平素よりPAY.JPをご愛顧いただき、誠にありがとうございます。
今般のクレジット不正利用の急増を受け、経済産業省より2023年3月14日改訂の、「クレジットカード・セキュリティガイドライン4.0版」(*1)(以下、セキュリティ・ガイドライン)にて、「2025年3月末日までに、原則全てのEC加盟店に対し、EMV 3Dセキュア導入を求める」旨が公表されました。
これを受け、同年11月14日に、(一社)日本クレジット協会より「加盟店におけるEMV 3Dセキュア導入推進ロードマップ」(以下、ロードマップ)が公開されております。
PAY.JPをご利用いただいている加盟店様はみなさま「EC加盟店」の扱いとなります。
ともないまして、PAY.JPのサービスをご利用いただいているすべての加盟店・プラットフォーマー様は、2025年3月末日までに3Dセキュア(※)の実装を完了していただく必要がございます。
※PAY.JPの3Dセキュアは2022年10月からすべてEMV 3Dセキュアに対応しております。
ロードマップでは以下の通り段階に応じたEMV 3Dセキュアの導入が求められておりますが、最終的にはすべての加盟店様でEMV 3Dセキュアの導入が必須になります。
| 優先順位 | 対象 | 詳細 | EMV 3Dセキュアについて |
|---|---|---|---|
| 1 | 不正顕在化加盟店 | カード会社(アクワイアラー)各社が把握する不正利用金額が「3ヵ月連続50万円超」に該当する 加盟店 | 即時EMV 3Dセキュア導入着手 |
| 2 | 不正顕在化加盟店ではないが不正が発生している加盟店 | 直近2年で、不正が5件以上または累計で10万円以上発生した加盟店 | 導入計画の策定および早期の導入着手 |
| 3 | 高リスク商材取扱加盟店 | ①デジタルコンテンツ、②家電、③電子マネー、④チケット、⑤宿泊予約サービス | 導入計画の策定および早期の導入着手 |
| 4 | 1~3以外の加盟店 | - | 導入計画の策定および早期の導入着手 |
本件につきましては、クレジット取引セキュリティ対策協議会等にて引き続き協議・検討が行われております。
そのため、現時点で詳細な対応策をお伝えすることができない部分もございますが、新しい情報が入り次第、メール等で速やかにご連絡する予定です。
取り急ぎ、本お知らせをご一読いただき、事前のご準備やご検討を頂けますと幸いです。
なお、不正顕在化加盟店など、至急実装が必要なケースは弊社から個別に対応のご依頼をさせていただくこともございますので予めご了承ください。
何卒ご理解とご協力のほど、よろしくお願いいたします。
EMV 3Dセキュアとは
EMV 3Dセキュアを導入した EC 加盟店から決済時に送られてくる情報をもとに、カード発行会社(イシュアー)が取引のリスクに応じて本人認証を行うサービスです。
詳細は、以下ドキュメントをご参照ください。
【3Dセキュアご紹介資料】
PAY.JPの3Dセキュアは2022年10月からすべてEMV 3Dセキュアに対応しておりますので、PAY.JPのガイドに従って3Dセキュアを実装していただければ問題ございません。
都度購入サービスを提供されている加盟店様
月額課金など定期的な課金ではなく、都度購入されるサービスを提供されている加盟店様向けのご案内です。
都度購入サービスの場合は、購入の都度3Dセキュアをしていただくことが求められます。
※クレジットカード情報を含む注文に必要な顧客情報を事前に登録しておくことで、毎回のカード情報の入力を省略するようなケースでも同様となります。
また、3Dセキュア認証は実額での認証が推奨されております。
つきましては、PAY.JPの3Dセキュアには下記の2種類がございますが、都度「支払いごとの認証」での実装をお願いいたします。
- 支払いごとの認証
chargeの作成ごとに3Dセキュアの認証を実施する - トークン作成時の認証
クレジットカード情報の入力時に3Dセキュアの認証を実施する
詳細は、ドキュメントおよびAPIリファレンスをご参照ください。
https://pay.jp/docs/guideline-three-d-secure
https://pay.jp/docs/api/#3-dsecure
定期課金サービスを提供されているお客様
定期便や月額サービスなど、同一クレジットカードで継続的にサービスや商品を提供されている加盟店様向けのご案内です。
※PAY.JPの定期課金APIを利用している・していないに関わらず、サービス形態が定期課金のお客様はすべてこちらに含まれます。
定期課金サービスでの3Dセキュア導入につきましては、対象取引についてなど現在、関係各所にて検討が行われております。
公式アナウンスがあり次第、弊社としての対応方針を含めあらためてご案内させていただきますので、今しばらくお待ちください。
なお、定期的な課金の場合は、顧客接点と決済のタイミングが異なるため、エンドユーザーとの接点が発生する下記のような取引に限定される可能性が高いと考えております。
- クレジットカード登録/変更時点
- 初回課金
- その他エンドユーザーと接点が生じるタイミング
連携項目の追加について
3Dセキュアの義務化に加え、2024年8月を目処に3Dセキュア実施時の必須連携項目の強化が予定されております。
具体的には、「顧客のメールアドレスまたは電話番号」および「顧客氏名」が必須となる見込みです。
弊社側の対応も必要なため、詳細につきましては改めてご案内いたしますが、必要情報の取得をされていない加盟店様におかれましては、情報取得のご準備を進めていただきますようお願いいたします。
なお、顧客情報の利用に関してはお客様の明示的な同意が必要となっております。
【3Dセキュアご紹介資料】P15「顧客からの同意取得対応」をご確認のうえご対応ください。
義務化の背景
出典:(一社)日本クレジット協会
クレジットカードの不正利用被害総額は、2022 年に 436.7 億円となり、そのうち番号盗用の割合が 94%を占めており、主にはEC 加盟店等における非対面取引にて発生しております。
これらの背景から、不正利用を防止するため、EC 加盟店における本人認証を強化するための取組が求められる状況にある中、経済産業省の「クレジットカード決済システムのセキュリティ対策強化検討会」において非対面取引における不正利用対策について議論が行われ、2023 年 1 月に報告書が公表されています。
これを受け、クレジット取引セキュリティ対策協議会が 2023 年 3 月に策定・公表したセキュリティ・ガイドラインにおいて、「2025 年 3 月末までに、原則、全ての EC 加盟店に EMV3-D セキュアの導入を求めることとする。」旨の方針が記載されました。
これは、加盟店に対してクレジットカードの本人認証のための有効な手段としてカード発行会社(イシュアー)が行う本人認証(EMV 3Dセキュア)の導入を求めるものです。
現在すでに非対面(EC)でのクレジットカード決済を取り扱っている、または、これから取扱う予定の加盟店においては、EMV 3Dセキュアの導入が求められています。
EC 利用者の安全・安心なクレジットカード取引に向けて、早期に EMV 3Dセキュアの導入に着手いただくようお願いいたします。
よくあるご質問
対象となるクレジットカード取引は何ですか?
国際ブランド付きのクレジットカードの取引が対象です。
海外発行カード、法人契約クレジットカード(いわゆるコーポレートカード)も含まれます。
国際ブランド付きのプリペイドカード、デビットカードにつきましては、割賦販売法の規制対象外とはなりますが、他クレジットカードとデータ上で判別ができないため、これらも対象であるとお考えください。
3Dセキュアの実装方法がわかりません。
個別の実装サポートは行なっておりませんので、各種ドキュメントを参照の上、開発会社また技術担当者で実装を検討していただくようお願いいたします。
期日までに実装が完了できていない場合に猶予期間や罰則などはありますか?
現在、公式アナウンスはございません。
しかしながら前提として、割賦販売法にてクレジットカード番号等の適切な管理や不正使用対策を講じることが義務付けられております。
罰金等の罰則規定はありませんが、行政の措置として加盟店に対し、報告徴収、立入検査を行うことができる規定があります。
また、加盟店のセキュリティ対策措置(クレジットカード番号等の適切な管理、不正利用の防止)が不十分な加盟店については、必要なセキュリティ対策措置を早急に講じるよう、カード会社を通じて指導等が行われることになります。
現時点においても、不正利用対策を怠った等の事由により、加盟店契約が解除されるケースはございます。
EMV 3Dセキュア導入義務化の背景を鑑みましても、適切な対応がなされなかった場合、なんらかの措置対象となる可能性は十分に考えられ、弊社でも不正利用防止は重要事項であると捉えております。
全体方針に関わらず、期日を過ぎても3Dセキュアの実装完了や導入意志が確認できない場合は、状況確認ができるまで決済を停止するなどの対応を実施する可能性はございます。
加盟店・プラットフォーマー様ごとのご事情はおありになると存じますが、セキュリティ・ガイドライン等に則った期日までのご対応を一律お願いいたします。
2025年4月以降の取引はどうなりますか?
原則、全ての加盟店・プラットフォーマー様において3Dセキュアの認証取引が必須となります。
弊社でも、3Dセキュアが実装されていない取引の場合はエラーを返却するなどの対応をさせていただく可能性がございます。
アテンプト状態になった取引の許容可否を教えてください。
アテンプトは3Dセキュア実施に伴う結果となるため、アテンプト状態の取引を許容するか否かは従来通り加盟店様でご判断ください。
一定金額以上の決済のみ3Dセキュアを実施するなどのハンドリングは行っても良いですか?
3Dセキュアの実運用の仔細については、公式アナウンスはございません。
しかしながら3Dセキュア導入の本来の目的である「不正利用の抑制」という目的を鑑み、弊社といたしましては、可能な限りすべての決済に対して認証の実施をしていただきたいと考えております。
EMV 3Dセキュア自体が決済金額などを含む複合的な情報からリスクベース判定を行う仕組みとなっております。
また、万一不正が発生した場合でも補償の対象となり得ますので、都度購入のサービスを提供されている加盟店様は、金額に関わらず3Dセキュアの実施をお願いいたします。
【3Dセキュアご紹介資料】等を改めてご確認いただき、すべての決済に対して実装をしていただく方針でご検討いただけますと幸いです。
※前述の通り、定期課金サービスを提供されている加盟店様向けの対応は検討中です。
そのほか対象外・例外となる取引はありますか?
現在、公式アナウンスはございません。
進捗がありましたら、適宜情報公開いたします。
その他、詳細はクレジット取引セキュリティ対策協議会等にて引き続き協議・検討が行われております。
冒頭でもご案内の通り、続報がございましたら、適宜、情報公開を行なってまいります。
何卒ご理解とご協力のほど、よろしくお願いいたします。
*1:「クレジットカード・セキュリティガイドライン」とは、安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものです。同ガイドラインは、割賦販売法に規定するセキュリティ対策義務の「実務上の指針」として位置づけられており、同ガイドラインに「指針対策」として掲げられている措置又はそれと同等以上の措置を適切に講じている場合には、同法で定めるセキュリティ対策の基準を満たしていると認められます。