クレジットカードの不正利用を防ぐ「3Dセキュア」とは？
利用イメージやメリットを解説

3Dセキュアとは、オンラインでより安全にクレジットカード決済を行うため、カード発行会社（イシュア）・EC加盟店・国際カードブランドが協力して行う本人認証サービスです。クレジットカードの国際的業界団体であるEMVCoが定めたもので、正式名称「EMV 3-D Secure」と呼ばれるサービスです。ECサイトで買い物する際、カード情報の入力後、決済完了前にパスワード認証を求められることがあります。これが3Dセキュアです。

旧バージョンの3Dセキュア1.0はすべての決済において必ずパスワード認証を行う仕様でしたが、新バージョンの3Dセキュア2.0はリスクベース認証の採用により、リスク判定の結果次第でパスワード認証を省略できるようになりました。まずは「3D」の意味やサービス内容など、3Dセキュアの概要を見てみましょう。

3DセキュアのDは「Domain（ドメイン）」を指し、以下の3つのドメイン（領域）が連携することを意味します。

・イシュアドメイン：カード発行会社（イシュア）とカード会員
・アクワイアラドメイン：加盟店管理会社（アクワイアラ）とEC加盟店
・インターオペラビリティ（相互運用）ドメイン：国際カードブランド（Visa・JCB・Mastercardなど）

3Dセキュアはこれら3つのドメインでカードの利用が本人によるものかを確認する手続きを定めており、オンラインクレジットカード決済時の本人認証を行っています。カード会員が3Dセキュアを利用するには、この3つのドメインがすべて3Dセキュアサービスに対応している必要があります。

3Dセキュアとは、対応カードによるオンラインクレジットカード決済時に、事前に設定したID・パスワードやワンタイムパスワードの入力を要求し、カード決済を行おうとしている人物が本人であるかどうかを確かめる本人認証サービスです。

3Dセキュアによる本人認証のないオンラインクレジットカード決済では、カード券面に記載されているカード番号や有効期限、セキュリティコードを入力して決済手続きを行います。しかし、この方法では決済しようとしている人物が本人かどうかわからず、クレジットカード情報やカード自体の盗難が不正利用に直結してしまうのがネックでした。

年々、クレジットカードの不正利用による被害は増加傾向です。一般社団法人日本クレジット協会の調査によると、クレジットカード不正利用被害額は2014年で114億5,000万円、2021年には330億1,000万円に達しています。

不正利用被害の内訳を見てみると、2014年から2021年までに「偽造カード被害額」は19億5,000万円から1億5,000万円に激減しました。一方で、「番号盗用被害額」は67億3,000万円から311億7,000円と約4.6倍にまで増えており、クレジットカード不正利用被害額の94.4%を占めるに至っています。

番号盗用の手口としては、正規メールやWebサイトを装うフィッシングやサーバーハッキングなどがありますが、たとえクレジットカード情報が不正に盗まれてしまったとしても、その情報を使った決済取引を未然に防ぐことができれば被害を最小限にとどめることができます。そこで重要な取組みが3Dセキュアの導入です。3Dセキュアは、不正利用リスクが高いと判定された取引においてカード名義人本人しか知り得ない情報を入力させることで本人認証を行うサービスで、番号盗用などによるクレジットカード不正利用のリスクを軽減します。

【参考】一般社団法人 日本クレジット協会「日本のクレジット統計 2021年版 」

3Dセキュアの最初の仕様は2001年に発表されました。旧バージョン（1.0）の利便性や安全性を向上させ、2016年に仕様公開された新バージョンが「3Dセキュア2.0」です。なお、3Dセキュア2.0と3Dセキュア1.0は異なる技術仕様となっており、互換性はありません。

3Dセキュア2.0の特長を、1.0と比較しながら見ていきます。3Dセキュア1.0はすべての決済においてパスワード認証を行うことで不正利用リスクを軽減していましたが、パスワード忘れや手続きの煩雑さにより決済を完結しないでカード会員が離脱してしまう、いわゆる「カゴ落ち」のリスクのため、なかなか普及が進まないという課題がありました。

新バージョンの3Dセキュア2.0では「リスクベース認証」を取り入れたことにより、前述した3Dセキュア1.0の課題が改善され、使い勝手が良くなっています。リスクベース認証とは、決済時にカード会員の接続デバイス情報や決済内容などからその取引のリスク度合いを自動的に判定する仕組みです。不正利用のリスクが低く本人である可能性が高いと判定されれば、カード会員はパスワードを入力する必要がありません。普段とは異なる決済行動など不正利用の可能性が高いと判定された場合のみ、事前設定したパスワードやワンタイムパスワードを用いて本人認証を行います。これにより、低リスクの場合はカード会員の購買フローを変えずに決済を行うことが可能となり、カゴ落ちリスクの軽減とセキュリティ強化の両方を実現しました。

2022年10月、経済産業省が主導する「クレジットカード決済システムのセキュリティ対策強化検討会」において、国内のすべてのEC加盟店に3Dセキュア2.0の導入を義務化する検討・提言が行われました。義務化の内容は、クレジット取引セキュリティ対策協議会が定める「クレジットカード・セキュリティガイドライン」に盛り込まれる見通しです。

同省は「2024年度末までに、原則すべてのEC加盟店への3Dセキュア2.0導入をめざす」と提言しており、クレジットカードの不正利用対策として3Dセキュア2.0が注目されていることがわかります。国内イシュアやEC加盟店への3Dセキュア2.0対応の要請は、以前にも増して強くなっており、3Dセキュア2.0の普及はより一層進むと見られています。

3Dセキュア2.0は以下の3種類のサーバーが連携して、オンラインクレジットカード決済における本人認証を実現しています。

・イシュアドメインのACS（Access Control Server/アクセスコントロールサーバー）
・アクワイアラドメインの3DS Server（3-D Secure Server/3Dセキュアサーバー）
・インターオペラビリティ（相互運用）ドメインのDS（Directory Server/ディレクトリサーバー）

カード会員が商品を購入しようとするECサイトでカード番号や有効期限など必要な情報を入力すると、EC加盟店の3DS Server（3Dセキュアサーバー）からDS（ディレクトリーサーバー）を経由してACS（アクセスコントロールサーバー）でリスク判定され、本人と認証されれば与信確認され決済が行われる流れです。不正利用のリスクがあると判定された場合には、カード会員とACS（アクセスコントロールサーバー）の間でワンタイムパスワードなどを用いた本人認証が追加で行われます。

3Dセキュア2.0を利用するには、3Dセキュア1.0と同様に、事前にカード発行会社の公式WebサイトにてID・パスワードなどを登録する必要があります。3Dセキュア2.0では、EC加盟店でクレジットカード情報を入力するとリスクベース認証が実行され、追加で本人認証を行うか行わないかを判定します。ここでは、カード会員が3Dセキュア2.0を利用する際の流れを見てみましょう。

3Dセキュア2.0を利用するには、まずお持ちのクレジットカードが3Dセキュア2.0に対応しているかを確認する必要があります。対応している場合、カード会員はカード発行会社の公式WebサイトからID・パスワードなど3Dセキュア認証に必要な情報を登録します。

3Dセキュア1.0ではID・パスワードを使った認証を行っておりましたが、3Dセキュア2.0では、パスワード漏洩などのリスクの観点よりID・パスワード認証は推奨しておらず、ワンタイムパスワードを送信する携帯電話番号やメールアドレスの登録を行うことが多くなっております。

サービス名はカード会社によって異なりますが、「○○本人認証サービス」といった表現が一般的です。登録の方法もカード会社ごとに多少違いますが、案内に従って登録を進めればそれほど難しい作業ではありません。

ID・パスワードといった情報を事前登録したら、EC加盟店で買い物をします。国際カードブランドごとの3Dセキュアサービス名は以下の通りです。

・Visa：Visa Secure
・JCB：J/Secure
・Mastercard：Mastercard ID Check
・AMEX：American Express SafeKey
・Diners：ProtectBuy
・UnionPay International（銀聯国際）：UnionPay 3-D Secure

これらのサービス名が表記されていれば、3Dセキュアを利用できるEC加盟店です。
（※一部サービス名表記のない加盟店もあります）

買い物カゴに希望の商品を入れたら、3Dセキュア2.0対応カードで決済します。カード番号や有効期限といった必要な情報を入力後、不正利用の疑いがあると判定されると3Dセキュア認証画面が表示され、パスワードを求められます。（1）で事前に登録したパスワードやワンタイムパスワードを入力すれば、決済は完了です。

リスクベース認証により不正利用の可能性が低いと判定された場合には、3Dセキュア認証画面は表示されず、自動的にパスワード入力が省略されます。不正利用の疑いが低い場合には3Dセキュアを利用しない決済と変わらないフローになるため、カード会員が3Dセキュアによる本人認証を意識することはなく、ユーザビリティとセキュリティの両方を兼ね備えた本人認証の仕組みとなっています。

3Dセキュア2.0は、3Dセキュア1.0よりもさらに利便性と安全性が向上しています。加盟店側の主なメリットは、リスクベース認証の採用によるカゴ落ちリスクの軽減やワンタイムパスワードによる不正利用リスクの軽減が挙げられます。またカード会員にとっても不正利用の防止はもちろん、さまざまなメリットがあります。ここでは、3Dセキュア1.0と比較した3Dセキュア2.0のメリットを解説します。

3Dセキュア1.0は全取引に事前設定したパスワードを入力する必要がありました。一方、3Dセキュア2.0では、なりすましの恐れがあると判定された場合のみ、事前登録したパスワードやワンタイムパスワードによる追加認証が必要となります。これにより EC加盟店は、3Dセキュア1.0の課題となっていたパスワード忘れや決済ステップの煩雑化によるカゴ落ちリスクを軽減できるようになりました。

3Dセキュア1.0は事前登録した固定パスワードで本人認証を行いますが、3Dセキュア2.0は固定パスワードだけでなくワンタイムパスワードや生体認証による本人認証に対応しています。固定パスワードの場合、パスワード忘れやパスワード漏洩がリスクとなりますが、ワンタイムパスワードの場合、必要な時に都度パスワードが発行される形となるため、EC加盟店は販売機会損失を減らしながら同時にセキュリティ強化を実現することができます。

3Dセキュア1.0は国際カードブランド各社がライアビリティシフトを2022年10月に終了し、サービスが終了しています。ライアビリティシフトとは、チャージバック（※1）が起きた際にカード発行会社が代金を補償する制度です。

3Dセキュア1.0が終了となったことにより、3Dセキュア2.0に対応していないEC加盟店は今後、クレジットカードの不正利用による売り上げの取り消しやカード会員に対する返金が発生しても、カード発行会社がその費用を補填してくれなくなりました。また、販売した商品は戻ってこないことが多く、EC加盟店が受けるダメージは大きなものとなります。新バージョンである3Dセキュア2.0に対応することで、仮にチャージバックが発生しても、EC加盟店の負担になることを回避できます。

3Dセキュア1.0はブラウザ取引のみの対応でしたが、3Dセキュア2.0はモバイルアプリにも対応しています。さらに、デバイス認証と生体認証の組み合わせによるセキュリティ向上が可能です。モバイルアプリ内の決済に対応することで、EC加盟店は安全な販売チャネルを拡大することができます。

EC加盟店側のメリットを説明してきましたが、3Dセキュア2.0はカード会員にとってもさまざまなメリットがあります。リスクベース認証により追加認証が必要な取引は不正利用のリスクがあると判定された場合のみになっていることで、3Dセキュア1.0と比べて入力負荷やストレスの少ない決済が可能です。リスクがあると判定され追加認証が必要となっても、記憶に依存しないワンタイムパスワードや生体認証が利用できれば、パスワード漏洩による不正利用リスクを抑えることもできます。

またモバイルアプリ内の決済やモバイルウォレットのクレジットカード登録にも対応したため、より幅広いシーンで安心してクレジットカードを利用できるようになったこともメリットと言えるでしょう。

DNPは国内カード発行会社（イシュア）向けに「3Dセキュア2.0 　本人認証サービス」を提供しています。大手カード発行会社や銀行で多くの導入実績があり、高精度なリスクベース認証や複数カード会社間での不正利用情報の共有が強みです。DNP「3Dセキュア2.0 　本人認証サービス」の魅力を紹介します。

今までご説明してきた通り、3Dセキュア2.0から新たにリスクベース認証が取り入れられ、不正利用のリスク度合いを判定し、追加の本人認証が必要か必要でないかを決めています。DNPが提供する「3Dセキュア2.0 　本人認証サービス」では、カード会員の接続デバイスや決済内容などの要素からリスク値を計算し、高精度なリスクベース認証を行っています。

リスクベース認証のルールやスコアの算出の仕方は、ご要望に応じて設定することができます。例えば、高額な決済が多く不正利用をできるだけ抑えたい場合には、判定を厳しく設定して不正利用を検知しやすくすることもできますし、何よりもカゴ落ちのリスクを減らしたい場合には、緩めに設定することでスムーズな決済を実現することも可能です。重視するポイントや実際の運用を見ながら、最適な設定をお手伝いしております。

DNPは、不正取引に関わる情報を複数のカード発行会社間で共同活用し、セキュリティ強化につなげています。あるカード発行会社で発生した不正アクセス情報をほかのカード発行会社にも共有することで、同様のアクセスがあった場合に不正検知のアラートを高めることができます。このような不正利用情報の共有化は、3Dセキュア2.0のEC加盟店への導入義務化が提言された検討会でも有効な対策であると明言されており、カードベンダーとして長年の実績があるDNPならではの強みです。

検知した不正情報をカード発行会社間で共有することで、高度な不正検知を実現し、なりすましなどによるカード不正利用を防止することはもちろん、少ない負荷でセキュリティ機能を強化することをめざしています。

【ニュースリリース】オンライン決済の不正利用情報を企業間で共同活用する取り組みを推進

日常的にECサイトで買い物をする人は増加しており、総務省が発表した通信利用動向調査（2021年版）によると、インターネットで購入する際の決済方法は約8割がクレジットカード払いを利用しています。クレジットカードの不正利用被害は拡大を続けており、安心・安全にクレジットカード決済を行えるようにすることは必要不可欠です。

3Dセキュアはオンラインでより安全にクレジットカード決済を行うための本人認証サービスです。政府は2025年を目途に国内すべてのEC加盟店へ3Dセキュア2.0の導入義務化を検討していることもあり、今後ますます3Dセキュア2.0は私たちの生活に身近なサービスとなるでしょう。

3Dセキュア2.0導入の大きなメリットは、ECサイトなど非対面でのクレジットカード決済の安全性を高め、不正利用を防ぐことです。リスクベース認証により、不正度合いを判定しリスクが高い場合にのみ追加の本人認証を要求することで、セキュリティを担保しながらユーザビリティを維持することを可能にしました。また、追加認証で用いるパスワードには事前に登録した固定パスワードだけではなく、ワンタイムパスワードが利用できるようになり、パスワード忘れや漏洩のリスクを減らしています。

DNPはカード発行会社（イシュア）向けの「3Dセキュア2.0 　本人認証サービス」を提供しています。長年カード製造・発行に携わってきたDNPならではの強みを活かし、最適なサービス構築をサポートしています。不正利用を未然に防ぐにはどのような対策・検知が有効かなど、新しいサービスの検討にも積極的に取り組んでおります。3Dセキュア2.0への対応をお考えであれば、高精度なリスクベース認証が導入できるDNPにご相談ください。

この製品・サービスへのお問合わせ(URL別ウィンドウで開く)