3Dセキュアについて、本ブログで以前、かご落ちが増える恐れがあると書きました。
⇒クレジットカードへの3Dセキュア導入で「カゴ落ち」が増える心配が....
3Dセキュアが2022年10月から3Dセキュア1.0から順次2.0に切り替わっています。
1.0から2.0に代わることによりカード利用者やEC事業者の対応がどのように変わったのでしょうか。
目次
1「3Dセキュア」とは
「3Dセキュア」とはインターネットショッピングなどオンラインでクレジットカード決済を選択した際に、「本人である」ことを認証をする仕組みのことです。
これまでクレジットカードで決済を行うときカードの所有者は、カード番号、カード有効期限、セキュリティーコードを入力して決済を行ってきましたが、ここまではクレジットカードの有効性の確認であり、すべてカードに記載されているもので、使用しようとしている本人の確認は行われていません。
この隙間をついて、フィッシングなどによるカードの盗用、スキミングによる偽造カードなどによるカード不正利用が行われる恐れがあります。
これらのクレジットカード不正利用を防止するために、カード会社ではカード保有者に対し従来からのカード番号などのカード情報の他に「自分しか知らないパスワード」の設定を行うよう求めるようになりました。つまりこれでカード使用者が本人であることを認証するのです。
これが「3Dセキュア」と呼ばれるセキュリティシステムです。
「自分しか知らないパスワード」は、事前にクレジットカード会社にパスワードを登録します。
「3Dセキュア」では、カード保有者がクレジットカード使用するときには、カードを所持していることのほかに、「自分しか知らないパスワード」の照会が行われることにより、カード使用者が改めてカード所有者本人であることの二重の確認が行われることで、第三者による不正利用を抑制できるというわけです。
3Dセキュアは、Visa、Mastercard、JCB、American Expressの4ブランド共通の、世界的な本人認証として広く利用されています。
2「3Dセキュア1.0」では「かご落ち」のリスクがある
「3Dセキュア1.0」では、ネットショップを訪れた購入者は決済前のカード情報入力時に3Dセキュア用のパスワードを入力する必要があり、決済前にもう一つ手順が増えることになっていました。
このことにより、購入者は
・見慣れないパスワード入力画面にとまどう。
・今までとは違う手順に不信感を持つ。
・3Dセキュアのパスワードを忘れてしまう。
などにより、購入を断念してしまう「カゴ落ち」(購入離脱)の懸念が常につきまとっていました。
この「かご落ち」がEC事業者などにとっては無視できないほど大きなものになっていたのです。
3 「3Dセキュア2.0」では何が変わるのか
「3Dセキュア1.0」は、2022年10月にほぼサポートが終了し、2.0への移行が進められています。
「3Dセキュア2.0」はVisa、Mastercard、JCB、American Express、Diners Club Internationalの5ブランドに対応しています。
「3Dセキュア1.0」では、カード所有者が登録したパスワードで本人認証を行いますが、「3Dセキュア2.0」は、ワンタイムパスワードや生体認証などを使って本人認証を行おうとするもので、クレジットカードの不正利用のリスク判定をカード使用時ごとにリアルタイムで実施し、不正利用の可能性が高い決済に限定して本人認証を行います。
①ワンタイムパスワード
ワンタイムパスワードとは、1回限り使えるパスワードのことで、万が一これが流出した場合でも、そのパスワードは一定時間経過したり一度認証がすまされたりしたあとでは無効となります。
ワンタイムパスワードには、
・チャレンジレスポンス方式
・時刻同期方式 (タイムスタンプ方式)
の二つの方式があります。
それぞれの詳細については、次のリンクをご覧ください。
⇒ https://www.kagoya.jp/howto/it-glossary/security/one-time-password/
②生体認証
生体認証とは、「指紋や静脈、声など、身体の一部やそれに準ずる要素を使って本人を特定する仕組みのことで、紛失しないことと、登用されにくいことなどがあります。
生体認証がどのように行われるかはカード発行会社の認証仕様によります。
生体認証の仕組みなどについては、次のリンクをご覧ください。
⇒ https://www.nttcom.co.jp/dscb/column/detail70/index.html
4 「3Dセキュア2.0」で変わること
3Dセキュアが1.0から2.0に変わったことで何がどう変わるのでしょうか。
①本人認証は不正使用リスクが高い場合のみ行う
クレジットカード保有者がカード決済を行う際に、クレジットカードの利用履歴や、カード決済を行う人が使用しているデバイス、さらには購入時の商品の配送先住所といった複数の情報をリアルタイムに分析し、不正利用の可能性を判定します。
こうした判定方法を「リスクベース認証」と呼びます。
「リスクベース認証」の詳細については次のリンクをご覧ください
⇒ https://www.lrm.jp/security_magazine/risk-based/
この「リスクベース認証」の結果、不正注文の可能性が高いと判断された場合は、ワンタイムパスワードや生体認証により本人認証を行うことになります。
それとは逆に、「リスクベース認証」によって不正注文の可能性が低いと判断された場合は、従来のようにIDやパスワードを入力する必要がなく、本人認証を行わずに決済が行われます。
②「カゴ落ち」が少なくなる
「3Dセキュア2.0」では、「リスクベース認証」による判定において、不正注文の可能性が低いと判断されるケースがほぼ95%程度を占めると言われており、大半の顧客は本人認証を行うことなくカード決済が完了するものと見られており、「3Dセキュア1.0」で明るみに出た購入を断念してしまう「カゴ落ち」の懸念が格段に少なくなるものと思われ、EC事業者にとっては歓迎すべきことになります。
③「3Dセキュア1.0」のチャージバックの補償がなくなる
「3Dセキュア1.0」では、認証済の取引のチャージバックをクレジットカード会社が補償する制度がありました。しかし、複数の国際ブランドが2022年10月で1.0のサポートを終了することを宣言しているため、この補償制度もなくなることになります。
したがって、2022年10月以降にクレジットカードの不正利用が発生した場合、「3Dセキュア1.0」による本人確認が行われた取引であっても、加盟店がチャージバック補償を受けることができなくなるのです。
つまり、「3Dセキュア2.0」発効後に1.0を利用した取引で不正利用による売上損失が生じて場合、加盟店がこの損害を負担する必要があります。
「3Dセキュア2.0」での利用であれば、基本的にカード会社の負担になり、加盟店の負担はありません。
チャージバックとは
不正利用などで、クレジットカード会社が債権譲渡を取り消すことです。チャージバックがあると、ネットショップは売上金を受け取ることができない。
4 まとめ
ECサイト加盟店などにとってはカゴ落ちという大きなリスクを抱えながら出発してきた3Dセキュアですが、「3Dセキュア2.0」に移行することにより、かなりの高率で不正注文の可能性が低いと判断されることにより、本人認証を行うことなく決済が行われることは、EC事業者にとって大きな朗報となります。
3Dセキュアを導入したとしても現実問題として、カードの不正利用が根絶されるものではありません。
「3Dセキュア1.0」ではチャージバックをクレジットカード会社が補償する制度がありましたが、「3Dセキュア2.0」にバージョンアップされた現在では、「3Dセキュア1.0」利用の取引でカード不正利用による損害については、カード会社からのチャージバックの保証が受けられなくなっていることから、「3Dセキュア2.0」へのバージョンアップが急がれます。
今でもクレジットカードの情報を盗み出そうとする動きはネット社会に満ち溢れています。いつなんどき3Dセキュアをかいくぐった新手のカード不正利用が現れるかもわかりません。
カード利用者はカードの情報管理に万全を期すに越したことはありません。
コメントを残す