界の準備不足を理由に、この期限を2020年12月31日まで延長しました。

現在までに、すべてのEEA諸国がPSD2のSCA要件を実施しています。英国では、最終的な実施日が2022年3月14日まで延期されました。

PSD2が完全に施行されてから、EEA内のすべてのマーチャントはSCAに対応する必要があります。

強固な本人認証（SCA）は実際にはどのように機能するのでしょうか？

SCAの導入は、支払い方法によって異なります。

クレジットとデビットカードについては、通常3Dセキュアが適用されます。電子ウォレットやその他の現地決済手段では、SCAに準拠した独自の認証ステップが用意されていることが多くなります。下記からこれらの2つの種類の詳細をご覧ください。

「３Dセキュア」によるSCA要件への準拠

3Dセキュアというプロトコルは、お客様の身元を確認するための追加の認証レイヤーを提供します。欧州のほとんどのデビットカードおよびクレジットカード会社でサポートされています。

お客様がSCAステップを完了すると、不正なチャージバックの責任は企業ではなく発行銀行が負うことになります。

3Dセキュア2(3DS2)は、3Dセキュア1(3DS1)に比べて、より使いやすい操作性を実現しています。それぞれのバージョンはSCAに対応していますが、3Dセキュア1と3Dセキュア2の両方に対応することをお勧めします。

「現地決済手段と電子ウォレット」によるSCA要件への準拠

3Dセキュアとは別に、現地決済手段やモバイルウォレットを使ってSCAの要件を満たすようにすることもできます。これらは、特定の市場やユースケースにおいて、コンバージョン率を高めるという利点もあります。

EEAでは、現地決済手段がうまく機能していることがわかります。

ベルギーのBancontact Mobile
オランダのiDEAL
ノルウェー、スウェーデン、デンマーク、フィンランドのMobilePay、Vipps、Swish
オーストリアのEPS
ポーランドのBlik
ポルトガルのMBWay

Apple PayやGoogle Pay™などの国際的な電子ウォレットも、新しいSCAの要件を満たすチェックアウトフローを提供しています。詳細については、当社のSCA参考資料ページをご覧ください。

強固な本人認証（SCA）はいつ適用されますか？

SCAはヨーロッパのオンライン決済に必要です。つまり、事業者とカード保有者の銀行の両方がヨーロッパにあるということです。また、インドなど、SCAを要件として導入する地域も増えてきています。

しかし、SCAが適用されない、あるいはPSD2のSCA範囲外の取引もあります。以下では、このようなケースに該当する具体的な取引を幅広く紹介しています。

強固な本人認証（SCA）：免除・対象外の取引

SCAの適用除外は、特定の支払いシナリオにおいて、カスタマージャーニーを摩擦のない状態に保つことを目的としています。対象外の取引はPSD2義務化の対象外であり、SCAを必要としません。

以下は、最も関連性の高い免除または対象外となる取引のリストです。

なお、御社や御社のアクワイアが免責を申請し、その申請が発行者によって受理された場合、御社が責任を負うことになります。イシュアが免除を適用した場合、責任は発行者に移ります。

強固な本人認証（SCA）の免除

低価格取引 - トランザクションリスク分析（TRA）

不正行為のレベルが一定のしきい値以下のアクワイアラまたはイシュアを介した取引。

Adyenのような特定のアクワイアラは、TRAの要件を満たすために、「対象となる」取引ごとにリスクを検討しています。アクワイアラが取引のリスクが低いと判断した場合は、「TRA免除」を申請してSCAを回避することができます。

しかし、これはアクワイアラやイシュアの不正率が以下のしきい値を下回っている場合のみ可能です:

0～100ユーロまでの金額の場合、0.13％
100～250ユーロまでの金額の場合、0.06％
250～500ユーロまでの金額の場合、0.01％

最終的には、イシュアはこの免除申請を受け入れるか、SCAを引き続き実施するかを決定します。

低価格取引

同一カードでの30ユーロ以下の取引および100ユーロ以上の累積支払額。

30ユーロ以下の取引はSCAが免除されます。しかし、発行銀行はこの免除を利用して何回支払いが行われたかを記録します。

カードの利用金額が100ユーロ以上の場合、および5回の利用ごとにSCAが必要となります。

信頼できる受益者

カード会員が選んだ特定の信頼できる加盟店。

お客様は、「信頼できる受益者」のホワイトリストに企業を割り当てることができます。このリストは彼らの銀行によって維持されています。ホワイトリストに登録された加盟店は、取引額にかかわらず、SCAの適用を受けることができます。

これにより、一般のお客様は、ホワイトリストに登録した企業との間でSCAをほぼ省略することができます。

定期的な取引

初回支払い後の定期的な固定金額の取引。

定期的に行われる固定金額の取引は、2回目以降の取引から免除されます。初期の取引のみSCAが必要です。ですが、取引額が変更になると、新しい金額に対してSCAが必要となります。

また、これらのタイプの支払いを、PSD2 SCA要件の対象外であるマーチャントイニティエテッドトランザクション（MIT）としてフラグを立てることもできます。下記でMITの詳細についてご覧ください。

B2Bトランザクション

企業間決済。

2つの企業間で行われる支払いは、SCAの対象外とすることができます。しかし、これは支払い方法が、このようなB2Bの支払いを行うための専用の決済手段である場合にのみ可能です。

強固な本人認証(SCA)の対象外の取引

MOTOトランザクション

電話やメール経由の決済。

メール注文や電話注文（MOTO）は、あらゆる場合においてSCAが免除されます。MOTOトランザクションは「電子」決済として考慮されないため、対象外となります。

マーチャントイニシエティッドトランザクションズ（MITｓ）

顧客の直接関与なしの取引

マーチャントイニシエティッドトランザクションズ（MITｓ）は顧客に直接関与しない取引です。支払いは、事前に顧客の同意を得た上で、予約した日に保存されたカードから行われます。

例えば、エネルギー契約のように、使用量に応じてコストが変動する商品もあります。最初の支払い、つまりカードを初めて保存したときには、必ず認証が必要です。しかし、以下の支払いは、「マーチャントイニシエティッドトランザクション」と表示されていれば、SCAをスキップすることができます。

地域間取引

欧州以外の事業または顧客に関わる支払い

地域間取引とは、ワンレッグ取引とも呼ばれ、カードの発行者または取得者がEEA、モナコ、英国に拠点を置いていない場合の支払いです。

このようなタイプの取引も対象外となります。これにより、欧州の企業はPSD2のSCA要件なしに欧州以外の消費者からの支払いを受け入れることができます。

強固な本人認証（SCA）免除・適用除外となる取引の全リスト

銀行、スキーム、規制当局の解釈に大きく左右される多くの免除や適用範囲外のシナリオ。

PSD2の下での強力な本人認証（SCA）と安全な通信に関する規制当局の公式技術基準には、すべての免除事項のリストが掲載されています。

強固な本人認証（SCA）に準拠していない場合はどうなるのですか？

PSD2のSCA規制は銀行向けであり、マーチャント向けではありません。.非準拠の取引を承認した銀行は、自国の法律に違反していることになります。

マーチャントにとってのリスクは、銀行がお客様の取引を拒否することであり、オーソリゼーションレートの低下を招きます。

AdyenとSCAコンプライアンスを確保する方法

Adyenでは、PSD2 SCA対応を弊社の認証エンジンで行うこともできますし、お客様自身で管理することもできます。

Adyen Authentication Engineを使えば、対象外の取引や除外事項があっても、3Dセキュアが発動することはありません。また、発行銀行が3Dセキュアを実施していない場合は、3Dセキュアをスキップします。

PSD2 SCAコンプライアンスを自分で管理したい場合、Adyenは2つのオプションを提供しています。いずれかを行うことができます。

・Adyen Dynamic3Dセキュアによるルールの設定
・APIリクエストで設定を指定

これらのオプションの実装方法の詳細については、SCAコンプライアンス文書ページをご覧ください。

詳細をお知りになりたいですか？

AdyenがどのようにあなたのビジネスをSCAコンプライアンスでサポートするかをご覧ください。

当社の営業部にお問合せください

PSD2に基づく強固な顧客認証（SCA）の要件と準拠の仕方とは