コラム
COLUMN
2025.02.18
EMV3-Dセキュアは、クレジットカードの不正利用を防止する技術です。ECサイトでは導入が義務化されました。当記事では、基礎知識やメリットを知りたいECサイト事業者の方に向けて、EMV3-Dセキュアの特徴を紹介します
EMV3-Dセキュア(イーエムブイスリーディーセキュア)は、インターネット上のクレジットカード決済で、不正利用を防止する技術です。本人承認サービスとも呼ばれます。
以下のブランドは、EMV3-Dセキュアに対応するクレジットカードを発行しています。
・VISA
・MasterCard
・JCB
・AMERICAN EXPRESS
・Diners
ショッピング利用者は、カード会社のWebサイトやアプリからEMV3-Dセキュアの登録をします。
EMV3-Dセキュアは、ECサイトでの購入時に不正利用のリスクを判定し、クレジット決済の可否を決める仕組みです。不正利用のリスクは、3段階で判定されます。
商品やサービスの購入時にクレジットカード会社側の判定で「この購入は本人による操作の可能性が高い」と判定された場合は、そのまま購入が可能です。判定は主にアクセスするデバイスや場所、注文時の個人情報(カード会社に届け出ている住所や名前と同じかどうか、等)や過去の取引(普段数千円の買い物しかしないのに急に何十万という高い買い物をした場合など)といった条件を判断材料とし判定していると言われています。
判定に引っかかってしまい、本人であることを確認する必要が出てきた場合は本人しか受け取ることができないワンタイムパスワードなどで認証をする必要が出てきます。 明らかに他人の購入であると判定された場合は、決済を中止する措置がとられます。
EMV3-Dセキュアの重要性を認識するために、不正利用の現状を確認しましょう。
日本クレジット協会の調査では、不正利用被害の発生額は、2023年に過去最高額の540億円を記録しました。最新の2024年データでは、1月〜9月の期間で前年よりも10億円近くの減少をみせています。一方で、同期間の不正利用額は累計392億円であり、低いとはいえない金額です。
中でも「番号盗用」が90%以上の割合を占めます。とくにECサイトでは、非対面で番号を記入できる環境にあるため、番号盗用による不正利用が多いといえます。
出典:日本クレジット協会|クレジットカード不正利用被害の発生状況
前述のようにクレジットカード不正利用が多発する現状を踏まえ、経済産業省は2024年3月15日に「クレジットカード・セキュリティガイドライン」を改訂しました。このガイドラインは、カード会社・加盟店・決済事業者に向けた行動指針です。
不正利用対策として、2025年3月末までに、原則すべてのEC加盟店でEMV3-Dセキュアの導入が義務づけられます。なかでも、不正利用が多発するECサイトでは、即時導入が求められています。
参考:経済産業省|「クレジットカード・セキュリティガイドライン」が改訂されました
EMV3-Dセキュア導入の必要性は理解できるが、導入するメリットや付加価値について疑問に思う方もいるでしょう。ここでは、EMV3-Dセキュアを導入するメリットを3つ紹介します。
上記で記載したようにEMV3-Dセキュアの導入で、カード不正利用のリスクを最大限抑制できます。カード番号の盗用が発生したとしても、追加認証によって決済を中止する仕組みになっているからです。
例えば、本人が使用しない別の端末から商品を購入しようとした場合を想定します。
その場合、カード利用者本人に「ワンタイムパスワード」が発行され、メールアドレス宛てに送付されます。ワンタイムパスワードとは一定且つ短時間、1度だけ使用できるパスワードです。つまり、ワンタイムパスワードを入力しない限り、購入に進むことができなくなります。
また、不正利用のリスクが高いと検知されたときは、追加認証の要求も発生せず、決済は却下されます。厳格な本人認証は大きなメリットです。
EMV3-Dセキュアを導入することで、不正利用によるチャージバックを減らせます。チャージバックとは、カード会社が決済を取り消して利用者に返金する制度です。
加盟店は、チャージバックで取り消された決済分の売上を失います。不正利用のケースでは、商品が返品される可能性は低く、返金よりも手数料がかかるため、加盟店への負担が過大です。
EMV3-Dセキュアで不正利用を抑制すると、チャージバックの発生も減ります。ただし、チャージバック自体の仕組みはあるため、不正利用以外の原因による発生はあり得ます。
EMV3-Dセキュア利用のメリットとして、かご落ち対策が進む点も挙げられます。かご落ちとは、商品をカートに入れた状態で、購入前にECサイトから顧客が離脱する現象です。購入に手間がかかったり、ECサイトが操作しづらかったりすると、かご落ちを招きます。
EMV3-Dセキュアは、従来のセキュリティである「3-Dセキュア1.0」よりも本人確認のプロセスが簡略化されています。これまでは一律で利用者に対しカード会社へのログインかワンタイムパスワードを求められていたため、ログイン情報を忘れてしまったという顧客のかご落ちリスクが高い状態にありました。
しかしEMV3-Dセキュアは上述の通り不正利用かどうかの判定を経て問題なければそのまま購入に進めるため、かご落ちのリスク改善が期待できます。
現在、EMV3-Dセキュアを未導入で、2025年3月を過ぎると罰則が生じるのではないか、と不安に感じる方もいらっしゃるのではないでしょうか。結論として、現時点での罰則規定は未整備です。
EMV3-Dセキュアの導入義務化は、ガイドライン上の努力義務にあたるといえます。努力義務の身近な例は、自転車運転時のヘルメット着用です。EMV3-Dセキュアの導入も同様に、罰則はないものの実現に向けた努力が求められます。
EMV3-Dセキュアを導入しないEC加盟店には、実務上でトラブルの発生リスクが存在するでしょう。主なデメリットは、以下のとおりです。
・経済産業省の業務改善命令を受ける可能性がある
・カード会社の加盟店契約を解除され、売上低迷のおそれがある
・セキュリティの不安を感じた顧客が離れる
EMV3-Dセキュアの導入にはシステム開発の時間と費用がかかります。カード会社や行政の指摘を受けてから導入するのではなく、早めの導入検討が大切です。
出典:経済産業省|改正割賦販売法について
ここでは、ECサイトが新たにEMV3-Dセキュアを導入するときの手順を4ステップで紹介します。導入にはシステム開発や改修をともなうため、スケジュール管理が大切です。提供先は顧客であるため、導入完了後も不備や課題に即時対応できるよう、適切な管理を続けることが要求されます。
まず、EMV3-Dセキュアの導入を進められる環境であるかを確認する必要があります。確認の対象は、利用中の決済代行事業者と決済システムです。
決済代行事業者は、カード利用のセキュリティ対策として加盟店管理や調査の義務を有するため、多くの事業者がEMV3-Dセキュアへの対応を進めています。
決済システムは、現状の機能に応じて改修の要否が決まります。改修を要するのであれば、追加費用の見積もり取得が大切です。
次に、EMV3-Dセキュアの導入方法を選定します。主な方法は、以下の3種類です。
・決済代行事業者に対応を依頼する
・システム会社に開発を依頼する
・自社でシステム開発する
一般的に決済代行事業者は決済手段を提供しているだけに過ぎないため、導入しているECサイトへのEMV3-Dセキュア対応を手がけてもらえるケースは低いかもしれません。一度対応可否をお問い合わせしてみることをお勧めします。
一般的にはECサイトを作った業者に依頼することが一番ですが、対応できないと言われてしまった場合は別のシステム会社に頼る必要が出てきます。 自社に開発チームがあれば内製もできるかもしれませんが、まずはサイトを作った業者に相談してみてから検討したほうが良いでしょう。勝手に手を加えることで今後のサポートを断られてしまう可能性もあるためです。
導入方針が固まると、スケジュールの策定に移ります。各工程の所要時間を踏まえて、運用開始日の目安を決める流れが有効です。
導入まで時間を要する工程は、主にシステム開発です。見積もりや契約、着手から完成に至るまでは一定の時間がかかるため、余裕のあるスケジュールの策定・管理が求められます。
導入前には、顧客への周知を徹底することも大切です。案内メールの送信や、Webサイト上にFAQページを作成する方法で、顧客の事前対応を促しましょう。
EMV3-Dセキュアに対応したシステムの完成後は、運用開始前のテストが重要です。正常な作動が確認できることで、はじめて顧客に提供できる状態になったといえます。
テスト段階でバグが発生したときは、決済代行事業者やシステム会社と連携を取り、速やかに改修の措置を実施しましょう。
一方で、運用開始後にも予測できないバグが発生する可能性はあります。緊急メンテナンスやアップデートの対応方針を事前にマニュアル化することで、対策が可能です。
この記事では、EMV3-Dセキュアの定義や運用方法について紹介しました。カード不正利用を防止できるEMV3-Dセキュアは、2025年3月末までに全ECサイトで導入が義務づけられています。この機会に、迅速な導入対応を進めましょう。
CONTACT
新規のホームページ制作から、
ご質問・ちょっと話を聞きたいなどお気軽にご相談ください。
