3Dセキュアを導入するには？
カード会社・加盟店・カード会員に必要な準備を解説

3Dセキュアは、オンラインクレジットカード決済の安全性を高めることを目的に、クレジットカードに関する世界的な業界標準認定機関EMVCoが推奨している本人認証サービスです。EMVCoとは、Visa、Mastercard、JCBなどの国際カードブランドにより構成されている機関で、クレジットカードや二次元バーコードなど決済に関わる標準仕様を定めるほか、その認定機関としての役割を担っています。EMVCoはクレジットカード情報の漏洩と不正利用の防止に取り組んでおり、その一環として3Dセキュアの普及を促進しています。

3Dセキュアを導入しているECサイトやモバイルアプリでは、クレジットカードで決済する際、カード券面情報を入力した後、決済完了する前に、第三者による不正利用でないかどうかの確認を行います。取引内容やアクセスデバイス情報などをもとにリスク度合いを判定し、不正利用のリスクが高ければワンタイムパスワードなどによる追加認証を求め、より安全な非対面決済を実現します。

3DセキュアのDは「Domain（ドメイン）」のことで、「3つのドメイン（領域）」が連携する本人認証サービスであることを意味しています。

3つのドメインとは以下となります。
・イシュアドメイン：カード発行会社（イシュア）とカード会員
・アクワイアラドメイン：加盟店管理会社（アクワイアラ）とEC加盟店
・インターオペラビリティ（相互運用）ドメイン：国際カードブランド（Visa・JCB・Mastercardなど）

3Dセキュアを利用するには、これら3つのドメインがすべて3Dセキュアを導入していなければなりません。代表的なカード発行会社や国際カードブランドは3Dセキュアにすでに対応済みであることがほとんどです。EC加盟店については、決済を途中で止めてしまうカゴ落ちリスクの懸念から導入がなかなか進んでおらず、これを解消するために3Dセキュア2.0へのバージョンアップが行われました。また、すべての国内EC加盟店への3Dセキュア導入義務化が検討されていることもあり、EC加盟店における3Dセキュア導入が一気に加速することが予想されます。

各社が導入している3Dセキュアのサービス名は、カード発行会社や国際カードブランドによって表現が異なります。国際カードブランドの3Dセキュアサービス名は以下の通りです。3Dセキュアを導入しているEC加盟店は、これら国際カードブランドのサービス名をサイト内に記載しています。
【例】
・Visa：Visa Secure
・JCB：J/Secure
・Mastercard：Mastercard ID Check
・AMEX：American Express SafeKey

また、カード発行会社の3Dセキュアサービス名は「本人認証サービス」という表現が一般的です。
【例】
・NICOSカード：本人認証サービス
・三井住友カード：本人認証サービス
・セゾンカード：本人認証サービス

2016年に仕様公開された新バージョンの3Dセキュア2.0は、旧バージョンの3Dセキュア1.0よりも利便性や安全性が向上しています。

一番大きな変更は「リスクベース認証」の採用です。クレジットカード決済時に接続デバイス情報や取引内容からその取引のリスク度合いを判定し、不正利用の疑いを低・中・高に分類しています。定期的に利用しているECサイトでの購入などは「本人利用の可能性が高く不正利用のリスクは低い」と判定され、追加の本人認証が省略されます。

・リスク度合い「低」：そのまま決済を実行
・リスク度合い「中」：追加認証を要求
・リスク度合い「高」：取引を中止

3Dセキュア1.0ではすべての取引で追加認証を行っていましたが、3Dセキュア2.0では不正利用の疑いが低い場合は追加認証なしで決済を行うことができます。これにより、1.0の課題でありEC加盟店への導入がなかなか進まなかった理由であった「カゴ落ち（決済を完了せずにサイトから離脱すること）」の頻度を下げ、カード会員にとってもスムーズにクレジットカード決済ができるようになりました。

そのほかの変更点としては、ワンタイムパスワードや生体情報といった漏洩や盗難の難しい情報を用いた認証が利用できるようになった点や、iPhoneやAndroid端末のモバイルアプリによる利用にも対応可能となった点があります。

ECサイトでクレジットカード決済を行う時には、カード番号・有効期限・セキュリティコードなどを入力しますが、フィッシング詐欺などでクレジットカード情報が盗まれてしまうと、第三者により不正利用される危険性があります。実際にクレジットカードの不正利用被害は増加傾向にあり、一般社団法人日本クレジット協会の発表によると2021年には過去最高の330億円の不正利用被害が報告されています。被害額の94.4%はカードそのものの盗難や偽造を伴わない番号盗用によるもので、その手口も巧妙化しています。

また、経済産業省はキャッシュレス決済の推進に取り組んでおり、キャッシュレス決済比率を2025年までに4割程度、将来的には世界最高水準の80％まで上昇させることをめざしています。2021年のキャッシュレス決済比率は32.5%に達し、そのうちクレジットカード決済は約85%を占めています。クレジットカード決済の普及に伴いクレジットカードの不正利用被害も増えており、何も手を打たなければ今後も増え続ける恐れがあります。カード情報はインターネットの闇サイト上でも売買取引されているといわれており、クレジットカードの不正利用被害を抑えることは喫緊の課題となっております。

クレジットカード不正利用対策として、経済産業省は2023年1月に行った「クレジットカード決済システムのセキュリティ対策強化検討会」にて、「2025年を目途に原則すべてのEC加盟店に3Dセキュアの導入を求める」とし、導入義務化の検討が進められています。そのため、早い段階から3Dセキュアがどのようなサービスなのか理解し、必要な準備を進めておくと良いでしょう。

3Dセキュアは1.0から2.0へバージョンアップしたことで、リスクベース認証やワンタイムパスワード認証が導入され、より使いやすくセキュリティの高い本人認証サービスとなりました。ここでは、3Dセキュアがもたらすメリットのうち、代表的な2つを紹介します。

3Dセキュア2.0の大きなメリットは、利便性が高くなったことです。3Dセキュア1.0は、決済を行うたびに事前に登録したパスワード入力が必要だったため、カード会員は「パスワードを覚えていない」という理由で決済を完了できず商品購入を断念してしまうケースがありました。3Dセキュア2.0はリスクベース認証の採用により、不正利用の疑いが低い取引と判定されればパスワード入力が不要で決済ができるようになりました。

Visaの発表によると取引のうち95％は低リスク判定となり追加のパスワード認証なしに決済が完了するため、3Dセキュアを導入していない決済フローと変わらない利便性を保てるようになりました。また、決済処理時間は85%短縮しカゴ落ち率は70%改善したと発表されており、EC加盟店にとってもカード会員にとっても利用しやすいサービスとなったということができます。

また、3Dセキュア1.0では事前に登録したID・パスワードを使って追加認証を行っていましたが、3Dセキュア2.0ではワンタイムパスワードにも対応したため、カード会員はパスワード忘れの心配がなくなりました。EC加盟店にとってもパスワード忘れによるカゴ落ちが減ることで、利便性の高いサービスの提供が可能となりました。

3Dセキュア2.0の2つめのメリットは、安全性が高まったことです。説明してきた通り、3Dセキュアを導入することでクレジットカードの不正利用を減らすことが期待できます。リスクベース認証により取引のリスク度合いを判定し、不正利用を未然に防ぐ仕組みを取り入れています。不正利用の疑いが高いと判定された取引は取引中止とすることができ、クレジットカード決済の安全性を高めています。

ほかにも、ワンタイムパスワードによる安全な本人認証の実現が挙げられます。事前に設定する固定パスワードは、同じ文字列を使い回している人が多く情報漏洩が課題となっています。ワンタイムパスワードは必要な時に都度発行されるパスワードのため情報漏洩のリスクが少なく、固定パスワードより安全な認証方法です。3Dセキュア2.0ではセキュリティの観点から固定パスワードによる認証は推奨しておらず、代わりにワンタイムパスワードや生体認証を使った認証を推奨しています。追加の本人認証時に、ワンタイムパスワードを使うことで、利便性だけでなく、より安全性の高い本人認証を行うことができるようになりました。

3Dセキュア2.0の特長であるリスクベース認証は、カード発行会社のアクセスコントロールサーバー（ACS）経由で行われます。そのため、3Dセキュアの導入にあたって、カード発行会社はアクセスコントロールサーバー（ACS）を導入する必要があります。また、3Dセキュア対応カードの発行や会員情報の管理も必要です。

カード発行会社には、リスクベース認証を行うアクセスコントロールサーバー（ACS）の導入が求められます。アクセスコントロールサーバー（ACS）とは、非対面取引において、カード発行会社がカード会員本人を認証するためのサーバーです。

カード会員がクレジットカード決済を行う際、アクセスコントロールサーバー（ACS）はEC加盟店からの認証リクエストを国際カードブランドのディレクトリサーバー（DS）経由で受け、認証の処理を実行します。アクセスコントロールサーバー（ACS）で取引のリスク度合いを判定し、追加の本人認証が必要な場合は、カード会員にパスワードを要求し、その本人認証結果を国際カードブランドのディレクトリサーバー（DS）経由でEC加盟店に連携します。

カード発行会社はアクセスコントロールサーバー（ACS）の導入とともに、3Dセキュア対応カードをラインアップする必要があります。新しく対応カードをリリースするだけでなく、既存カードに3Dセキュアの機能を追加するのもひとつの方法です。3Dセキュアによる本人認証に対応するEC加盟店は増えています。そうした加盟店でも利用できるよう、発行するクレジットカードの3Dセキュア対応を進めることは重要となります。

カード発行会社は、カード会員が3Dセキュアを利用するにあたって必要となる会員情報を登録するWebサイトを用意する必要があります。登録する会員情報には、ワンタイムパスワードの送信先となる携帯電話番号やメールアドレスなどがあります。すでにWeb明細確認など利用している会員専用Webサイトがある場合には、そのサイトに機能追加することでも対応可能です。必要な会員情報を登録する仕組みを整備するほか、会員情報をしっかりと管理することも求められます。

また、カード会員向けに3Dセキュアのメリットや利用方法などを説明し、3Dセキュアへの理解を深めることも大切です。安心して3Dセキュアを利用できるように、サービスの内容だけでなく、個人情報の取扱いについてカード会員向け・EC加盟店向けに説明するWebページを設けましょう。

3Dセキュアは、カード発行会社・EC加盟店・国際カードブランドが連携して提供する本人認証サービスです。カード発行会社はアクセスコントロールサーバー（ACS）を運用しますが、EC加盟店は3Dセキュアサーバー（3DSサーバー）を運用しなければなりません。またリスクベース認証のために取引内容やアクセス端末の情報などをカード発行会社へ提供します。提供する情報は個人情報に該当するケースも多いため、個人情報の第三者提供についてカード会員から同意を得る必要もあります。

EC加盟店が3Dセキュアに対応するには、3Dセキュアサーバー（3DSサーバー）の運用が必須です。カード会員が商品購入画面で3Dセキュア対応カードのカード番号や有効期限を入力すると、サーバー上の3DSリクエスタが国際カードブランドのディレクトリサーバー（DS）経由でカード発行会社に接続し、カード発行会社が運用するアクセスコントロールサーバー（ACS）でリスクベース認証を実行します。サーバーの運用環境は独自に開発することもできますが、3Dセキュアサービスに対応した決済代行会社との連携も可能です。

3Dセキュア2.0のリスクベース認証で参照するカード会員のデバイス情報（接続元IPアドレス・OS・バージョン情報など）や取引情報（氏名・配送先情報など）は、個人情報になり得ます。リスクベース認証のためにカード発行会社へ上記の情報を提供するには、EC加盟店が個人情報保護上の個人情報取扱事業者として、個人情報の取得・利用・提供についてカード会員の同意を得なければなりません。提供する情報が個人情報に該当するのか事前にしっかりと確認し、必要な準備をしておく必要があります。

カード会員は3Dセキュア対応カードを取得し、事前に3Dセキュアを利用する際に必要な携帯電話番号・メールアドレスなどの会員情報を登録することで、3Dセキュア対応のECサイトやモバイルアプリで安全なクレジットカード決済を行うことができます。リスクベース認証で追加の本人認証が必要となった場合、パスワード入力画面が表示されます。パスワードを入力すれば本人認証が完了し、決済処理が行われます。ただし、不正利用のリスクが低いと判定されれば追加認証は必要ありません。

カード会員は3Dセキュア対応のカードを取得する必要がありますが、カード発行会社によって3Dセキュアの対応状況は異なります。またEC加盟店によって、利用できる国際ブランドカードの3Dセキュアサービスが決まっています。Visaの3Dセキュア対応カードは「Visa Secure」対応のEC加盟店で、JCBの3Dセキュア対応カードは「J/Secure」対応のEC加盟店で利用できます。お持ちのクレジットカードが3Dセキュアに対応しているかわからない場合は、カード発行会社にお問合わせください。

3Dセキュア対応カードを取得した上で、カード発行会社の専用Webサイトにて必要情報を登録します。登録方法はカード発行会社によって異なり、会員専用Webサイトのパスワードを3Dセキュアの本人認証サービスでも使えるケースもありますし、パスワードは共通でも事前に本人認証サービスの登録が必要なケースもあります。詳しくは、カード発行会社のWebサイトにてご確認ください。

なお、ほとんどのカード発行会社ではワンタイムパスワードの送信先として、SMSを受信可能な携帯電話番号もしくはメールアドレスを登録することが多くなっています。本人認証サービスによっては、ワンタイムパスワードを利用するためにアプリのインストールを求められる場合がありますが、カード発行会社の案内に従って作業を進めれば問題ありません。

DNPは、カード発行会社向けに「3Dセキュア2.0 本人認証サービス」を提供しています。対応国際カードブランドはVisa・Mastercard・JCB・AMEXです。また、カード発行会社間で不正利用情報の共有化を推進しており、より高度な不正検知をめざしています。

3Dセキュア2.0ではリスクベース認証が取り入れられたことで、不正リスクが高い場合にだけ追加認証を求めるようになりました。利便性と安全性が向上した3Dセキュア2.0を導入するため、カード発行会社はリスクベース認証を実行するアクセスコントロールサーバー（ACS）を導入する必要があります。

DNPが提供する「3Dセキュア2.0 本人認証サービス」は、大手カード発行会社や銀行など数多くの導入実績があり、リスクベース認証の精度に高い評価をいただいています。決済しようとしているカード会員のアクセス端末や取引内容などから不正リスク度合いを判定しており、リスクベース認証のルールやスコアの算出の仕方はカード発行会社によって設定が可能となっています。カード会員の属性やカード利用状況などに応じて、不正検知にあたって重視する項目を決め、最適な判定基準を設定しています。

オンラインクレジットカード決済の利用が拡大する中、番号盗用によるクレジットカード不正利用被害が年々増加しています。経済産業省が主導する「クレジットカード決済システムのセキュリティ対策強化検討会」において、「各イシュアが保有する不正利用情報をイシュア間で共有化することで、不正検知の精度が向上し、効果的な不正利用防止が期待できる」と提言された通り、不正利用に関する情報の共有・集積が求められています。

DNPはリスクベース認証の導入を推奨するだけでなく、2019年より不正情報を複数のカード発行会社間で共同活用する取組みを推進しています。同じ課題を持つ会社同士をつなぎ、それぞれの会社が少ない負荷でセキュリティ機能を強化できる仕組みです。リスクベース認証導入後にさらなるセキュリティ強化を図りたいカード発行会社からの支持を受けており、カードベンダーとして長年の実績があるDNPならではの強みといえるでしょう。

【ニュースリリース】オンライン決済の不正利用情報を企業間で共同活用する取り組みを推進

3Dセキュアは、ECサイトなど非対面でのクレジットカード決済をより安全に行うための本人認証サービスです。2025年を目途に国内すべてのEC加盟店への3Dセキュア導入義務化が検討されており、今後「3Dセキュア」という言葉を目にする機会は増えていくことでしょう。

クレジットカードの不正利用被害傾向を見てみると、今まではチケット・高級ブランド品・高級電化製品などの換金がしやすい商品がターゲットとなることが多かったものが、近年はコスメ・アパレル・小型家電などの日用品にまで拡大しているといわれています。そのため、規模や取扱い商品問わず、すべてのカード発行会社やEC加盟店は不正利用対策を講じる必要に迫られています。3Dセキュア導入義務化の検討もこれらの流れを受けたものと考えられます。

3Dセキュアは、1.0から2.0へバージョンアップし、リスクベース認証やワンタイムパスワード認証を採用したことで、その利便性と安全性が向上しました。カード発行会社にはリスクベース認証を実行するアクセスコントロールサーバー（ACS）の導入や3Dセキュア対応カードの発行、EC加盟店には3Dセキュアサーバー（3DSサーバー）の導入や個人情報保護法の順守が求められます。

DNPはカード発行会社向けに「3Dセキュア2.0 本人認証サービス」を提供しています。カードベンダーとして培ったノウハウを生かし、カード発行会社間の不正利用情報の共有化も推進しています。高精度なリスクベース認証を導入したい、不正検知の新しい仕組みを検討したいなど、何かございましたらお気軽にお問合わせください。

この製品・サービスへのお問合わせ(URL別ウィンドウで開く)