3Dセキュア(本人認証サービス)とは?登録方法や必要な条件、メリットなどを解説!
VISA・MasterCard・ JCB・ AMEXといったクレジットカードブランドは、インターネット上で安全にクレジットカード決済を行えるように「3Dセキュア」とも呼ばれる本人認証サービスの利用を推奨しています。本記事では、本人認証サービス(3Dセキュア)とは何かをメリット・デメリットと共に詳しく解説していきます。
目次
3Dセキュア(本人認証サービス)とは?
インターネット上でお買い物を楽しむ際に便利なクレジットカードですが、第三者からの不正利用には十分な注意が必要です。不正利用のリスクを防ぐため、利用者がカードを所有している本人であるかを確認するサービスが「本人認証サービス」です。
本人認証サービスに加盟しているオンラインショップで買い物をする際、クレジットカード情報の他にカードの所有者しか知らない情報を用いて本人確認を行います。これにより、安全なクレジットカード決済を実現できます。
クレジットカードのブランドによって本人認証サービスの呼び方は異なりますが、総称として「3Dセキュア」と呼ばれています。
本人認証サービスの仕組みは?
本人認証サービスでは、以下のような仕組みで認証を行っています。
①カード所有者が本人認証サービス加盟店にカード情報を入力
②加盟店がカード会社へ本人認証要求をする
③カード会社が登録者にパスワード入力画面を表示する
④カード所有者がカード会社へパスワードを送信する
⑤カード会社が認証結果を加盟店へ通知する
ワンタイムパスワードとは、本人認証を行うたびに生成される「一定時間のみ利用可能なパスワード」のことです。決済手続きの際、生成されたパスワードがSMSなどにより通知されます。
SMSとは?詳しく知りたい方はこちら
SMS(ショートメッセージ)とは?料金や送受信方法をわかりやすく解説
https://sms.supership.jp/blog/sms/post-42/
リスクベース認証による3Dセキュア2.0
3Dセキュアは従来の3Dセキュア1.0から3Dセキュア2.0(EMV 3-Dセキュア)への移行期になっています。3Dセキュア2.0では「リスクベース認証」が取り入れられて、ユーザーがスムーズに利用できるようになりました。大半の国際ブランドでは3Dセキュア2.0に対応しています。
従来の3Dセキュア1.0ではすべてのクレジットカード決済で本人認証がおこなわれていました。3Dセキュア2.0では不正利用のリスクがあるときに本人認証をする仕組みになっています。クレジットカード決済をするデバイスや商品の配送先、クレジットカードの決済履歴などを総合的に見てリスクが判定されます。不正利用のリスクが低いと判定された場合には本人認証なしで決済ができるため、ユーザーは余計な手間をかけずに支払いをすることが可能です。
3Dセキュア1.0から3Dセキュア2.0への移行は速やかに行う必要があります。3Dセキュア1.0は引き続き利用可能となっていますが、補償制度の「ライアビリティシフト」が2022年10月に終了しているため、加盟店としては3Dセキュア2.0に切り替えることが重要です。
ライアビリティシフトが無ければ、クレジットカードの加盟店は各国際ブランドによるチャージバック補償を受けられません。不正利用による損失が発生したときには加盟店が費用を負担して対応する必要があるため、3Dセキュア1.0から2.0に切り替えた方が安心です。
3Dセキュアの登録に必要なこと
3Dセキュアに登録するには3つの要件を満たすことが求められます。ここでは登録の必要条件についてわかりやすく解説します。
1.3Dセキュア2.0対応のクレジットカードであること
まず、3Dセキュア2.0に対応しているクレジットカードを登録することが必要です。クレジットカードの国際ブランドのVISA、MasterCard、JCB、American Express、Diners Clubでは3Dセキュア2.0に移行しています。
カードブランドは楽天カードや三井住友カードなどのクレジット発行カード会社とは異なります。クレジットカード決済サービスを提供している大元のブランドが対応しているかどうかが重要です。クレジットカードの発行会社は基本的にどの会社であっても問題ありません。
2.カードの公式サイトで必要情報が登録済であること
3Dセキュア2.0の利用には必要情報の登録をしなければなりません。カードブランドのオンラインサイトなどで3Dセキュアの情報登録を済ませると有効になります。
3.利用するサイトが3Dセキュア2.0対応であること
クレジットカードを利用するサイトが3Dセキュア2.0に対応していることも必要です。ECサイトを構築する際には3Dセキュア2.0に対応する開発をすることが求められます。
本人認証サービスのメリット
安全性の高い本人認証サービスは、利用者だけでなく事業者側にとってのメリットも存在します。ここでは、本人認証サービスの利用における具体的なメリットをご紹介します。
クレジットカードの不正利用防止に有効
本人認証サービスに登録していないと、クレジットカード情報だけで決済が可能となります。決済手続きの手間が少ないため気軽にお買い物ができる反面、カードの盗難や情報漏洩による不正利用のリスクが高まります。
一方で本人認証サービスに登録している場合、クレジットカード情報に加えて事前登録したパスワードなど利用者本人しか知り得ない情報の入力が必要です。これにより不正利用のリスクを下げることができます。
インターネット上でのクレジットカード決済において、セキュリティ面は多くの顧客が気に掛ける要素です。事業者の場合は本人認証サービスを自社ショップへ導入することで、安全性の高さをアピールできます。
パーソナルメッセージなどでセキュリティ強化が可能
本人認証サービスへの登録時に発行するパスワードは、英数字の組み合わせとなるため名前や誕生日などにちなんだものを設定するとリスクが高まります。一度パスワードが第三者へ漏れてしまうと、本人認証サービスに対応しているショップでも不正利用が可能になります。
ただしカード会社によっては、パスワードの他に「パーソナルメッセージ」の設定も求められることがあります。パーソナルメッセージとは、利用者が事前に決めておいた合言葉のことです。本人しか知り得ない言葉の入力が必要なので、万が一パスワードが漏洩した場合も不正利用の防止が可能です。
チャージバックのリスクを低減できる
クレジットカードの不正利用が判明すると、該当する取引において所有者本人の支払い義務はなくなります。本人が同意しない決済はカード会社が売り上げをキャンセルして利用者へ返金する仕組みがあり、これを「チャージバック」と呼びます。
チャージバックが行われれば、ショップを運営する事業者は利益を得ることができません。カード所有者にとっては損害を回避できる嬉しい仕組みですが、事業者は経営にダメージを受けてしまいます。
しかしクレジットカードの不正利用を防止すれば、チャージバック発生リスクの低減が可能です。本人認証サービスでクレジットカード決済の安全性を高めることは、カード所有者と事業者のどちらも守ることに繋がります。
本人認証サービスのデメリット
本人認証サービスは主にセキュリティ面でのメリットが大きい一方で、デメリットも存在します。本項では、本人認証サービスで生じるデメリットをご紹介します。
「カゴ落ち」に繋がる恐れがある
「カゴ落ち」とは、ECサイトで顧客が商品をカートに入れたまま離脱してしまう行為です。
本人認証サービスに対応しているショップでは、クレジットカード情報だけでなくパスワードなどの情報が必要になるため、決済手続きのフローが増えます。カード所有者によっては手間に感じ、購入をあきらめてサイトから離脱してしまうこともあります。また、所有者がパスワードを忘れてしまって購入をあきらめるケースも生じることでしょう。
そのため、本人認証サービスを導入すれば所有者の事情次第でカゴ落ちにつながりやすくなることの理解が必要です。
登録していなければ意味がない
事業者側が本人認証サービスを導入していても、カード所有者が本人認証サービスに登録していなければカード情報だけで決済が完了できてしまいます。また、所有者が登録していても事業者側がサービスを導入していなければ認証は行われません。
ただし、カード会社によってはカードの発行と同時に本人認証サービスの登録が必須となっていたり、もしくは推奨されたりしています。サービスに登録した所有者は、お買い物をする前に本人認証サービス加盟店をチェックしておくと良いでしょう。多くの場合はカード会社のホームページから確認することができます。
認証情報を狙った詐欺が横行している
本人認証に必要なパスワードを狙い、フィッシングサイトを通して不正にパスワードを入手する詐欺が問題視されています。
正規のサイトを装った罠のサイトを用意し、メールなどからそのサイトに誘導してカード情報やパスワードなどを入力させるという流れが主な手口です。入力により第三者へ情報が知られてしまえば、本人認証サービスに対応しているショップでも不正利用ができてしまいます。
本人認証サービスに登録しているからと安全性を過信せず、不審なサイトへのアクセスは避けるなどの注意が必要となります。
本人認証サービスの利用方法
3Dセキュアによる本人認証を利用するときには、追加認証を受ける必要があります。クレジットカード決済をしたときに不正利用リスクの判定が行われ、リスクがあると見なされた場合にはワンタイムパスワードが登録済みの連絡先に届きます。そのワンタイムパスワードの入力による認証を受ければ決済できるという仕組みです。ワンタイムパスワードの受信方法として、本人認証の確実性が高いSMSがよく利用されています。セキュリティ面も考慮してSMSが利用されることが多くなっているのが現状です。
本人認証サービスを利用するには?
本人認証サービスを利用するには、事前登録が必要です。カード会社により登録方法は異なりますが、多くの場合は会員専用サイトから登録の申込を行います。登録時はカード番号や有効期限に加え、認証時に入力が必要となるパスワードやパーソナルメッセージを設定します。
申込後はメールにて通知が届くため、案内に従って登録を完了すれば本人認証サービスの利用が可能になります。
登録からサービスの利用までの基本的な流れは、以下の通りです。
①所有しているカードの会員サイトなどで本人認証サービスの利用登録を行う
②本人認証サービス加盟店で商品をカートに入れて決済手続きに入る
③カード情報を入力する
④①の利用登録にて設定したパスワードやパーソナルメッセージなどを入力する
⑤本人認証後に決済手続きが完了する
法人向けSMS送信サービスなら「KDDI Message Cast」
本人認証におけるワンタイムパスワードの送信に用いられるSMSは、基本的に個人でのやり取りを目的としているため複数人への一斉送信は不可能です。ただし、法人向けSMS一斉送信サービスを使えば企業から多数の顧客へSMSを送信することができます。
中でもKDDIが提供する「KDDI Message Cast」は、初期費用・月額費用ともに無料で2ヶ月間の試用期間も用意しており気軽にお試しいただけるSMS一斉送信サービスです。高い到達率と開封率を誇り、顧客へ効率的に情報を配信することができます。
まとめ
本人認証サービスとは、クレジットカードによる決済時にカードの所有者本人であるかを確認するためのサービスです。様々なカードブランドが本人認証サービスに対応しており、それぞれで呼び方は異なりますがそれらの総称として「3Dセキュア」と呼ばれています。登録すれば不正利用リスクの低減に期待ができますが、手続きフローが増えることによるカゴ落ちやパスワードを狙った詐欺には十分な注意が必要です。