今さら聞けないEMV3-Dセキュア！　なぜ2025年3月末までに原則導入に？そもそも何？

2025年3月末までに、原則全てのEC加盟店において、導入することが求められている「EMV 3-Dセキュア」。2024年3月に「クレジットカード・セキュリティガイドライン」が改定されたことによるものだが、そもそも日本ではまだクレジットカードの被害額が大きく、セキュリティに課題があることは明らかだ。導入している事業者も増えてきてはいるが、そもそもEMV 3-Dセキュアとは何か？　前バージョンである「3-Dセキュア」とはどう違うのか？　いまさら聞けない基礎知識から、導入のためのロードマップについてまでこの記事で解説していこう。

2025年3月末までに原則、全てのEC加盟店にEMV 3-Dセキュアの導入を

2024年3月15日「クレジットカード・セキュリティガイドライン」が改定され、クレジットカード・セキュリティガイドライン【5.0版】として公表された（※1）。

クレジットカード・セキュリティガイドラインとは、安全・安心なクレジットカード利用環境を整備するため、カード会社や加盟店、PSPといったカード決済に関わる事業者が実施すべきセキュリティ対策を定めたものだ。カード情報の漏洩や不正利用防止のため、大事なガイドラインとなる。

このたびの改定には「2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュアの導入を求める」とある。これにより、全てのEC加盟店はカード会社やPSPと連携し、EMV 3-Dセキュアの導入に着手することが求められている。

本記事では、そもそもEMV 3-Dセキュアとは何なのか、そしてEC事業者は今後どのようなことをしていけばよいのかを改めて確認する。

※1 出典元：「クレジットカード・セキュリティガイドライン」が改訂されました（経済産業省）

EMV 3-Dセキュアとは

EMV 3-Dセキュアとは、従来の3-Dセキュア（1.0）のバージョンアップ版として、EMVCo（※2）が新たに標準化したカード決済セキュリティの仕組みだ。

そもそも3-Dセキュアは、ECショップなどの利用者がカード会員本人であることを確認する本人認証サービス。カード会員本人のみが知る情報を入力させることなどによって、本人認証を行う。

ネットショップで商品を購入しようとクレジットカード情報を入力すると、パスワードなどを求める画面に切り替わる。これが、3Dセキュアの認証画面だ。ECショップでのクレジットカード購入という非対面の取引であっても、不正利用を防止するのが目的となる。

※2 EMVCo：カード決済の安全と普及のために、JCBなど国際的なクレジットカードブランド6社で構成された団体。

従来の3-Dセキュアと、EMV 3-Dセキュアはどう違う？

画像元：クレジットカードの不正利用を防ぐ「3Dセキュア」とは？利用イメージやメリットを解説（大日本印刷株式会社）よりECのミカタで作成

従来の3-Dセキュアと、EMV 3-Dセキュアの違いは主に以下の3つだ。

パスワード等の入力負荷の軽減
従来の3-Dセキュアでは、全取引にID・パスワードなどを入力し、認証を実施していた。よってEC加盟店にとっては、クレジット決済画面の時点でカート内の商品を購入せずに離脱してしまうカゴ落ちのリスクが高かった。

EMV 3-Dセキュア（2.1～）では、利用者のデバイス設定情報や、利用者本人から提供される個人情報といったさまざまなデータからリスクが低いと判定された場合、IDやパスワードの入力が省略できる。これによりカゴ落ちリスクの軽減が期待できる。

スマートフォンアプリへの対応
3-Dセキュアはブラウザ上での取引のみを推奨していた。EMV 3-Dセキュアでは、ブラウザに加えてスマートフォンやタブレットによるアプリ内での利用が可能となった。

非決済分野への対応
3-Dセキュアは決済分野のみの対応であったが、EMV 3-Dセキュアはモバイルウォレットなどへのカード登録といった、決済以外の利用が可能となった。

不正利用防止策、EMV3-Dセキュアの導入だけでは不十分？

EC事業者にとってとくに注目したいのが、EMV 3-Dセキュアの判断によってパスワードなどの入力が省略されることだ。カゴ落ちのリスクが軽減されるのはありがたいが、なりすましなど不正利用のリスクは高まらないのだろうか。

EMV 3-Dセキュアにおいて、パスワードなどの入力を省略するか否かの判断は、リスクベースという認証方法により行われる。リスクベース認証とは、カード会員の使用デバイスや発送先住所など提供された個人情報を分析し、なりすましリスクの高低を判定する仕組みだ。

このリスクベース認証はEMV 3-Dセキュア2.1から導入されており、現状2.3まで公表されている。

※画像元：EMV3-Dセキュア導入ガイド 1.4版（一般社団法人日本クレジット協会）

※画像元：EMV3-Dセキュア導入ガイド 1.4版（一般社団法人日本クレジット協会）

このリスクベース認証システムについて、株式会社アクルの代表取締役社長CEOである近藤修氏は警鐘を鳴らしている。リスクベース認証に関する振り分けのルールは各カード会社に委ねられており、加盟店ごとに個別の基準を設定するのは難しいというのだ。

そのため、最新のEMV 3-Dセキュアを導入しつつ、個別に不正検知システムを併用することをすすめている。詳細は、以下のインタビュー記事を参照してほしい。

※関連記事：導入義務化の3Dセキュア2.0。「実際どうなの？」識者に聞いた

EC事業者におけるEMV 3-Dセキュア導入推進ロードマップ

セキュリティ面に懸念があれば不正検知システムをプラスするにせよ、いずれにしてもEMV 3-Dセキュアの導入が求められているため、EC事業者は対応する必要がある。導入までのロードマップは、以下の通りだ。

EMV3-Dセキュア導入ガイド 1.4(一般財団法人日本クレジット協会)よりECのミカタで作成

とくに不正利用の目立つ加盟店から導入が求められ、またデジタルコンテンツや家電、電子マネー、チケット、宿泊予約サービスといった高リスク商材を取り扱う加盟店も早期の対応が求められることに注意したい。

また、これまで不正利用が発生していなかったり、高リスク商材を取り扱っていなかったりする店舗であっても、原則全てのEC加盟店が導入を求められている。

導入手続きについては、決済システムを自社で構築しているケースや、PSPのサービスを利用しているケースなど、導入の形態により方法が異なってくる。

EMV3-Dセキュア導入ガイド 1.4(一般財団法人日本クレジット協会)よりECのミカタで作成

いずれの場合も、EMV 3-Dセキュア未導入の場合は契約するカード会社およびPSPに詳細を確認してみよう。

それぞれのケースについて必要な導入手順は、導入ガイドに詳細が掲載されている。開発者向けのシステム開発要件についても記載があるため、確認してほしい。

早めの対応で余裕を持った導入を

非対面取引でのクレジットカード利用が拡大する一方で、不正利用も増加していることから改定されたクレジットカード・セキュリティガイドライン。導入期限となる2025年3月までにはまだ余裕があるが、なるべく早めに導入計画を策定しよう。まずは基本的なラインを押さえ、順次対応していきたい。