「3Dセキュア」とはオンラインショッピング等、インターネット上の決済を安全に使うための強固な本人認証サービスです。今回はこの「3Dセキュア」の仕組みについて解説します。
昨今のPayPayを踏み台にしたクレジットカード不正利用で、クレジットカードの不正利用に対するセキュリティがクローズアップされることになりました。不正利用の温床になってしまったことをうけてPayPayからは、「3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について」というタイトルでプレスリリースが発表されました。
PayPayでは、クレジットカード不正利用の対策として、2019年1月に3Dセキュアに対応いたします。クレジットカードを登録いただいたお客様に3Dセキュアのパスワードを入力いただきます。決済のたびに入力いただく必要はございません。
突然、「3Dセキュアに対応します (キリッ) 」などと言われてもチンプンカンプンな方が多いでしょう。決済システム設計・開発やクレジットカードヲタクの方にしか話が通じませんので、ここでは出来るだけ一般的な言葉を使って分かりやすく解説したいと思います。
5分で分かる!「3Dセキュア」の仕組み・セキュリティ強度・普及しない理由
3Dセキュアの仕組みとは?5分で分かる解説
「3Dセキュア」(スリーディーセキュア)の役割を一言で表すと以下のとおりです。
- クレジットカードに記載のない「追加パスワード」を認証に使用して不正使用のリスクを減らす
従来のインターネット上でのクレジットカード決済は、「クレジットカード番号」や「有効期限」などのクレジットカードに記載されている情報のみで行えました。そのためクレジットカード番号、有効期限、セキュリティコードなどを盗まれてしまうと自分以外の第三者に勝手に不正に使われてしまう恐れがありました。
これに対して、3Dセキュア対応のクレジットカードで決済を行う場合、クレジットカード上の情報に加えて「パーソナルメッセージ」や「自分しか知らないパスワード」を本人確認に使用して決済時の認証を行います。これらの追加情報はクレジットカード上にも記載されていません。もちろんカード情報を登録したサイトやアプリにも保存されません。お店でカード決済をした際にカード番号をメモされたり記憶されてしまっても3Dセキュア用パスフレーズまで発見することはまず不可能です (クレジットカード上にパスワードを書いておいたりするのは論外ですよ!)。そのため不正使用のリスクが激減するのです。
- パーソナルメッセージ … オンライン決済時に、クレジットカード会社があなたに提示する合言葉です。事前にクレジットカードのオンラインサービスで自分用のメッセージを決めておきましょう。もし事前に設定したものと異なるメッセージが表示されている場合、正常に決済できないことになります。多くは悪意を持った第三者によるフィッシングサイトでしょうから決済処理を進めてはいけません。
- ID, パスワード … あなたが入力する、カード会社経由で国際ブランドに登録済みのIDやパスワードです。一致しないと決済が行われません。
決済処理を行うクレジットカード会社や国際ブランドが会員本人を認証するのはもちろん、お買物をするクレジットカード会員もまた、きちんと決済が正しい処理に則って進められることを確認可能な仕組みになっています。因みにこの仕組みは国際ブランド最大手のVISAによって開発されたものです。
スポンサーリンク
3Dセキュアのセキュリティ強度
カード番号、有効期限、セキュリティコードといった情報はクレジットカード本体に刻印・印字されている情報です。クレジットカード紛失や盗難で第三者に渡ってしまえば不正使用されるリスクが非常に高いです。
例えば、クレジットカード番号など以下に箇条書きで挙げた情報のうち、はじめの4項目はクレジットカード番号の流出で盗み取られてしまう可能性があります。極端な話をすればお店でクレジットカードを店員さんに渡した際にも盗み取られる可能性がゼロではない情報です (なので個人的にローソンの、買い物客が自分でカードリーダーにスロットインする方式は好きです)。
それと比較すると3Dセキュアパスワードは会員本人とクレジットカード会社しか知りえない情報です。この点だけを見ても3Dセキュアを決済時に使用することでセキュリティ強度が大きく高まるのが分かると思います。
クレジットカード番号
クレジットカード名義人
クレジットカード有効期限
セキュリティコード
パーソナルメッセージ (本人しか知らない)
ID, パスワード (本人しか知らない)
VISA、Mastercard、JCB、AMEXの国際ブランドが足並みをそろえて3Dセキュアサービスを提供
3Dセキュアは、クレジットカード番号などの情報の盗用によるネット上での不正利用を防いで決済をより安全に行うために、各国際ブランドが用意している本人認証サービスです。それぞれ、名称は異なるものの、「本人確認をしっかり行う」という同じ目的、同じ内容の3Dセキュアサービスを提供しています。
- VISA … VISA認証サービス (Verified by VISA)
- Mastercard ... SecureCode
- JCB … J/Secure
- American Express ... SafeKey
- Diners Club … Protect Buy (2019年提供予定)
繰り返しになりますが、イシュア(クレジットカード発行企業)ではなく、国際ブランドが用意しているサービスです。そのため、3Dセキュアのパーソナルメッセージが表示され、3Dセキュアパスワード入力はオンラインショッピングサイトなどではなく、国際ブランドの用意したサイトで入力することになります。この点も3Dセキュアのセキュリティレベルを一段高いものに引き上げています。
スポンサーリンク
3Dセキュアを使うにはパーソナルメッセージやパスワード登録が必要
3Dセキュアを利用するにはパーソナルメッセージやパスワードの事前設定が欠かせない件については先にお話しした通りですが、登録のやり方やタイミングは各社まちまちです。例えば、個別にパスワードを登録させるクレジットカード会社もあれば、クレジットカード会員向けのWebサービスのIDとパスワードを使用することで認証を行うカード会社もあります。
- クレジットカード申込み時に登録
- クレジットカード到着後、カード会員オンラインサービスのマイページから登録
- ワンタイムパスワードによる提供
3Dセキュアサービスには、カード番号や有効期限に加えて、追加利用できる認証キーとして、パーソナルメッセージ、ID、パスワードといったものがありますがその全てを必ずしも使うわけではありません。パーソナルメッセージとID/パスワード認証を行うカード会社もあれば、パスワード認証のみの場合もあります。ワンタイムパスワードを使った3Dセキュア認証を行うカード会社もあります。
いくつか例を挙げてみましょう。
MUFGカードの場合
「本人認証サービス」と呼ばれています。
引用元 : MUFGカード 「本人認証サービス」
3Dセキュアを使用した決済時には、事前にMUFGカードWebサービスで設定したパーソナルメッセージ、WebサービスのログインID、パスワードの入力が要求されます。クレジットカード番号やセキュリティコードが仮に盗まれていたとしてもこれなら安心です。
MUFGカードの3Dセキュアで使用するパーソナルメッセージは、MUFG CARD WEBサービスにログインして、「各種お申込み」 > 「本人認証サービス」から設定を行う必要があります。
以下は、MUFGカード ゴールドプレステージ (VISA) の3Dセキュア設定画面です。パーソナルメッセージ設定に際してWebサービスのログインID、パスワードの再入力が求められます。
ログイン後、30文字以内でパーソナルメッセージを設定します。クレジットカードが届いたらすぐに設定しましょう!
楽天カードの場合
楽天カード会員用のWebサービスサイト、「eNAVI」で設定を行う必要があります。
「お客様情報の照会・変更」タブ配下の、「安心サービス」 > 「本人認証サービスの登録・変更」をクリックします。
楽天カードで3Dセキュアを設定する際には、クレジットカード裏面のセキュリティコード入力が求められます。勝手にパスワードを設定しようとしてもクレジットカード実物がないと設定不可能、というわけです。(3Dセキュアパスワードのみ設定可能)
- パーソナルメッセージ + ID・パスワード認証 … MUFGカード (VISA, Mastercard, JCB)
- WebサービスID・パスワード認証 … MUFGアメックスカード
- Webサービスとは異なる別パスワードによる認証 … 楽天カード
- パーソナルメッセージ + パスワード認証 … クレディセゾン、イオンフィナンシャルサービス、エポスカード、dカード、オリコ等
- ワンタイムパスワード認証 … 三井住友カード、JCB
3Dセキュアのメリット
ここまでの内容を踏まえた、3Dセキュア対応の決済サービスがもたらす、消費者 (クレジットカード利用者)と加盟店側のメリットについてまとめておきます。
- クレジットカード利用者 … パーソナルメッセージでフィッシングサイト被害を回避可能。パスワード認証でカード情報を盗まれても不正使用による被害を防止可能です。
- クレジットカード加盟店 … クレジットカード利用者が間違いなく本人であることを確認した上で決済を行えるため、不正使用に伴うチャージバック処理から解放されます。
特に加盟店側にとってはせっかくの売り上げがチャージバック (承認済みの取引キャンセル処理) によって失われてしまうのは痛いですし、売上管理業務が無駄に増えてしまいますので出来るだけチャージバックは避けたいところです。
ところで3Dセキュアの「3D」って?私のカードには3D画像やロゴなんて付いてないけど…
3Dと言ってもゲームやアニメで当たり前となった三次元の立体的なグラフィックなどのことではありません。Domain (ドメイン) の頭文字をとったものです。VISAカードに付いているホログラムシールとも関係がありません。
- イシュアドメイン
- アクワイアラドメイン
- 相互運用ドメイン
イシュアドメインは決済に使用されるイシュア(クレジットカード会社)側からのカード会員認証、アクワイアラドメインはアクワイアラ(加盟店・契約管理会社)からの加盟店の認証を行います。この二者の認証を経て、相互運用ドメインが決済の仲介、取引に関するデータの受け渡しを行うことで決済が成立します。
3Dセキュアサービスの仕組み
引用元 : MUFGカード 「本人認証サービス」
3Dセキュア非対応カードにご注意を!
大半のクレジットカードが今や3Dセキュアに対応しています。しかし、一部券種のみ3Dセキュア非対応というクレジットカード会社も存在します。こうした3Dセキュア非対応カードは、決済で3Dセキュアを要求される場合には利用できません。他の3Dセキュア対応カードを用意しておく必要があります。
3Dセキュアが普及していない理由と今後の改善
3Dセキュアはネット上での不正利用を防いで安心・安全なクレジット決済を行うための本人認証サービスです。しかし一般的にはまだまだ認知されているとは言えない状況であり、クレジットカード加盟店側も導入を渋っているのが現状です。
3Dセキュアの問題点 ~安全のために導入すると客足が鈍る~
オンラインショッピングで欲しいものをカートに入れて、いざ、購入ボタンをクリックしてカード決済するぜ!・・・というタイミングでこれまで買い物をしていたサイトから突然違うサイトに飛ばされます。
- フィッシングサイトと勘違いされてしまう
- カード利用者側が3Dセキュアのパスワードを忘れている
- 決済の度にパスワード入力を求められるため、ユーザエクスペリエンスが大きく悪化
こうした状況から、3Dセキュアを導入したECサイトやサービスは会員の離脱率が上昇してしまい、結果的に売上げが落ちるという本末転倒な結果になるという事例が多く挙げられています。そもそも安心して消費者にカード決済をしてもらい、安全に自社も決済を行うためのサービスなのに結果的に客足を鈍られてしまうならばいっそ導入しない方がマシだという事業者も多いでしょう。そりゃカード決済をしなければ不正使用もなくなるでしょうけどね・・・
例えばAmazonや楽天などは今日でも決済時に3Dセキュアによる認証を求められることはありません。まだまだ普及しているとは言い難い状況です。
3Dセキュア2.0で改善される点
現行の3Dセキュアの問題点を受けて、標準化団体 (EMVco) が2016年に次期3Dセキュアとして、3Dセキュア2.0の仕様を発表しました。離脱率の上昇という本末転倒な結果をもたらすガチガチすぎる仕様を踏まえ、全ての決済を認証するのではなく、「リスクベース認証」と呼ばれる、不正使用リスクの高い決済のみ3Dセキュアによる認証を行うというコンセプトへ、大きく方針転換しています。
日本では2019年夏に三井住友トラストクラブによって導入が開始される予定です。リスクベース認証とワンタイムパスワードを用いて、顧客の決済を阻害せず離脱率を極力上げないようにするという方針がとられています。
おわりに
今回はクレジットカード不正使用被害を防ぐ仕組みである、「3Dセキュア」とはどんなサービスなのか、その仕組み、メリット、デメリット、今後の展望についての解説でした。
最後まで読んで下さってありがとうございました。
