最近いろんなECサイトから、「「3Dセキュア2.0」の対応」についての案内が多くなってますよね。
これは、2025年3月、経済産業省が発表した「クレジットカード・セキュリティガイドライン6.0」で、3Dセキュア(EMV 3-Dセキュア2.0)の導入が原則義務化されたためです。
オンライン決済における不正利用は年間約500億円!という報道もあり、
その多くが「カード情報の盗用」によるものですし、
「クレジットカード・セキュリティガイドライン」は以前からありましたが、
被害抑止のため、さらに認証の強化が求められているという背景があります。
そもそも「3Dセキュア」って何?という感じですが、
あの三次元の「3D」とは違うようです(笑)
以下の「Three Domain(3つの領域)」が連携して、オンライン決済時に安全な本人認証を実現するのが3Dセキュアの仕組みです。
| ドメイン名 | 役割 | 主なプレイヤー例 |
|---|---|---|
| Issuer Domain(発行者領域) | カード会員にカードを発行し、本人認証を行う | 三井住友カード、楽天カードなどのカード発行会社 |
| Acquirer Domain(加盟店領域) | 加盟店の決済処理を担う(店舗と契約) | GMOペイメントゲートウェイ、SBペイメントなどの決済代行会社(PSP) |
| Interoperability Domain(相互運用領域) | 認証データのやりとりを中継し、各システムをつなぐ | VISA・Mastercard・JCBなどの国際ブランドとその認証基盤(ディレクトリサーバ) |
で、3Dセキュア1.0と2.0の違いは?というと、以下の通り。
| 比較項目 | 3Dセキュア1.0 | 3Dセキュア2.0 |
|---|---|---|
| 登場時期 | 2001年ごろ | 2016年(EMVCoが仕様策定) |
| 認証方法 | 静的パスワード(事前登録のID・パスワード) | ワンタイムパスワード、SMS、生体認証、リスクベース認証など |
| ユーザー体験(UX) | 認証画面への強制遷移で離脱率が高い | 背景処理も可能でスムーズな認証が可能 |
| 対応端末 | 主にPC向け | スマホ・タブレットなどマルチデバイス対応 |
| 情報連携 | 限定的(トランザクション情報が少ない) | 送信できる取引情報が豊富で高度なリスク分析が可能 |
| EMVCo仕様対応 | なし(国際ブランドごとに個別仕様) | EMVCo共通仕様で国際的互換性が高い |
| セキュリティレベル | 比較的低い | 高い(フィッシング対策、なりすまし抑止) |
「クレジットカード・セキュリティガイドライン6.0」では、3Dセキュア(2.0)の原則義務化 が規定されています。
これまで(ガイドライン4.0〜5.0)の時までは、「推奨」だったのですが、6.0で「義務」となったわけです。
ちなみに、罰則規定はない様ですが、以下のリスクがありますので、対応は必須ですよね。
・経産省による是正指導の対象となる可能性
・決済代行会社・カード会社からの取引制限や信用評価の低下
・不正被害が発生した場合の責任がEC事業者側に及ぶ可能性
ECサイト運営者は、まずは「クレジットカード・セキュリティガイドライン6.0」の内容を確認しましょう!
そして、自社ECサイトの決済が3Dセキュア2.0に対応しているか?確認して、
利用中の決済代行会社(PSP)に導入状況を確認・相談し、
導入が難しい場合は「その理由」と「代替対策」を明文化しておきましょう。
どんな小さなECサイトも全て対象ですよ!
不正利用の被害に遭った際、セキュリティ対策を怠っていたこと自体がリスクになりますから、
信頼されるECサイト運営のためにも、今すぐ自社の対応状況を見直しましょう。
