3Dセキュアの導入が義務化される?必要な対応や注意すべき部分も紹介
- 2025.01.28
2025.01.28
「3Dセキュアの導入が義務化されるって本当?」「3Dセキュアの1.0と2.0の違いは?」
3Dセキュアが義務化されると聞き、どのような対応を取ればよいのかわからず悩んでいる方もいるのではないでしょうか。3Dセキュアには1.0と2.0があり、それぞれ仕組みが異なります。
本記事では、3Dセキュアの義務化について詳しく解説します。3Dセキュアの1.0と2.0の違いや、義務化に向けてECサイト運営者が取るべき対応も紹介しているので、ぜひ最後までご覧ください。
またfutureshopでは、本人認証サービス「EMV 3Dセキュア(3Dセキュア2.0)」を導入しています。3Dセキュアについて詳しく知りたい方は、下記ページも合わせてご覧ください。
目次
ECサイトでは3Dセキュア2.0導入の義務化はいつから?
ECサイトでは、2025年3月を目処に全EC加盟店への導入が義務化されます。国内で利用者の多いオープンソースECサイト構築パッケージの古いバージョンは3Dセキュア2.0に対応していません。そのため、近年では他社のプラットフォームに乗り換えるEC加盟店も多い傾向にあります。
3Dセキュアの義務化により加盟店側が取るべき対応や、3Dセキュアに対応しなかった場合の罰則などについては後ほどご紹介します。
クレジットカード不正利用被害の発生状況
クレジットカードの不正利用被害に関する発生状況を見てみましょう。
引用:クレジットカード不正利用被害の発生状況 | 一般社団法人日本クレジット協会
一般社団法人 日本クレジット協会による調査によると、クレジットカードの不正利用被害額は、2014年時点では年間114.5億ですが、2023年では540.9億にも拡大しています。不正利用による被害額は4倍以上にも増えており、年々増加傾向にあります。
引用:クレジットカードのセキュリティ対策について|経済産業省(p.2)
年々増加しているクレジットカードの不正利用を防ぐため、EC運営者は3Dセキュア2.0を導入し、不正利用対策を行わなくてはなりません。
クレジットカードセキュリティガイドラインとは
クレジットカードには「クレジットカードセキュリティガイドライン」が設けられています。クレジットカードセキュアガイドラインとは、消費者が安心・安全にクレジットカードを利用できる環境を整えるために取り組みをまとめたものです。
EC運営者がクレジットカード決済に関して行うべきクレジットカード情報の漏えいや、不正利用対策が掲載されているため、3Dセキュアの導入と同時に確認しておきましょう。
参考:クレジットカード・セキュリティガイドライン【5.0 版】
3Dセキュアとは?
3Dセキュアは、インターネット上でクレジットカード決済をする際に、不正利用を防ぐための本人確認システムです。3Dセキュアには、1.0と2.0の種類があり、それぞれ仕組みや流れが異なります。
ここからは、3Dセキュア1.0と2.0の違いを詳しく紹介します。
3Dセキュア1.0について
3Dセキュア1.0は、1999年にVISAが開発した本人認証システムです。ECサイトなど非対面での決済時に、利用者が事前に登録したパスワードを入力し、一致した場合に決済が完了します。
ただし、パスワードが一致すれば認証をクリアできるため、何らかのトラブルによってパスワードが流出した場合は不正利用される可能性があるのが難点です。さらに、3Dセキュアのパスワードを忘れてしまったり、入力が面倒でカゴ落ちしたりする可能性が高いのもデメリットといえるでしょう。
3Dセキュア2.0について
3Dセキュア2.0は、1.0が抱えていた課題を改善し、安全かつ利用しやすいよう改良された新しいバージョンです。クレジットカード情報を入力し、本人確認画面に従い進むと決済が完了します。
3Dセキュア2.0の本人確認画面では、生体認証やワンタイムパスワードなど、情報を利用します。そのため、1.0に比べるとなりすましの被害に遭いづらいのが特徴です。
また3Dセキュア2.0では、クレジットカードの不正利用のリスク判定をリアルタイムで実施し、不正利用の可能性が高い決済に限定して本人認証を行います。そのため、すべてのカード所有者に対して本人認証を行う「3-Dセキュア1.0」と比べて、本人認証画面でのドロップ率(離脱率)が低くなることがメリットです。
「3Dセキュア1.0」「3Dセキュア2.0」の違いにつきましては、こちらの記事もご参照ください。
3Dセキュア2.0の義務化で必要な対応
3Dセキュア2.0の導入が義務化されることで、EC運営者は利用者の個人情報の流出を防ぐための施策を行う必要があります。すでに不正利用が発生しているECサイトは、速やかに3Dセキュア2.0を導入するよう「クレジットカードセキュリティガイドライン」に明記されています。
さらに、現在3Dセキュア1.0と2.0では仕様が大きく異なるため、1.0を導入しているECサイトはシステム連携や開発を行わなくてはなりません。2025年に3Dセキュア2.0導入を目指せるよう、早めにシステム連携などに着手しましょう。
3Dセキュア2.0を導入しないとどうなる?罰則は?
2025年を目処に3Dセキュア2.0の導入が義務化されますが「導入しない場合、罰則はあるの?」と疑問を抱いている方もいるのではないでしょうか。
現時点では、法的な罰則は発表されていません。しかし、クレジットカード会社では原則3Dセキュアを導入するよう推奨されており、段階的なペナルティによって最終的にクレジットカード決済が利用できなくなる可能性があります。
3Dセキュアを導入せず不正利用が続いてしまうと、利用者からの信用が失われるリスクもあります。積み上げてきた信頼が失われる可能性もあるため、不正利用されないような対策を行いましょう。
【注意】3Dセキュアは必ずしも不正利用を防げるわけではない
3Dセキュアを導入したからといって、必ずしも不正利用を防げるわけではありません。サイバー攻撃や内部関係者によって不正利用される可能性もあります。不正利用を防ぐためには、3Dセキュア以外に不正注文検知システムなどを導入し、セキュリティ対策を強化しましょう。
経済産業省からはECサイト運営者向けに「ECサイト構築・運用セキュリティガイドライン」を公開しています。3Dセキュアの導入と合わせてガイドラインも確認しておきましょう。
不正利用を防ぐための対策
クレジットカードの不正利用を防ぐには、3Dセキュアの導入が欠かせません。クレジットカード会社のガイドラインでは、原則3Dセキュアを導入するよう発表されています。導入せずにいると、段階的に罰則が発生し、最終的にクレジットカード決済を利用できなくなる可能性があるため、注意が必要です。
ここからは、3Dセキュア以外の不正利用を防ぐための対策を3つ紹介します。
reCAPTCHAの導入
不正利用を防ぐためには「reCAPTCHA」の導入を検討しましょう。特に近年は悪質なbotによる不正アクセスが増加しており、多額の損害が出ている事例もあります。reCAPTCHAは、Googleが提供するサービスであり、ECサイトを訪問したユーザーが「人間」か「bot」かを判断するシステムです。
reCAPTCHA v3ではAIによる自動学習機能が搭載されているため、ユーザーがチェックボックス認証や画像認証をする必要がない利便性の高さが魅力です。
reCAPTCHAについて詳しく知りたい方は、下記ページも合わせてご覧ください。
不正注文検知サービスの導入
不正注文検知サービスも不正利用対策に効果的です。例えばSBPSの「AI不正検知」であれば、不正利用されたクレジットカードの利用傾向を学習したAIが、過去の事例と似たようなクレジットカードの利用を自動で検知します。
不正利用の可能性が高いと検知された注文は、通常と変わらず注文手続きは完了します。その後、管理画面などに本人確認を推奨するようなアラートが表示されるため、不正利用対策として利用できます。
不正注文検知サービスについて詳しく知りたい方は、下記ページも合わせてご覧ください。
入力制限を設ける
不正利用を防ぐには、カード番号や有効期限、セキュリティカードなどの入力制限を設けるのもおすすめです。入力制限を設けることで、クレジットカード情報の総当たりによる割り出しを回避できます。規定の回数を超えると、クレジットカードに一時的なロックがかかり、利用者本人がロックを解除しないと利用を再開できないため、セキュリティ対策におすすめです。
futureshopは3Dセキュア2.0に対応しています
futureshopでは、2025年に義務化が決定した3Dセキュア2.0に対応しています。また、3Dセキュア以外に「セキュリティコード(CVV2)」や「AI不正検知 for futureshop」なども扱っています。決済オプション「SBPS」をご利用中の方は、無償でセキュリティ対策のご利用が可能です。
それぞれのセキュリティ対策の詳細は、下記ページをご覧ください。
まとめ
3Dセキュアは、インターネット上のクレジットカードの不正利用を防ぐ本人確認システムです。経済産業省は2025年を目処に3Dセキュア2.0の導入を義務化すると発表しているため、3Dセキュアに対応していないECサイトは速やかに対応する必要があります。
ただし、3Dセキュアを導入したからといって必ずしも不正利用を防げるわけではありません。不正利用を防ぐには、3Dセキュア以外にbot対策や不正注文検知サービス、入力制限など様々な対策を講じることが大切です。
