ネットショッピングなどでクレジットカードを使用するときには、カード番号と有効期限年月日、セキュリティーコードを入力し決済を行いますが、カード情報の盗用などのカード不正利用による被害が大きな関心事になっています。
このようなカード所有者本人の「なりすまし」によるカード不正利用を防止するために、最近、事前に登録・取得したパスワードを入力することで、カード所有者本人の確認を行う「3Dセキュア」といわれる本人認証サービスが導入されています。
ところが、ネットショップ利用者にとって決済時のカード情報入力時に、もうひと手間増える「3Dセキュア」により、ショップを離脱する「カゴ落ち」現象が生じ、ECサイト加盟店にとっては無視できないほど収益に影響を及ぼしています。
ここでは、3Dセキュアについて
・「3Dセキュア」とは?
・「3Dセキュア」導入メリット
・「3Dセキュア」のデメリット「カゴ落ち」
・「3Dセキュア」1.0から2.0へ
・「3Dセキュア2.0」とは
・「3Dセキュア2.0」で何が変わったか
について解説します。
目次
1 「3Dセキュア」とは
「3Dセキュア」とはインターネットショッピングなどオンラインでクレジットカード決済を選択した際に、「本人である」ことを認証をする仕組みのことです。
これまではクレジットカードで決済を行うときカードの所有者は、カード番号、カード有効期限、セキュリティーコードを入力して決済を行ってきましたが、ここまではクレジットカードの有効性の確認であり、すべてカードに記載されているもので、使用しようとしている本人の確認は行われていません。
この隙間をついて、フィッシングなどによるカードの盗用、スキミングによる偽造カードなどによるカード不正利用が続出しています。
これらのクレジットカード不正利用を防止するために、カード会社ではカード保有者に対し従来からのカード番号などのカード情報の他に「自分しか知らないパスワード」の設定を行うよう求めます。つまりこれでカード使用者が本人であることを認証するのです。
これが「3Dセキュア」と呼ばれる新たなセキュリティシステムです。
「自分しか知らないパスワード」は、事前にクレジットカード会社にパスワードを登録します。
「3Dセキュア」では、カード保有者がクレジットカード使用するときには、カードを所持していることのほかに、「自分しか知らないパスワード」の照会が行われることにより、改めてカード所有者本人であることの二重の確認が行われることで、第三者による不正利用を抑制できるというわけです。
2 「3Dセキュア」のメリット
(1)セキュリティ精度を高めカード不正利用の防止につながる
本人確認が厳重になり、カードそのものを盗用されたり、 カード番号を取得されたりしても、3Dセキュアを導入しているサイトではパスワードが入力されなければ決済が行われることはありません。
(2)チャージバック時の事業者負担を軽減できる
「チャージバック」とは、
クレジットカードの保有者が不正使用などの理由により利用代金の支払に同意しない場合に、クレジットカード会社がその代金の売上を取消しすることです。
この場合、カード利用者の本人確認がされている場合にはクレジットカード会社が負担することになりますが、本人確認がなされていない場合には、販売元である加盟店がクレジットカード会社に利用代金を返金することになります。
その結果、販売元である加盟店はクレジットカード会社に利用代金を返金しなければならず、さらに商品も戻ることはないため、損害が発生します。
購入する側にとっては安心できるルールですが、ECサイト加盟店など事業者にとっては大きな痛手となります。
ただし、チャージバック時の取り消された売上は、カード利用者の本人確認がされている場合にはクレジットカード会社が負担することになります。
この本人確認がリアル店舗などの対面決済ではサインや暗証番号にあたり、ECサイトなどの非対面決済では3Dセキュアになります。
このようにカード使用時における本人確認が厳重になる3Dセキュアを導入されることで、チャージバック発生時のECサイト加盟店の返金リスクを回避できる可能性が高まります。
4 「3Dセキュア」のデメリット「カゴ落ち」
「3Dセキュア」が導入されるとネットショップを訪れた購入者は決済前のカード情報入力時に3Dセキュア用のパスワードを入力する必要があり、決済前にもう一つ手順が増えることになります。
この増えるひと手間が購入を断念してしまう「カゴ落ち」につながるケースが増える懸念があります。
◆「カゴ落ち」とは
「3Dセキュア1.0」では、ネットショップを訪れた購入者は決済前のカード情報入力時に3Dセキュア用のパスワードを入力する必要があり、決済前にもう一つ手順が増えることになっていました。
このことにより、購入者は、
・見慣れないパスワード入力画面にとまどう
・今までとは違う手順に不信感を持つ
・3Dセキュアのパスワードを忘れてしまう
などにより、購入を断念してしまう「カゴ落ち」(購入離脱)が少なからず生じていました。
この「かご落ち」の懸念がEC事業者などにとっては無視できないほど大きなものになっていたのです。
5「3Dセキュア」は1.0から2.0へ
3Dセキュア」は、2022年10月から「3Dセキュア2.0」への切り替えが行われており、クレジットカード業界全体としても「3Dセキュア 2.0」への切り替えを推進しています。
「3Dセキュア 2.0」では、
・SMSやアプリを用いたワンタイムパスワード
・指紋や顔などの生体認証
・モバイル端末によるQRコードスキャン
など、さまざまな認証方法に対応しており、より本人確認が厳重となることで、セキュリティが向上するようになりました。
「3Dセキュア1.0」は、2022年10月にほぼサポートが終了し、2.0への移行が進められています。
「3Dセキュア2.0」はVisa、Mastercard、JCB、American Express、Diners Club Internationalの5ブランドに対応しています。
◆「3Dセキュア 2.0」では本人認証はリスクが高い場合のみ行う
クレジットカード保有者がカード決済を行う際に、クレジットカードの利用履歴や、カード決済を行う人が使用しているデバイス、さらには購入時の商品の配送先住所といった複数の情報をリアルタイムに分析し、不正利用の可能性を判定します。
こうした判定方法を「リスクベース認証」と呼びます。
「リスクベース認証」の詳細については次のリンクをご覧ください
⇒ https://www.lrm.jp/security_magazine/risk-based/
この「リスクベース認証」の結果、不正注文の可能性が高いと判断された場合は、ワンタイムパスワードや生体認証により本人認証を行うことになります。
それとは逆に、「リスクベース認証」によって不正注文の可能性が低いと判断された場合は、従来のようにIDやパスワードを入力する必要がなく、本人認証を行わずに決済が行われます。
6「3Dセキュア2.0」で何が変わったか
クレジットカード業界では、「3Dセキュア 1.0」は、Visa、Mastercard、American Expressは2022年10月中、JCBは2023年までにそれぞれサポートが終了しています。
「3Dセキュア 1.0」では導入加盟店でのチャージバック負担がありませんでしたが、各カードブランドにおける「3Dセキュア 2.0」への切替えに対応していない場合、以前のように加盟店がチャージバック負担を負う必要が生じることがあります。
したがって、ECサイトやオンラインサービスの加盟店は早めに対応しておくことが重要です。
◆「ワンタイムパスワード」
ワンタイムパスワードとは、1回限り使えるパスワードのことで、万が一これが流出した場合でも、そのパスワードは一定時間経過したり一度認証がすまされたりしたあとでは無効となります。
ワンタイムパスワードには、
・チャレンジレスポンス方式
・時刻同期方式 (タイムスタンプ方式)
の二つの方式があります。
それぞれの詳細については、次のリンクをご覧ください。
⇒ https://www.kagoya.jp/howto/it-glossary/security/one-time-password/
◆生体認証
生体認証とは、「指紋や静脈、声など、身体の一部やそれに準ずる要素を使って本人を特定する仕組みのことで、紛失しないことと、登用されにくいことなどがあります。
生体認証がどのように行われるかはカード発行会社の認証仕様によります。
生体認証の仕組みなどについては、次のリンクをご覧ください。
⇒ https://www.nttcom.co.jp/dscb/column/detail70/index.html
7 まとめ
ECサイト加盟店などにとってはカゴ落ちという大きなリスクを抱えながら出発してきた3Dセキュアですが、「3Dセキュア2.0」に移行することにより、かなりの高率で不正注文の可能性が低いと判断される現状から、本人認証を行うことなく決済が行われることは、EC事業者にとって大きな朗報となります。
3Dセキュアを導入したとしても現実問題として、カードの不正利用が根絶されるものではありません。
「3Dセキュア1.0」ではチャージバックをクレジットカード会社が補償する制度がありましたが、「3Dセキュア2.0」にバージョンアップされた現在では、「3Dセキュア1.0」利用の取引でカード不正利用による損害については、カード会社からのチャージバックの保証が受けられなくなっていることから、「3Dセキュア2.0」へのバージョンアップが急がれます。
今でもクレジットカードの情報を盗み出そうとする動きはネット社会に満ち溢れています。いつなんどき3Dセキュアをかいくぐった新手のカード不正利用が現れるかもわかりません。
カード利用者はカードの情報管理に万全を期すに越したことはありません。
コメントを残す