増加するクレカ不正被害を防ぐ。進化した3Dセキュア2.0の特長・メリットをDGフィナンシャルテクノロジーが解説
ECサイトを運営するうえで大きなリスクとなっているのが、クレジットカードの不正利用。それを防止する仕組みとしてクレジットカード会社が提供しているのが「3Dセキュア」だ。
旧バージョンである3Dセキュア1.0では、認証フローの煩雑さによる高いカゴ落ち率などがネックとなり、導入を見送っていた事業者も多いだろう。だが、3Dセキュアの新バージョン「3Dセキュア2.0(EMV3Dセキュア)」はこれまでの課題をクリアし、セキュリティを担保しつつ利便性が高まっている。
増加の一途をたどる不正利用対策のひとつとして、ECサイトにぜひ実装しておきたい3Dセキュア2.0。その特徴について、EC黎明期から決済サービスを提供している株式会社DGフィナンシャルテクノロジー(旧:ベリトランス)決済事業部の外間 萌氏に話を伺った。
増え続けるクレカ不正利用対策に3Dセキュア
――3Dセキュアとは、どのような仕組みですか?
外間氏: 3Dセキュアは、クレジットカードの不正利用を防止するための仕組みです。ユーザー(消費者)がクレジットカードを発行する際に登録したID・パスワードを、ECサイトなどでの商品購入時に入力してもらうことで、本人認証を行います。カードを作った本人しか知りえない情報で照合することで、第三者による「なりすまし購入」などを防ぐことができます。
もともとVISAが開発した仕様ですが、現在ではMasterCard、JCB、American Express、Diners Clubの主要国際カードブランドで採用されている世界標準の本人認証方法です。
――加盟店、消費者から見たメリットを教えてください。
外間氏: まず加盟店側のメリットとしては、導入すれば“安全性の高いサイト”であることのアピールになりますし、不正利用によるチャージバック(カード名義人の申請によってカード会社が売上を取り消す仕組み)のリスクを軽減することができます。本来であればチャージバックで失われた売上は加盟店の負担になりますが、3Dセキュアを導入している場合、チャージバックの売上を負担するのはカード会社になります。
消費者の視点でいえば、消費者本人しか知りえないID・パスワードを使用していることで不正利用を防げること、そして4大カードブランドが提供するサービスであることによる安心感があります。
――クレジットカード決済における不正利用の被害状況を教えてください。
外間氏: 一般社団法人日本クレジット協会が発表したデータによると、2018年は235.4億円、2019年は273.8億円、2020年は253億円という被害額が出ています。不正被害額は急増している状況で、近いうちに1,000億円を超えるのではないかと懸念されています。最も被害額が大きいのは、ECサイトで第三者に勝手に商品を購入されてしまう「なりすまし利用」などの番号盗用被害です。
――不正利用の被害額が増えている中で、3Dセキュアの利用状況はいかがでしょうか?
外間氏: 3Dセキュアを導入する加盟店の多くは、例えばジュエリーや家電など、高額で不正利用に狙われやすい商材を扱っている企業です。不正利用者に狙われる業態はトレンドによっても変わります。最近ではコロナ禍の影響で旅行業界の不正利用の件数が減り、巣ごもり需要によるEC事業者の被害額が増えているとされていることからも、その傾向が分かります。
加盟店全体で見ると、3Dセキュアの導入はあまり進んでいないのが現状です。3Dセキュア1.0は、全ての取引においてECサイトからカード会社の認証ページに遷移してID・パスワードを入力させる仕組みとなっており、そのためカゴ落ちのリスクが高く、導入を見送っている事業者が多かったのです。そこで開発されたのが、3Dセキュア1.0から移行が進んでいる3Dセキュア2.0です。
3Dセキュア2.0では、利便性もカゴ落ち率も大きく改善
――3Dセキュア1.0と2.0の違いはどのような点ですか?
外間氏: 主に3つの違いがあります。認証方式の変更、カゴ落ちリスクの低減、そしてアプリにも対応したことです。
まず認証方式ですが、3Dセキュア1.0では全ての取引においてID・パスワードによる認証が必須でしたが、2.0では「リスクベース認証」という方式が採用されています。これはPC・スマートフォンのデバイス、IPアドレス、OS、ブラウザなどの情報を取得して、カード発行会社が高リスクだと判断した場合のみ追加認証を行う方法です。大半の低リスク取引については、追加の認証を必要としないため認証画面は表示されず、決済完了まで進むことができます。
中・高リスクの取引については、ワンタイムパスワードや生体認証など、カード会社が定める方式に沿って認証を行います。この「チャレンジ・フロー」と呼ばれる認証も、事業者のサイト内で実施することができるようになりました。
――購入画面からの離脱がなくなることで、カゴ落ち率も改善されるわけですね。
外間氏: 別ドメインのサイトに遷移してID・パスワードを入れる3Dセキュア1.0に比べれば、購入完了までのUI/UXは大きく改善されます。VISAの発表では、決済処理の時間は85%短縮され、カゴ落ち率は70%もの改善が期待できるとされています。3Dセキュア2.0になったことで、UI/UXの面で事業者が懸念していた部分はほぼ解消されたといえるでしょう。
また、3Dセキュア1.0はブラウザ上での取引のみ対応していましたが、2.0はiOSやAndroidのアプリ内でも認証が可能です※。近年ではECサイトをアプリ化している事業者も多いですが、2.0ではモバイルアプリ用のSDK(ソフトウェア開発キット)が用意されているので、加盟店はそれほど工数をかけずに実装できるとされています。
※DGフィナンシャルテクノロジーでは現段階での対応時期は未定です。
――リスクベース認証による「低リスク」には、どのくらいの消費者が該当するのでしょうか?
外間氏: VISAによると、取引全体の95%ほどが低リスクで追加認証なしの「フリクションレス・フロー」で完了するとされています。つまりほとんどの取引は、煩雑な認証がなくスムーズに購入まで完了させることができるのです。
導入のカギは個人情報保護とシステム開発
――EC事業者が3Dセキュア2.0を導入する際に必要なことは何ですか?
外間氏: 導入時に留意するべきポイントが2点あります。
一つは、個人情報保護法への遵守対応です。決済に必要な情報のみで認証する3Dセキュア1.0とは異なり、3Dセキュア2.0ではリスクベース認証のためにデバイス情報や属性情報などを利用します。自社サービス上で、個人情報取扱事業者としてユーザーへの個人情報の同意取得が必要になります。
もう一点がシステム開発です。3Dセキュア1.0とは仕様が異なるため、現状3Dセキュアを導入している事業者もシステムを改修しなければなりません。当社の技術部門では、3Dセキュア2.0の方が開発工数がかかると見込んでいます。フルスクラッチでサイト構築している事業者や、ASPカート等を利用している事業者は、利用している決済代行会社あるいはカートシステムのサービス提供会社に問い合わせてみていただければと思います。
――加盟店やお客様へのサポートの話がありましたが、より優れたサービス提供への想いは、社名を変更したこととリンクしそうですね。
外間氏: 当社の属するデジタルガレージグループは、決済代行事業のほか、マーケティングや投資などの事業を展開しています。その中でも決済事業をグループの基盤として注力していくために、当社は2021年4月「ベリトランス株式会社」から「株式会社DGフィナンシャルテクノロジー」に商号変更を行いました。
グループ戦略として「DGフィンテックシフト」という事業コンセプトを掲げ、これまでの決済サービスとデータとかけ合わせることで、さらに優れた機能・安定性を持った決済システムや、新しい金融サービスを提供していくことを目指しています。
そして、私たちが提供する決済サービスは、世の中に必要不可欠な「社会インフラ」であるという思いを強く抱いています。これからも激変するフィンテック業界の中において、3Dセキュア2.0をはじめとした、より利便性の高い機能・サービスをご用意し、加盟店様やユーザー様に安心・安全・快適な支払い体験を提供していきたいと考えています。