経済産業省は2022年10月「セキュリティ対策強化検討会」において、国内の全EC(*1)加盟店に「3Dセキュア2.0」の導入を義務づける方針を提言しました。この義務化については2025年3月をめどに全EC加盟店への導入を目指すとしています。
また、今後クレジット取引セキュリティ対策協議会が定める「クレジットカード・セキュリティガイドライン」にも、義務化に関する内容が盛り込まれる見通しです。
導入は「義務化」で「推奨」ではないことから、ECサイトにおける3Dセキュア2.0の導入は必須となる見込みです。
(*1)ECとは「Electronic
Commerce」の略で、日本語では電子商取引と呼び、主にネット通販、ネットショップ、オンラインの物やサービスの売買などが該当します。
表現は多種多様でインターネット上で交わされる商取引のことをECと呼びます。
質問者:アイさん
本人認証サービス(3Dセキュア 2.0)?理解が難しいのですが一体何の事でしょうか?
アドバイザー:エリコ先生
簡単に説明するとクレジットカード情報だけでなくワンタイムパスワードや⽣体認証などカード発⾏会社から追加認証を求めることで、不正使用を未然に防止するサービスです。実際のイメージについては下記のような流れです。
ウェブ上で何らかの製品やサービスを購入する際にクレジットカード決済を利用します。
そのクレジットカードを利用する際はクレジットカード番号・有効期限・セキュリティコード(QVC)の入力で済む形でした。
そこに「本人認証サービス(3Dセキュア 2.0)」が導入されていると、もう一手間が増えてクレジットカード番号・有効期限・セキュリティコード(QVC)の入力後に「暗証番号入力画面」が表示され、その暗証番号を入力してから決済(完了)するといった流れになるんです。
*暗証番号は携帯電話・SNS・メールなどで確認し入力するケースや専用アプリなどで認証するケースなどさまざまな方法があります。
ちなみにその暗証番号は何を入力するのでしょうか?また、そもそも自分のカードを利用するのに最後の暗証番号の入力をすることで不正使用の防止になるんでしょうか。
例えば「本人認証サービス」の利用が無い場合はカード情報のみで決済が出来てしまいますが、最後に暗証番号(ワンタイムパスワードや⽣体認証)が必要になるので暗証番号がわからなければ決済ができません。
但し、ご利用のクレジットカード決済会社にもよりますが、取引の殆どでは本人認証(追加認証)がなくても決済が完了するケースと、高リスクと判断される取引にのみ本人認証を求められるケースなど、自動で処理が行われますので、本人認証(追加認証)が求められない場合はこれまで通りの決済の流れです。
それと最後の暗証番号(ワンタイムパスワードや⽣体認証)については、現在のところ下記のパターンがあります。
・お客様がクレジットカード会社でカードを作成した際(ウェブ上など)に登録した本人認証パスワード
*数年前は本人認証パスワードの登録が不要(任意)でした。登録はカード会社にもよりますがウェブ上などで登録できます。
・携帯電話・SNS・メール・専用アプリなどに届くワンタイムパスワード
このワンタイムパスワードはクレジットカード決済会社によってさまざまな方法が提供されるかと想定されます。
・生体認証など
それなら今まで殆ど変わらない中で不正利用の防止が図れるのでいいですね。
最後に本人認証サービス(3Dセキュア 2.0)の導入について、運営側とお客様側の簡単なメリットとデメリットを案内します。
- 不正利用でクレジットカード決済が行われた場合にカード会社が決済金額を負担するため加盟店が補填する必要がなくなりチャージバックの抑制ができます。
加盟店(運営側)の導入メリットについて
*但し、その他(商品が違った、二重に決済された)などの理由で発生するチャージバックは3Dセキュアでは抑制ができません。
*チャージバックとはクレジットカードが不正利用されたなどの理由で、加盟店に対してクレジットカード会社が代金返還を請求したり、支払いを拒否したりすることを指します。
加盟店(運営側)の導入デメリットについて
*弊社、予約システムエイプロで提供しているクレジットカード決済(標準)は追加費用等の発生はございません。
お客様側の導入メリットについて
お客様側の導入デメリットについて
*取引の殆どでは本人認証(追加認証)がなくても決済が完了します。