ECサイトやオンラインサービスにおいて、クレジットカード決済のセキュリティは非常に重要な課題です。オンラインショッピングの拡大に伴い、フィッシングやサイバー攻撃などによるカード情報の漏洩や、それに伴うクレジットカードの不正利用が急増しており、EC事業者にとっては大きなリスクとなっています。
このような状況を受け、クレジットカード決済の安全性を確保するため、全てのEC加盟店において、2025年3月末を目途にEMV 3-Dセキュア(3Dセキュア2.0)の導入が義務化されます。EMV 3-Dセキュア(3Dセキュア2.0)は、クレジットカード決済時にカード利用者が本人であることを確認する仕組みで、なりすましによる不正取引を防ぐために国際カードブランドが推奨する本人認証サービスです。
この記事では、EMV 3-Dセキュア(3Dセキュア2.0)義務化の背景や仕組み、導入ステップを詳しく解説し、さらにセキュリティを強化するために推奨される対策についても紹介します。義務化に伴い、EC事業者として何をすべきか、具体的なアクションを考えていきましょう。
なぜEMV 3-Dセキュアが義務化されたのか?
なぜ、原則全てのEC加盟店にEMV 3-Dセキュアの導入が義務化されることになったのか、ここでは、その背景や政府やクレジットカード業界の取り組みについて、詳しく見ていきましょう。
クレジットカード不正利用被害は過去最高の541億円に
ECの普及や政府によるキャッシュレス決済の推進に伴い、キャッシュレス決済の利用は大幅に拡大しています。そのうち、クレジットカード決済は84.5%と圧倒的なウェイトを占めており、キャッシュレス化が進む中で、同時に不正利用被害も増加しています。
2023年には、クレジットカードの不正利用被害額が前年から104億円も上回り、過去最高の541億円(前年比23.9%増)に達しました。その中でも、ECなどの「非対面取引」におけるクレジットカード番号の盗用による被害が504億円と、全体の9割以上を占めています。
【国内発行クレジットカードにおける年間不正利用被害額推移】
【クレジットカード不正利用被害の状況】
出典:日本クレジット協会「クレジットカード不正利用被害の状況について」
不正利用被害が増加する背景
不正者の手口は年々、巧妙化、深刻化しています。ECサイトや決済代行業者などの企業を標的にしたサイバー攻撃や、消費者を対象にしたフィッシング詐欺によって、クレジットカード情報が窃取されるケースが多発しています。これらの盗まれたカード情報は、ダークウェブ上で売買され、なりすましによる不正取引が広範囲にわたり横行しているのが現状です。
前述の通り、オンライン決済の機会が急速に増加していることも、不正利用の増加を後押ししています。特にコロナ禍以降、消費者の生活がオンライン中心にシフトしたことが、サイバー犯罪者にとって格好のターゲットとなっています。
このような背景から、オンライン取引におけるセキュリティ対策の強化が今まで以上に求められているのです。
政府・カード業界を横断したカードセキュリティ対策の推進
政府とクレジットカード業界(カード取引に携わる各事業者)は、ECサイトでのカードセキュリティ対策として、これまでに複数の対策を講じてきました。
まず、改正割賦販売法に基づき、2018年、EC加盟店における「クレジットカード情報の非保持化*1」が義務付けられました。これにより、EC事業者が自社環境にカード情報を保持せず、情報漏洩のリスクを軽減する措置がとられました。
しかしながら、カード情報非保持化の義務化によって、不正利用被害は減じませんでした。これは、ECサイトの設定の不備や脆弱性を狙った不正アクセス、クレジットマスター*2が多発したことや、フィッシングによるクレジットカード情報の窃取等により、これらのカード情報が悪用されたためです。
これらを防止するEC 加盟店での取組みの一環としてEMV 3-Dセキュアの導入が義務化されたのです。
■ EC加盟店に要請される取り組み
1)カード情報の漏洩防止
・ ECサイトの脆弱性対策(脆弱性診断、システム設定の改善、ウイルス対策等)
2)不正利用対策
・ EMV 3-Dセキュアの導入
・決済前・決済時・決済後の各時点での多面的・重層的な不正利用対策の導入
これらの方針は、経済産業省と日本クレジット協会が共同策定する「クレジットカード・セキュリティガイドライン」に掲載されています。
■ クレジットカード・セキュリティガイドライン
安全・安心なクレジットカード利用環境を整備するため、クレジットカード取引に関わるカード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組みを指針としてまとめたものです。
URL:https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines_5.0_published.pdf
*1 クレジットカード情報の非保持化とは:カード情報の漏洩を抑止するため、事業者が保有する機器やネットワークでカード情報を「保存」「処理」「通過」しないことを指します。
*2 クレジットマスターとは:クレジットカード番号の規則性を利用し、機械的にカード番号を生成して他人のカード番号を割り出す攻撃の手口。ECサイトにプログラムによるランダムな大量アタックを行うことで、有効なカード情報を見つけ出し窃取します。
EMV 3-Dセキュア(3Dセキュア2.0)の仕組み
EMV 3-Dセキュア(3Dセキュア2.0)は、カード発行会社(イシュア)がカード利用者のデバイス情報を含む多様な情報をもとに、不正利用のリスクを判断し、必要に応じてパスワード入力などを要求することで取引の安全性を高める、国際標準の本人認証システムです。
従来の3Dセキュア1.0では、全ての取引でID・パスワードによる認証が必要で、カード会社の認証画面に遷移するため、認証プロセスが煩雑でした。その結果、利用者が決済途中で離脱してしまうケースが多く、コンバージョン率の低下が大きな課題となっていました。また、スマートフォンの普及が進む中で、スマホアプリ内課金が非推奨であったことも、不便さを助長していました。
これらの課題を解決するために大幅に改良されたのが、EMV 3-Dセキュア(3Dセキュア2.0)で、リスクベース認証とフリクションレスフローが大きな特徴です。
リスクベース認証は、PCやスマートフォンなどのデバイス情報、IPアドレス、OS・ブラウザ言語なども含む決済情報をもとに、カード会社がリアルタイムで取引のリスクを評価します。高リスクと判断された取引は、必要に応じてワンタイムパスワードや生体認証などで追加認証が求められます。一方、低リスクと判断された取引では、フリクションレスフローより追加認証なしで決済が完了し、利用者に負担をかけることなく安全な取引が実現します。
これら二つの仕組みによって、セキュリティを強化しながらも、利用者は煩雑な手続きを必要とせず、快適に取引を完了できる環境が提供されています。
EMV 3-Dセキュアの導入にあたって
EMV 3-Dセキュア(3Dセキュア2.0)の導入には、事業者側でのシステム改修や、決済代行会社などとの連携が必要です。ECカートや決済システムの利用状況に応じて、導入プロセスや対応が異なるため、まずは現在のシステム環境を確認し、適切な対策を講じることが求められます。
開発
EMV 3-Dセキュア(3Dセキュア2.0)を導入する際には、リスクベース認証を行うためのデバイス情報、行動情報、属性情報などを決済プロバイダーに提供するためのパラメータ連携が必要となります。そのため、システム開発や改修が必要な場合もあります。
ECパッケージ・カートを利用している場合
現在利用しているECカートシステムがEMV 3-Dセキュアに対応しているかどうかは、ベンダーに確認するのが推奨されます。DGコマースが提供するSI Web Shoppingをはじめ、多くのECパッケージ・カートはすでにEMV 3-Dセキュア対応済みであり、システム開発の手間を省くことができます。ECパッケージを利用することで、EMV 3-Dセキュアの導入は非常にスムーズに進めることが可能です。
その他のケース
ECパッケージ・カートを利用していない場合、まずは現在利用している決済代行会社に対応状況を確認することをおすすめします。事業者ごとの状況に合わせた導入方法を提案してもらえるため、効率的に移行を進められます。
個人情報の第三者提供への同意取得
EMV 3-Dセキュアでリスクベース認証に用いる利用者の属性情報、使用デバイス・ブラウザ、行動情報などが、個人情報に該当する場合があります。また、取得した情報を第三者(カード発行会社)に提供することとなり、個人情報保護法に従い、利用者から明確な同意を取得することが求められます。
利用目的を明確にし、カード利用者にデバイス情報や行動データの収集理由を事前に説明し、同意を取得することが必要です。また、個人情報を第三者に提供する際には、その内容と範囲を通知し、適切なタイミングで同意を得ることが重要です。
EMV 3-Dセキュアだけでは万全ではない?
EMV 3-Dセキュアは不正利用を防ぐための重要なセキュリティ対策のひとつです。しかし、単独で導入するだけでは全てのリスクに対応できるわけではありません。特に進化する不正手法に対しては、より包括的な対策が求められています。
包括的なセキュリティ対策の必要性
クレジットマスターやアカウント乗っ取りなど年々進化する不正手法の中には、特にAIを活用した高度な攻撃も増加しています。こうした高度な攻撃に対応するには、EMV 3-Dセキュアの導入だけでは不十分です。そこで、より包括的なセキュリティ対策が必要となります。
前述の「クレジットカード・セキュリティガイドライン」においても、EC加盟店には「決済前・決済時・決済後の各時点での多面的・重層的な不正利用対策を講じること」が求められています。これは決済時の「点」での対策だけでなく、顧客が購入に至るまでの各段階に潜む不正リスクに対して、各ステップに応じた多層的なセキュリティ対策、つまり「線の対策」が重要であることを意味します。
【不正対策の考え方(「線」の考え方)】
出典:クレジット取引セキュリティ対策協議会「クレジットカード・セキュリティガイドライン【5.0版】の主なポイントについて」
特に、EMV3Dセキュアを導入しても不正利用が多発している事業者には、多面的・重層的な不正利用対策として、属性・行動分析などの追加施策を導入することが求められます。
EMV3Dセキュアによるカゴ落ち
EMV 3-Dセキュアでは、リスクベース認証によるフリクションレスフローにより、低リスクのユーザーには認証を求めない仕組みが導入されています。これにより、3Dセキュア1.0に比べてカゴ落ちが発生しにくいとされています。しかし、実際には、一定のチャレンジフロー発生率があり、依然としてカゴ落ちが発生するケースが見受けられます。
不正検知サービスとの併用がおすすめ
「線の対策」を実現するためには、EMV 3-Dセキュアに加え、決済前・決済時・決済後のすべてのプロセスをカバーする「属性・行動分析」として不正検知サービスの併用がおすすめです。不正検知サービスを活用することで、取引の各段階における不正リスクを判断し、精度の高いセキュリティ対策を実現できます。
オーソリ承認率向上を図り、売上機会の拡大に
不正検知サービスの導入は、一見「守り」の対策に思われがちですが、実際には売上拡大にもつながる取り組みです。
EMV3Dセキュアを導入していても不正利用が多い場合、不正利用によるチャージバックは回避することができますが、同時にオーソリ審査が厳しくなり、オーソリ承認率が低下するリスクが発生します。結果、正規ユーザーのカード利用が承認されず、売上機会を逃してしまう可能性があります。
EMV3Dセキュアと不正検知サービスを併用することで、不正利用のリスクを削減し、ECサイトの信頼度を高めオーソリ承認率を向上させ、売上機会の拡大を図ることができるのです。
EMV3Dセキュアによるカゴ落ち防止に
EMV3Dセキュアによるカゴ落ちの防止にも、不正検知サービスを活用できます。
具体的には不正検知サービスを使用して取引のリスクレベルを事前に判断します。ハイリスクと判断された取引は決済フローに進めず、注文を拒否します。ミドルリスクの取引やカード登録・初回利用時の取引のみをEMV 3-Dセキュアで認証する運用とし、低リスクの取引については、EMV 3-Dセキュアによる認証を省略することで、カゴ落ちを最小限に抑えつつ、セキュリティと利便性を両立させます。
不正ログイン対策にも
「決済前」の対策として挙げられている「不正ログイン対策」にも、一部の不正検知サービスは対応しています。ログイン時、会員登録時、会員情報変更時などの、注文や決済以外の場面でも不正検知を行うことができ、ワンプラットフォームでログインから決済に至るまでを一貫して監視できるため、より強力な「線の対策」が実現します。
AIを活用した不正検知サービス「Sift」
「線の対策」すべての段階に対応できる不正検知サービスとして、当社のグループ会社スクデットが提供する、AIを活用した「Sift」があります。Siftは、リアルタイムで機械学習モデルを駆使して高精度なリスク判定を行い、EC事業者が直面する、クレジットカード不正利用、アカウント乗っ取り、偽アカウント作成、スパムコンテンツ投稿など、広範囲にわたる不正手法に総合的に対応できるソリューションです。
サービスサイト:https://sift.scudetto.com/
導入事例:Siftで不正利用が9割以上減少、業務工数も7割削減! 綿半パートナーズの成功事例
まとめ
EMV 3-Dセキュアは、クレジットカード決済の不正利用を防止し、安全性を大きく向上させる重要なセキュリティ対策です。しかし、単独ではすべての不正リスクに対応することは難しく、より包括的な対策が必要です。不正検知サービスを併用することで、取引の各段階で不正を防止し、カゴ落ちを抑えつつ、オーソリ承認率を向上させることが可能です。これにより、万全なセキュリティ対策と売上機会の最大化が実現します。
DGコマースは、業界大手のペイメントプロバイダーであるDGフィナンシャルテクノロジーや、オンライン不正対策のソリューションとコンサルティングを提供するスクデットをグループ企業に持ち、これらの豊富なノウハウを活かしたサポートが可能です。セキュリティに関するお困りごとやご相談があれば、ぜひお気軽にお問い合わせください。
