PAY.JP での 3Dセキュアの導入方法については、こちらのガイドをご覧ください。
当記事では一般的な 3Dセキュア認証の概要について説明いたします。
導入の義務化
今般のクレジットカード不正利⽤の急増を受け、経済産業省より2023年3⽉14⽇改定の「クレジットカード‧セキュリティガイドライン」では「2025年3⽉末⽇までに、原則全ての EC 加盟店に対し、EMV 3Dセキュア導⼊を求める」旨が公表されております。
PAY.JP をご利用いただくすべての加盟店様において、3Dセキュアの導入は義務付けられております。
3Dセキュアとは
3Dセキュアは、クレジットカード各社が提供する本人認証サービスです。決済の際、カード保有者がカード会社に事前に登録したパスワードや SMS、ワンタイムパスワードなどの認証を追加で行うことで、本人以外による不正利用を抑制する効果があります。
不正利用と3Dセキュア
不正利用の防止
3Dセキュアを実施することで、カード保有者が身に覚えのない決済などの発生を抑制できます。
しかし 3Dセキュアだけで完全に防止できるものではなく、あくまで対策の一環とお考えください。
また、3Dセキュア導入により購入ハードルが上がり、決済前に離脱するリスクが付随してきますが、現在 PAY.JP が対応している EMV 3Dセキュアではカード発行会社それぞれの判断により不正リスクが高いと判断されたもののみに認証が実施されます。
リスクが低いと判断されれば本人認証の画面をスキップするためシームレスな決済が可能となり、離脱リスクを低減できるものとなっております。
チャージバック保護
チャージバックとは、身に覚えのない請求や不審な請求に対して、カード保有者が支払いを拒否できる仕組みです。
チャージバックが成立すると、その決済は強制的に返金されてしまいます。すでに役務や商品を提供済みの場合、加盟店にとって大きな損失となります。
3Dセキュアを実施することで、「不正利用 1」が原因のチャージバックの発生を抑制できるとともに、万が一チャージバックが発生した場合も「3Dセキュア実施済み」であるとして抗弁が可能です。
その場合、チャージバック金額はカード会社負担となります。
ただし、「金額が認識と違う」など、不正利用以外の理由によるチャージバックに対する抗弁はできませんので、あらかじめご了承ください。
また、3Dセキュアは保護したい決済ごとに都度実施する必要があります。過去に 3Dセキュアを実施したカードかどうかなどの情報は考慮されません。
アテンプトと完全認証
3Dセキュアを利用するには、利用されるカードが 3Dセキュア設定済みである必要があります。 一方、未設定のカードに対して 3Dセキュアを伴う決済を行った場合、パスワード入力がスキップされ、決済の 3Dセキュア認証は アテンプト(Attempt) 状態となります。 アテンプトでは 3Dセキュア認証が正常に行われたのと同様にチャージバックから保護され、義務化要件も満たされますが、不正利用は防止できないというデメリットも存在します。
加盟店は、3Dセキュア認証の結果を見て決済を行うか中止するかを決められます。アテンプトに起因する不正決済が多い場合や、より強固な不正決済対策が求められる場合、アテンプトでの決済を一切認めないというポリシーでの運用が必要になることがあります。このポリシーは完全認証と呼ばれます。
| カードの状態 | パスワードの入力 | 不正決済への対策効果 | チャージバック発生時 |
|---|---|---|---|
| 3Dセキュア登録済み | 必須 | 不正な購入者はパスワードの入力ができないため、決済を完了できない。 | 不正決済の発生自体が抑制される。 万一発生してしまった場合も、カード保有者への損害補填はカード会社が行う。 |
| 3Dセキュア未登録 | 自動スキップ | 非導入状態と同様。 | カード保有者への損害補填はカード会社が行う。 ただし、不正決済自体は防止できていないため、あまりに多く発生する場合には加盟店に損害の補填を求められたり、追加の不正対策を要求される場合がある。 |
3Dセキュア認証の追加項目
3Dセキュア認証を行う場合、カード番号・有効期限など必須の情報以外にも追加の認証項目として下記が求められます。
- カード名義
- メールアドレスまたは電話番号
この追加項目は各カードブランドから求められている事項であり、3Dセキュアにおけるリスク判定のために使われます。
お使いのライブラリによっては 3Dセキュアを実施する前に加盟店様で入力フォームを用意し、エンドユーザーから情報を収集する必要がございます。
この追加項目は必ずしも 3Dセキュアを実施する都度別の値を収集する必要はありません。
たとえば、アカウント登録を行うサービスではすでに電話番号やメールアドレスがアカウントに紐づいて設定されている場合などもあるかと思いますが、3Dセキュアを行う主体とアカウントの一致が認められている場合には、その値をセットしていただければ問題ございません。
またこの値はあくまでリスク判定のための 1 情報として扱われ、厳密にカード発行会社に登録された情報と一致している必要もございません。
そういった性質上、必ずダミーの値等ではなくカード保有者様が直接入力した情報を送信してください。
-
カード会社によっては「利用覚えなし」などの表現になっている場合もあります。 ↩︎