3Dセキュア(本人認証サービス)はオンラインショッピングで本人認証を強化し不正利用を防止する仕組み

昨今、クレジットカードを安全に使う仕組みとして、3Dセキュアという言葉を耳にする機会が多いと思います。最近ではPayPayが3Dセキュアに対応するというニュースもありました。

クレジットカードはICかなどにより、対面販売での不正使用は減少しているものの、ネットショッピングなど非対面販売においては依然として不正使用が後を絶ちません。

安全にクレジットカードを使うにあたり、3Dセキュアとはどのようなものか、その仕組みや問題点について、最後に新しいバージョンについて解説します。

この記事によって分かること

3Dセキュアとは非対面決済における本人認証技術
3Dセキュアのサービス名称
3Dセキュアの登録方法
3Dセキュアが三者間で取引認証を行う仕組み
3Dセキュアがなぜ普及しないのか
3Dセキュア2.0でなにが変わるのか

3Dセキュアとは非対面決済における本人認証技術

3-D セキュア(3-D Secure)はVisaが開発したインターネット上の本人認証技術です。

1999年にVisaによってプロトコルが制定され、2002年から他のブランドにライセンス提供されています。

オンラインショッピングなど非対面で取引決済を行う際に、サイトのログインID、パスワードで認証を行いますが、ログインした後に第三者がなりすましを行った場合に本人によるものか判別がつきません。

また、カード番号、有効期限、セキュリティコードを入力しますが、非対面では本人確認が十分とはいえず、漏洩したカード情報や個人情報から不正利用されてしまう可能性があります。

そこで決済の際に、あらかじめイシュア(カード発行会社)に登録したパスワードなどの情報を用いて、本人を確認することで不正取引を防止し安全性を確保します。

本人認証サービスの仕組み
引用：本人認証サービス｜クレジットカードならセディナ

3Dセキュアとは、カード会員、オンライン加盟店、クレジットカード会社の三者間で取引認証を行う、非対面決済における不正対策・認証サービスのことです。

3Dセキュアのサービス名称

国際ブランドによってそれぞれ呼称が違いますが、すべて3-D セキュアのことです。

登録したパスワードを使うバージョン1とワンタイムパスワードを使うバージョン2があります。

国際ブランド	サービス名称
Visa	VISA認証サービス(Verified by Visa)
Mastercard	Mastercard ID Check	EMV 3-Dセキュア
Mastercard	Identity Check(IDチェック)	EMV 3-D Secure
JCB	J/Secure(ジェイセキュア)	必要に応じて「MyJCBパスワード」もしくは「J/Secureワンタイムパスワード」の入力を要求、認証の過程で会員の方のデバイス情報などの追加情報を利用して本人認証を行う。
American Express	American Express SafeKey(アメリカン・エキスプレス・セーフキー)	追加の認証が必要だと判断された場合は、本人認証に必要な6桁のワンタイムパスワードが、Eメールアドレスに送信される。
Diners	Protect Buy

3Dセキュアの登録方法

3Dセキュア（本人認証サービス）の登録方法はカード会社によって異なります。以下のリンクから確認してください。

カード名			備考
アプラスカード	NETstation*APLUS		NETstaion*APLUSのログインIDとPWを入力。パーソナルメッセージ登録可。
アメリカン・エキスプレス・カード	AMERICAN EXPRESS SafeKey – クレジットカードはアメリカン・エキスプレス
セブンカード・プラス／セブンカード	安心のセキュリティ・サービス
イオンカード	本人認証サービス（3Dセキュア）｜暮らしのマネーサイト
出光カード	3Dセキュアとは？ \| 出光クレジット｜FAQ
MUFGカード	MUFGカード本人認証サービス｜クレジットカードなら三菱UFJニコス	MUFGカード・アメリカン・エキスプレス®・カード本人認証サービス｜クレジットカードなら三菱UFJニコス
ENEOSカード (トヨタファイナンス)	オンラインショッピング認証サービス｜TS CUBIC カード
エポスカード	エポスカード｜本人認証サービス
OMCカード	本人認証サービス｜クレジットカードならセディナ[Cedyna]
オリコカード	本人認証サービスについて｜eオリコサービス｜クレジットカード・カードローンのオリコ
JCBカード	本人認証サービス「J/Secure™」		「MyJCBパスワード」もしくは「J/Secureワンタイムパスワード」を利用。
ジャックスカード	インターネットショッピング本人認証サービス｜セキュリティインフォメーション｜お客様サポート｜ジャックス		インターコムクラブのログインパスワードを利用。
セゾンカード	本人認証サービス		AMEXブランドは利用不可。
セディナカード	本人認証サービス｜クレジットカードならセディナ[Cedyna]
セディナCFカード	本人認証サービス｜クレジットカードならセディナ[Cedyna]
ソフトバンクカード	安心・安全 \| カード \| ソフトバンク
タカシマヤカード	本人認証サービス \| 高島屋カード（TAKASHIMAYA　CARDS）｜よくあるご質問
ダイナースクラブカード	本人認証サービスのご案内 \| ダイナースクラブカード日本で最初のクレジットカード		2019年7月から本人認証サービスを開始
TS CUBIC カード	オンラインショッピング認証サービス｜TS CUBIC カード
Tカードプラス	クレジットカード本人認証サービス(3Dセキュア)とは何ですか？ \| Tサイト[Tポイント/Tカード] -よくあるご質問・お問い合わせ
dカード	dカード｜インターネットショッピング本人認証サービス
DCカード	DCカードオンラインショッピング認証サービス｜クレジットカードなら三菱UFJニコス		DC WebサービスのID・パスワードを入力。パーソナルメッセージ登録可。
To Me カード
東急カード	ネットショッピング本人認証サービスについて│東急カード－電車でもお買物でもポイントが貯まる
TRUST CLUBカード	本人認証サービスのご案内 \| ご利用案内 \| クレジットカードなら三井住友トラストクラブ
NICOSカード	NICOSカード本人認証サービス｜クレジットカードなら三菱UFJニコス
ビューカード	オンラインショッピング本人認証サービス：ビューカード
ファミマTカード	本人認証サービス（J/Secure） \| ポケットカード株式会社
PayPayカード	本人認証サービス（3Dセキュア）の設定方法 – PayPay ヘルプ
ポケットカード	本人認証サービス \| クレジットカードのポケットカード株式会社
三井住友カード	ネットショッピング認証サービス（EMV 3-Dセキュア）｜クレジットカードの三井住友VISAカード
UCカード	認証サービスのご案内｜クレジットカードはUCカード
ライフカード	本人認証サービス｜クレジットカードはライフカード
楽天カード	楽天カード: 本人認証サービス

3Dセキュアが三者間で取引認証を行う仕組み

3Dとは3つのドメインのこと。イシュアドメインがカード会社を、アクワイアラドメインが加盟店を認証し、相互運用ドメインが取引きを仲介します。

3Dセキュアは、インターネット決済の際に加盟店側に導入したプラグインを通じて処理をいったんイシュア―のドメインに仕向け、イシュアーのドメインでカード利用者の認証(本人確認)を行うスキームである。

このシステムに対応するには、国際ブランドが管理するディレクトリに対応するカード番号を事前に登録する必要がある。加盟店のプラグインは決済の際にディレクトリにカード番号の照会を行い、3Dセキュア対応済みのアカウントであれば、イシュアードメインでの本人確認を行う。そして、本人確認の結果(CAVV:Cardholder Authentication Verification Value)をオーソリ電文にセットした上でイシュアーにオーソリ照会を行う。3Dセキュアに対応していないカードでは、本人確認を行わずにオーソリを行う通常の非対面カード取引になる。

3Dセキュアを利用した取引では、イシュアーによる確実な本人確認が行えるという大きなメリットがある。しかし、カード番号の入力が求められる点は変わらないため、加盟店サイトに入力されたカード番号の管理方法が課題となる。なお、加盟店でのカード番号管理については、個人情報漏洩事故が問題視されるなか、国際ブランドが共同策定したセキュリティ基準(PCIDSS)により、要件が厳格に規定されている。出典：カード決済業務のすべて

認証サービスは、これまでインターネットでのカード決済時にサイトごとの認証（ID、パスワードなど。場合によっては認証なし)に依存していたものを、決済ごとにイシュア―のサーバー(ドメイン)でパスワード認証を行う仕組みである。このサービスは3Dセキュアと呼ばれ、国際ブランドが用意した比較的簡便なシステムにより実現されている。

3Dセキュアは、インターネット技術を利用した簡易的な認証サービスである。従来はショッピングサイト(加盟店サイト)でカード決済を行うと、本人認証データなしのままオーソリゼーションが実施され、イシュア―はその取引の真正性を客観的に評価することが難しかった。例えば、あらかじめユーザID、パスワードを入力してログインした状況で、場合によっては登録済みのカード番号を使って数回クリックする程度で簡単に決済が完了するサイトも少なくない。このような取引は利用者にとって簡便性が高い反面、イシュア―はその取引が本人によるものか、第三者によるものか判定することはできない。

3Dセキュアでは、あらかじめイシュアーが登録あるいは設定したパスワードを使って取引ごとに認証することが可能である。

3Dセキュアを使った認証の手順は概ね図の通りである。

国際ブランドによれば3Dセキュアの導入は比較的容易とあるが、導入にあたり、加盟店サイトには専用のソフト(プラグイン)が必要であるほか、イシュアーも認証パスワードのために手当が必要で、いうほどに簡単ではないという意見も少なくない。国際ブランドがいう「比較的容易」とは以前導入障壁があまりにも高く普及しなかったSETと比べてという意味であり、加盟店やイシュアーが極めて簡単な設定のみで3Dセキュアに対応できるという意味ではない。出典：カード決済業務のすべて

3Dセキュアがなぜ普及しないのか

3Dセキュアは国際ブランドの発案で、比較的簡易に加盟店ウェブサイト、アクワイアラー、イシュアーが対応可能なように配慮された仕組みである。しかし、カード会員が今までは意識しなかった「パスワード」の入力を求められ従来のネット決済とは異なること、カード番号が加盟店ウェブサイトに残ること、加盟店側の対応が思うほど簡単ではないこと、などいくつか課題が指摘され、その導入は当初想定していたほど進まない状況である。出典：カード決済業務のすべて

これまでVisa加盟店の1割が導入していました。むしろ1割しかないと言っていいかもしれません。

導入が進まなかった理由は実装の難易度に加え、追加認証の手順をユーザに強いることにより決済時間が増え、離脱やかご落ちが懸念されることです。

追加認証のステップが存在することにより、販売の機会ロスが20～30％は発生するといわれ、それが加盟店の導入意欲を失わせていました。

売上が2割も3割も減ってしまう可能性があれば、導入に二の足を踏んでしまいますね。

3Dセキュア2.0でなにが変わるのか

カード業界の認証強化策である3-D セキュアのドラフト仕様をもとに、EMVCoがVer2.0を開発し、2018年から日本のイシュア、加盟店への導入を進めています。

3-D セキュア 1.0ではあまり導入が進まなかったことを踏まえ、3-D セキュア 2.0ではセキュリティと利便性の両立を図っています。

まず、全件認証が基本だった1.0と違い、2.0ではリスク・ベース認証を利用し、EC加盟店にとってリスクの高い取引きのみ、追加認証を要求する仕組みになっています。

それによって、3-D セキュア 2.0で追加認証が必要になるのは、全体の5％にとどまるようです。

Ver2.0はVer1.0 と比べ、決済の時間は約8割減、かご落ちが7割程減ることが想定されています。

追加認証の方式は、ワンタイム・パスワードなどの動的パスワードが推奨されます。つまり、安全性が高まると同時に、ユーザのパスワード忘れによる途中離脱が避けられます。

ワンタイム・パスワードは、SMSやアプリが使われます。

2019年4月12日から 3-D セキュアのライアビリティシフトが適用され、加盟店での3-D セキュアの取引はチャージバック保護の対象になり、カード会社が被害額を負担することになります。

加盟店にとってもイシュアにとっても問題点が改善されて導入が進むことにより、非対面でのクレジットカード不正使用の増加に歯止めがかかることが期待されます。

2019年1月5日作成
2024年4月13日更新

皆さんは「ポイント還元率が高いから」「ポイントやキャッシュバックなどのキャンペーンが良かったので」「友人知人が使っているから」といった理由でカードを選ばれることが多いと思います。お得ばかりを追い求めてカードを作り続けるとたいていポイントが分散してしまいます。それは入口にフォーカスしているからです。

入口＝どこで使うか、出口＝カードになにを求めるか、決済金額＝一年にどれくらい使うか。
この3つの要素が揃って、はじめて有効なクレジットカードを選ぶことができます。大事なことは最終的にクレジットカードに求めるものを明確にすることです。つまり出口を決めることから始まります。当サイトでは「出口から逆算して決済金額で最適化する」ことを提案します。

ポイ活しないで大量にポイントを貯める秘訣はメルマガで・・・