3Dセキュアの各組み込み方法ごとの導入指針

3D セキュアの基本的な説明については、こちらのガイドをご覧ください。

• 3Dセキュア認証
• PAY.JPにおける3D セキュア

3Dセキュア義務化要件

前提として、3Dセキュア認証 - 導入義務化でご案内の通り、日本国内でEC決済におけるクレジットカード決済を導入する場合は3Dセキュアを導入することが求められます。

3Dセキュア義務化要件は、全てのカード登録時、または全ての決済時に3Dセキュアを行うこととされています。

パターン	カード登録時(トークン作成時)	決済時(支払い作成時)	その他必須の対策
カード登録時に3Dセキュアを行う場合 (アカウント等へクレジットカード番号を紐づけする)	3Dセキュアによる認証を行う	加盟店の不正リスク判断によって必要な場合に3Dセキュアによる認証を行う	アカウント等の厳格な管理及び不正ログイン対策を講じた上で、カード番号登録時にログインが行われる際にアカウント等の利用者であることの確認を行う
決済時に3Dセキュアを行う場合	3Dセキュアによる認証を行うことを推奨	3Dセキュアによる認証を行う	不正状況に応じ、適宜必要な対策を実施する
決済時に3Dセキュアを行う場合の例外 (定期的な自動課金など)	初回決済時やカード番号登録時等に3Dセキュアによる認証を行う。 ただし、顧客からの契約内容の変更の申出、購入商品・サービスの追加等の顧客接点が生じた場合には認証を行う	左同	不正状況に応じ、適宜必要な対策を実施する

カード登録時に全件3Dセキュアを実施するケースでは、決済ごとの3Dセキュアは任意となりますが、顧客行動や属性情報の分析の実施、リスクに応じた決済時の3Dセキュア実施等が必要となります。

義務化要件の詳細については、PAY.JP管理画面内の「PAY.JPご利用にあたってのご案内事項」にて「EMV3Dセキュア義務化について(pdf)」の資料を配布しておりますので併せてご確認ください。

基本的には加盟店様で組み込み方法をご判断いただく必要がありますが、一般的な判断の基準となる情報、および義務化要件の満たし方やチャージバック保護との兼ね合いに関してご説明いたします。

カード登録時に3Dセキュアを行う場合

PAY.JPにおける3Dセキュアの中で、トークン作成時の3Dセキュアを組み込むことになります。

この組み込み方法が選択できるのは主に下記のようなサービスになります。

• アカウント等にカード情報を紐付け購⼊に利⽤するケース
  • 例: 一般的なアカウント登録を必要とするECショップ
• 定期課金など、カード登録または初回決済以降は顧客接点が発⽣しないケース
  • PAY.JPにおけるSubscriptionを使うケース
  • Subscriptionを使わず加盟店様側で定期的にCustomerを使った決済を行うケース

カード登録時の3Dセキュアを基本とするこのパターンは、下記の対応を実施いただくことが前提となります。

• アカウントの厳格な管理や不正ログイン対策
  • セキュリティチェックリストによって求められている不正対策の一つです。
• 取引金額や取引商材、属性・行動分析等によるリスク判断応じた決済時の3Dセキュア認証
• 既存契約に変更があった際の3Dセキュア認証

既存契約変更時などの3Dセキュアに関しては、必要に応じてカードに対する3Dセキュアを実施することになります。

なお、トークン作成時の3Dセキュアを行う場合、そのカードで行われた決済に対して不正利用を理由としたチャージバックが発生したとしても保護の対象となりません。 チャージバックを保護する場合は、支払い時に3Dセキュアを行い対応してください。

なお、PAY.JPにおけるSubscriptionを使った定期課金のみで決済を行なっている場合は、支払い時の3Dセキュアを行うことはできませんので、あらかじめご了承ください。

決済時に3Dセキュアを行う場合

PAY.JPにおける3Dセキュアの中で、支払い作成時の3Dセキュアを組み込むことになります。

この組み込み方法が使われるのは主に下記のようなサービスになります。

• 都度購入やゲスト購入など、アカウント登録なしで決済するケース
• カード登録時に3Dセキュアを行う場合のような形態に当てはまらない、または何らかの理由により支払い時に3Dセキュアを行いたいケース
  • 例:
    • アカウントを用いた購入とゲスト購入が混在する
    • アカウント登録が必須だが、チャージバック保護を適用するために支払い時に3Dセキュアを行いたい
    • 定期課金のうち、初回決済のみ支払い時の3Dセキュアを行いたい

支払い作成時に3Dセキュアを行う場合、その支払いはチャージバック保護の対象となります。

決済時に3Dセキュアを行う場合の例外

3Dセキュアの義務化要件に従うには全ての支払い時に3Dセキュアを行う必要がありますが、PAY.JPにおけるSubscriptionを使わない定期課金などの場合は例外的に初回のみ3Dセキュアを行うことで要件を満たすことができます。
しかしこの場合、支払い時とは別に顧客からの契約内容の変更の申出、購入商品・サービスの追加等の顧客接点が生じた場合にカードに対する3Dセキュアを行う必要があります。
対象カードは顧客に紐づいている必要がありますのでご注意ください。

混在するケース

アカウントを用いた購入とゲスト購入が混在する場合などはそれぞれ支払い作成時の3Dセキュアとトークン作成時の3Dセキュアの双方を使い分ける、といったことも可能です。

実装の際の注意事項

義務化の要件とチャージバックの保護について

義務化の要件と、チャージバックの保護対象となる条件は異なります。

支払い作成時に3Dセキュアを行った場合のみ、チャージバック保護の対象となります。
カード登録時点で3Dセキュア認証済みであっても、当該カードでの支払いで不正利用が発生した場合、その支払いはチャージバックの保護対象とはなりませんので、あらかじめご了承ください。

なお、チャージバックの保護条件に関する詳細は、チャージバック保護に記載の内容をご確認ください。

与信枠確保から確定処理までに期間があく場合

エンドユーザーの操作を介さずに決済を作成するような場合は、カード登録時に3Dセキュアを行う、または初回決済時に3Dセキュアを行うことで3Dセキュア義務化要件を満たすことができます。
例えば、サービスの仕様的に売上の確定までに長く時間がかかって認証状態が失効し、その後にエンドユーザーの操作を介さず再度支払いを作成するようなケースでは3Dセキュアを再度行う必要はありません。

ただし、この場合その支払いはチャージバック保護の対象とはなりません。