3D セキュアの基本的な説明については、こちらのガイドをご覧ください。
3Dセキュア義務化要件
前提として、3Dセキュア認証とは - 導入義務化でご案内の通り、日本国内で EC 決済におけるクレジットカード決済を導入する場合は2025年3月末日までに 3Dセキュアを導入することが求められます。
3Dセキュア義務化要件は、全てのカード登録時、または全ての決済時に 3Dセキュアを行うこととされています。
| パターン | カード登録時(トークン作成時) | 決済時(支払い作成時) | その他必須の対策 |
|---|---|---|---|
| カード登録時に3Dセキュアを行う場合 (アカウント等へクレジットカード番号を紐づけする) |
3Dセキュアによる認証を行う | 加盟店の不正リスク判断によって必要な場合に3Dセキュアによる認証を行う | アカウント等の厳格な管理及び不正ログイン対策を講じた上で、カード番号登録時にログインが行われる際にアカウント等の利用者であることの確認を行う |
| 決済時に3Dセキュアを行う場合 | 3Dセキュアによる認証を行うことを推奨 | 3Dセキュアによる認証を行う | 不正状況に応じ、適宜必要な対策を実施する |
| 決済時に3Dセキュアを行う場合の例外 (定期的な自動課金など) |
初回決済時やカード番号登録時等に3Dセキュアによる認証を行う。 ただし、顧客からの契約内容の変更の申出、購入商品・サービスの追加等の顧客接点が生じた場合には認証を行う |
左同 | 不正状況に応じ、適宜必要な対策を実施する |
カード登録時に全件 3Dセキュアを実施するケースでは、決済ごとの 3Dセキュアは任意となりますが、顧客行動や属性情報の分析の実施、リスクに応じた決済時の 3Dセキュア実施等が必要となります。
義務化要件の詳細については、PAY.JP 管理画面内の「PAY.JPご利用にあたってのご案内事項」にて「EMV3Dセキュア義務化について(pdf)」の資料を配布しておりますので併せてご確認ください。
基本的には加盟店様で組み込み方法をご判断いただく必要がありますが、一般的な判断の基準となる情報、および義務化要件の満たし方やチャージバック保護との兼ね合いに関してご説明いたします。
カード登録時に3Dセキュアを行う場合
PAY.JPにおける3Dセキュアの中で、トークン作成時の3Dセキュアを組み込むことになります。
この組み込み方法が選択できるのは主に下記のようなサービスになります。
- アカウント等にカード情報を紐付け購⼊に利⽤するケース
- 例: 一般的なアカウント登録を必要とする EC ショップ
- 定期課金など、カード登録または初回決済以降は顧客接点が発⽣しないケース
- PAY.JP におけるSubscriptionを使うケース
- Subscription を使わず加盟店様側で定期的にCustomerを使った決済を行うケース
カード登録時の 3Dセキュアを基本とするこのパターンは、下記の対応を実施いただくことが前提となります。
- アカウントの厳格な管理や不正ログイン対策
- セキュリティチェックリストによって求められている不正対策の1つです。
- 取引金額や取引商材、属性・行動分析等によるリスク判断応じた決済時の 3Dセキュア認証
- 既存契約に変更があった際の 3Dセキュア認証
既存契約変更時などの 3Dセキュアに関しては、必要に応じて顧客カードに対する3Dセキュアを実施することになります。
なお、トークン作成時の 3Dセキュアを行う場合、そのカードで行われた決済に対して不正利用を理由としたチャージバックが発生したとしても保護の対象となりません。 チャージバックを保護する場合は、支払い時に 3Dセキュアを行い対応してください。
なお、PAY.JP における Subscription を使った定期課金のみで決済を行なっている場合は、支払い時の3Dセキュアを行うことはできませんので、あらかじめご了承ください。
決済時に3Dセキュアを行う場合
PAY.JPにおける3Dセキュアの中で、支払い作成時の3Dセキュアを組み込むことになります。
この組み込み方法が使われるのは主に下記のようなサービスになります。
- 都度購入やゲスト購入など、アカウント登録なしで決済するケース
- カード登録時に3Dセキュアを行う場合のような形態に当てはまらない、または何らかの理由により支払い時に 3Dセキュアを行いたいケース
- 例:
- アカウントを用いた購入とゲスト購入が混在する
- アカウント登録が必須だが、チャージバック保護を適用するために支払い時に 3Dセキュアを行いたい
- 定期課金のうち、初回決済のみ支払い時の 3Dセキュアを行いたい
- 例:
支払い作成時に 3Dセキュアを行う場合、その支払いはチャージバック保護の対象となります。
決済時に3Dセキュアを行う場合の例外
3Dセキュアの義務化要件に従うには全ての支払い時に 3Dセキュアを行う必要がありますが、PAY.JP における Subscription を使わない定期課金などの場合は例外的に初回のみ 3Dセキュアを行うことで要件を満たすことができます。
しかしこの場合、支払い時とは別に顧客からの契約内容の変更の申出、購入商品・サービスの追加等の顧客接点が生じた場合に顧客カードに対する3Dセキュアを行う必要があります。
対象カードは顧客に紐づいている必要がありますのでご注意ください。
混在するケース
アカウントを用いた購入とゲスト購入が混在する場合などはそれぞれ支払い作成時の3Dセキュアとトークン作成時の3Dセキュアの双方を使い分ける、といったことも可能です。
実装の際の注意事項
3Dセキュア導入以前に登録されたカードの扱い
3Dセキュア認証なしで登録済みのカードを、導入義務化以降(2025年4月以降)も決済作成にご利用いただくことが可能です。
- 加盟店様判断で真正利用と認識しており、不正利用のリスクが少ないと思われる
- 義務化要件に沿って適切にカード情報が紐づいたアカウントの管理を実施している
上記に当てはまる場合は、登録済みカードに対して、3Dセキュアを遡って実施いただく必要はありません。
ただし、登録済みカードでも不正利用が疑われる場合はこの限りではありません。支払い時の 3Dセキュア、あるいは顧客カードに対する 3Dセキュア機能をご活用いただき、随時 3Dセキュアを実施してください。
なお、本案内は 3Dセキュア導入義務化の期限である2025年3月末までに導入を完了いただくことを前提としております。
万が一2025年4月以降に導入を開始された場合、「3Dセキュア導入開始以前に登録されたカードに対する 3Dセキュアは原則不要」の条件は当てはまりません。
2025年4月以降に登録されたカードは全て 3Dセキュア実施の対象としてください。
義務化の要件とチャージバックの保護について
義務化の要件と、チャージバックの保護対象となる条件は異なります。
支払い作成時に 3Dセキュアを行った場合のみ、チャージバック保護の対象となります。
カード登録時点で 3Dセキュア認証済みであっても支払い時に不正利用が発生した場合、その支払いはチャージバックの保護対象とはなりませんので、あらかじめご了承ください。
なお、チャージバックの保護条件に関する詳細は、チャージバック保護に記載の内容をご確認ください。
与信枠確保から確定処理までに期間があく場合
エンドユーザーの操作を介さずに決済を作成するような場合は、カード登録時に 3Dセキュアを行う、または初回決済時に 3Dセキュアを行うことで 3Dセキュア義務化要件を満たすことができます。
たとえば、サービスの仕様的に売上の確定までに長く時間がかかって認証状態が失効し、その後にエンドユーザーの操作を介さず再度支払いを作成するようなケースでは 3Dセキュアを再度行う必要はありません。
ただし、この場合その支払いはチャージバック保護の対象とはなりません。