不正利用被害は減少局面へ EMV 3-Dセキュア普及後の課題とは【キャッシュレス・セキュリティレポート座談会 第2回 】
ECにおけるクレジットカード不正利用被害額は減少に転じ、EMV 3-Dセキュア導入の効果が見え始めています。一方で、導入率の伸び悩みやカゴ落ち、決済承認率の低下など、新たな課題も浮上しています。
株式会社リンクの滝村享嗣氏、YSコンサルティング株式会社の瀬田陽介氏、かっこ株式会社の小野瀬まい氏の3人が、ECサイトのセキュリティについて考える本シリーズ。第2回は、「EMV 3-Dセキュア」導入後の新たな課題、EC事業者に必要なこれからの不正対策について語ります。(全3回)
●過去コラムはこちら!
【第1回】クレジットカード情報流出は減少傾向、それでも警戒すべき「オンラインスキミング」の脅威
3Dセキュア導入で被害額は減少傾向に。一方で事業者の導入は道半ば
株式会社リンク 滝村享嗣氏(以下、滝村) 今回は、ECにおけるクレジットカードの不正利用について振り返っていきたいと思います。2025年の被害額合計は約510億円、2024年よりも下がっています。

かっこ株式会社 小野瀬まい氏(以下、小野瀬) 2024年に比べると約8%減となっています。これは2025年の3月に原則すべてのECサイトに義務づけられた「EMV 3-Dセキュア」の導入が進んだことによる効果だと考えています。日本より早く2021年に「SCA(強力な顧客認証)(※1)」が導入されたヨーロッパでは、不正利用率が金額ベースで40%~60%減少した(※2) というデータがあります。日本においても、欧州と同様にEMV 3-Dセキュアが不正利用抑制として機能し始めているといえるのではないでしょうか。
※1:SCA(Strong Customer Authentication): 欧州の決済サービス指令(PSD2)で定められた「強力な顧客認証」。多要素認証を必須とするもので、3-Dセキュアはその主要な実現手段の一つ
※2:EBA Opinion on new types of payment fraud and possible mitigants (2024年4月29日) /European Banking Authority(EBA)
YSコンサルティング株式会社 瀬田陽介氏(以下、瀬田) 依然として被害額は500億円という高い数字ではあるのですが、2014年以来初めて被害額が減少したというのは大きな意味があると思います。
滝村 しかし、完全にECのカード加盟店にEMV 3-Dセキュアの導入が進んだわけではないですよね?
小野瀬 弊社の最新調査(※3)では、導入率を見てみると年商10億円以上の事業者で65.0%、10億円未満だと52.5%となっているのでまだ半数くらいです。
※3:2025年12月 EC事業者実態調査/Cacco
滝村 義務化から1年近く経っているのに、約半数しか導入していないのにはどういう理由があるのでしょうか。
小野瀬 EC事業者がEMV 3-Dセキュアの導入に慎重になる一番の理由は、ユーザーの買い物体験を損なうのではないか、という懸念だと思います。
EMV 3-Dセキュアは、すべての取引に認証を求めるのではなく、不正利用のリスクが高いと判断された場合にのみワンタイムパスワードなどの追加認証を行う「リスクベース認証」の仕組みになっています。
ただ、認証を求められたユーザーからすると、それでも、買い物の際にひと手間増えることがありますし、そもそも操作方法が分からず戸惑ってしまうケースもあるんですよね。実際に年次版の「キャッシュレス・セキュリティレポート2025」でも、商品をカートに入れたものの購入手続きを完了せずに離脱してしまう、いわゆる「カゴ落ち」について、「EMV 3-Dセキュア」導入済みのEC事業者の約8割が増えたと感じている調査結果を紹介しています。
瀬田 ECサイトを運営するカード加盟店からすると、不正利用対策として導入義務があるとはいえ、カゴ落ちのリスクがあるのに、なぜ導入しなければならないのかという声があることも事実です。EMV 3-Dセキュアの前身となる3Dセキュア1.0は2000年にスタートしたのですが、EC事業者がカゴ落ちのリスクを嫌うため導入が進まなかったという経緯があります。26年が経っているにもかかわらず、いまだに同じ課題が指摘されているのは、やはり大きな問題だと感じます。
ただ、今後はEMV 3-Dセキュアのチャレンジ認証として、ワンタイムパスワードに代わりパスキー認証の導入が始まるので、これが普及していけば、ユーザーの手間は軽減されていくはずです。そうなれば、EMV 3-Dセキュアの加盟店の導入率も更に上がるのではないでしょうか。
(左)YSコンサルティング株式会社 代表取締役/コンサルタント 瀬田陽介氏、(右)かっこ株式会社 O-PLUX事業部 事業部長 小野瀬まい氏
小野瀬 瀬田さんのおっしゃるとおり、EMV 3-Dセキュアにおけるパスキー認証などイシュアー(カード発行会社)側の技術改善も大切ですが、EC事業者側でとれる対策もあります。
EMV 3-Dセキュアは全件導入が基本ですが、クレジットカード・セキュリティガイドライン(※4)では、サイトの不正対策の状況に応じて『どの取引に認証を適用するか』を事業者側でコントロールすることが認められています。
たとえば、一度属性・行動分析などの不正利用対策を実施した上で、疑わしい取引だけに3Dセキュア認証を適用することで、大多数の優良な利用者に対しては適用を除外する、普段の購買動向と明らかに違う取引だけに適用する、といったことが可能になります。
※4:「クレジット取引セキュリティ対策協議会 EMV 3-Dセキュア導入ガイド【附属文書14】」より
そのためには、不正検知サービスを導入し、不正ログイン対策や不正注文対策をする必要があります。EMV 3-Dセキュアだけではなく、EC事業者側が重層的な対策をすることで、ユーザーの買い物体験を損なわずセキュリティを強化できます。弊社でも不正検知サービスの提供をしていますが、EMV 3-Dセキュア導入済みのEC事業者からも多くの相談をいただいています。今後EMV 3-Dセキュアと不正検知サービスを組み合わせた決済最適化の取り組みは、トレンドになっていくのではないかと思っています。
EMV 3-Dセキュア導入の壁となる「カゴ落ち」と「決済承認率低下」
滝村 EMV 3-Dセキュアの導入によって、もう一つ課題となっているのが、イシュアーの決済承認率です。実際に「EMV 3-Dセキュアを導入してからクレジットカードの決済承認率が低下した」という話もありますが、これはどういうことなのでしょうか。
瀬田 EMV 3-Dセキュア導入後に決済承認率が下がるのは、イシュアー側がクレジットカード決済の取引承認の基準を厳しくしなければならない事情から来ていると思います。というのも、EC加盟店においてクレジットカードの不正利用による被害が発生した場合は、加盟店側が負担することが大半でした。不正利用対策のために加盟店がEMV 3-Dセキュアを導入し決済すると、この負担がイシュアー側に移ります。これをライアビリティシフトと呼びます。ライアビリティシフトによって、これまでEC加盟店が負担していた500億円近い被害額の多くが、イシュアー側の負担へとシフトすることになります。
イシュアーのビジネスは、決して利鞘が大きいわけではありません。極端に言えば、取引100~200件を成立させることよりも、不正利用を1件防ぐことの方が重要になるくらいのバランスで成立しているビジネスです。不正利用被害の金額全体が減らずにイシュアーの負担だけ増えていったら、それこそ会社が潰れてしまいます。そのためイシュアーは、少しでも怪しい決済を拒否せざるを得ない状況になるので、決済承認率は下がる傾向にあるわけです。
YSコンサルティング株式会社 瀬田陽介氏
小野瀬 イシュアーから「このECサイトは不正が多い」という認識をされてしまうと、疑わしきはすべて拒否するということが起こることがあるので、普段使っているクレジットカード決済が特定のECサイトでだけ使用できないというケースも起こっています。〇〇ペイなどのクレジットカード以外の決済の導入も進んではいますが、依然としてクレジットカード決済の利用率は約7割近くを占めています。「クレジットカードが使えないなら他のサイトで買おう」という顧客離れにつながり、結果として売上が下がるという影響が懸念されます。
解決策としては、「不正利用が多いサイト」から脱却することが重要です。そのためには、まずはクレジットカードの決済承認率がイシュアー毎にどうなっているのか、可視化する必要があります。もし承認率が下がっているようであれば、不正利用対策を強化し、不正が多いサイトから脱却していかなければなりません。弊社のような不正検知サービスを入れて対策を強化していき、イシュアーに「これだけ対策をしているから不正利用が減っている」ということを認めてもらう必要があります。クレジットカードの決済承認率がどうなっているのかは顕在化しにくいので、まずは自社のサイトの状況についてぜひ調べてみてほしいです。
瀬田 EC加盟店による決済承認率の可視化も一苦労です。すべての決済データをダウンロードして、BINというイシュアーを識別する6~8桁の番号を集計し、どのイシュアーから拒否されたのかを調べて分析する必要があります。海外の主要な決済代行事業者では、イシュアー毎の決済承認率が可視化できるサービスがすでにありますが、日本では対応が進んでいないのが現状です。一方で日本でも決済承認率を可視化するための独立したサービスも登場しており、決済代行業者やカード会社を含めた業界全体として、改善の余地がある、裏返せば事業機会のある領域だと感じています。
小野瀬 まさにそこがネックですよね。弊社でも、まずは実態を把握していただくために無償で分析を支援するといった活動をしているのですが、やはり多くの方が頭を悩ませている部分だと日々実感しています。
不正検知サービスとの併用が次の対策の鍵に
滝村 実際に被害額が減少しているように、EMV 3-Dセキュアがクレジットカード不正利用を防ぐ有効な対策であることは明らかになりましたが、さらに普及させるためには、まだまだ課題があるということですよね。その解決策を示すものが、2026年3月に改訂・公表された「クレジットカード・セキュリティガイドライン【6.1版】」となります。これはどういうものなのでしょうか。
株式会社リンク 執行役員 セキュリティプラットフォーム事業部 事業部長 滝村享嗣氏
瀬田 EMV 3-Dセキュアによって、買い物体験を妨げていたり決済承認率が下がっていたりするので、その対策として、先ほど小野瀬さんが話してくれた「不正検知サービスを使った重層的なセキュリティ対策」が好事例として附属文書にとりまとめられました。
最善は、ECサイトでの取引をすべて精査することですが、当然それを人間がやるのは不可能ですよね。そこで、AIを活用した不正検知システムでカバーします。たとえば、ECサイトで1ユーザーが買い物をするときに、ログインをして購入に至るまでに、おおよそ1,000項目のデータが取得できます。OSは中国語なのに、ブラウザの設定は日本語になっていると、不自然ですよね。そういったデータを取得し、不審な設定や挙動をAIに学習させることで、不正利用の可能性が高い取引を検知できるようになります。AIによる学習が進んでいくと本当にリスクの高い取引だけを見極めて、除外できるようになります。
小野瀬 不正利用はどんどん巧妙化していて、人が目で見て確認したり、単純なロジックベースの不正検知だけだと見逃してしまったり、逆に誤検知になってしまうこともあります。そこをAIでカバーしていく。弊社の不正検知サービスもその一つですが、AIにすべてを任せて終わりではなく、専任のコンサルタントがEC事業者さんと伴走しながらチューニングして精度を高め、不正利用を減らしています。不正検知は「守り」のイメージが強いと思いますが、決済のボトルネックを解消し、売上を最大化する「攻め」の役割も果たしています。
今後は、不正検知サービスと3Dセキュアを併用しながら、取引毎に、より精度の高い判断を行い、その結果を業界全体で連携していく。そうしたハイブリッドな運用が重要になっていくのではないかと考えています。
まとめ
EMV 3-Dセキュアの普及により、ECにおけるクレジットカード不正利用被害には一定の抑止効果が見え始めました。一方で、導入率はなお十分とはいえず、カゴ落ちや決済承認率の低下といった新たな課題も表面化しています。これからの不正対策では、EMV 3-Dセキュアを軸としつつ、不正検知サービスなどを組み合わせたハイブリッドな運用が欠かせません。安全性を高めながらも、ユーザーの買い物体験を妨げない取り組みが、今後ますます重要になりそうです。
―――――
●次回予告
最終回となる第3回は、2026年度末の開始が見込まれるSCS評価制度をテーマに、これからのEC事業者に求められるセキュリティ対応の方向性について語ります。


