メニュー

logo
公益社団法人
日本通信販売協会
トップページJADMAお役立ち情報ジャドマブログ
(1/2)EMV 3-Dセキュア導入のポイントと実態
セキュリティ

(1/2)EMV 3-Dセキュア導入のポイントと実態

(1/2)EMV 3-Dセキュア導入のポイントと実態

2025年3月末までのEMV 3-Dセキュアの導入義務化を控え、導入の実態や課題などを明らかにすることを目的に、JADMA正会員を対象にアンケートを行った。アンケート結果の一部を公開するとともに、8月28日にクレジット取引セキュリティ対策協議会の協力により開催した、EMV 3-Dセキュアの解説セミナーの内容を抜粋して掲載する。

EMV 3-Dセキュアとは

EMV 3-Dセキュアは、EC加盟店における非対面不正利用防止のための本人認証手法の一つで、利用者がカード会員本人であることを確認する仕組み。カード会員に本人のみが知る情報を入力させることなどにより本人認証を行う。カード会員のデバイス情報等を用いて不正利用のリスク判断を行うことで、さらに安全性が強化されている。EMV 3-Dセキュアは、国際ブランドごとにサービス名称も異なり、例えばVisaであれば「Visa Secure」、Mastercardであれば「Mastercard ID Check」等、様々な呼び名がある。仕様はすべて共通で、ほぼ同じ動きをしている。これらを総称して「EMV 3-Dセキュア」と言う。

EMV 3-Dセキュアの特徴

以前よりあった3DセキュアがEMV 3-Dセキュアに発展することにより、2つのメリットが生まれた。1点目は、パスワードの入力負荷の軽減。従来の3Dセキュアは、取引ごとに必ずパスワード入力することが一般的だった。リスクベース認証※を活用することにより、顧客が毎回パスワードを入力せずに済むようになった(フリクションレス)。フリクションレスを中心としながら、リスクが若干高いと判定されたケースにのみワンタイムパスワード等の「チャレンジ認証」を実施する。必要な時だけワンタイムパスワード入力をすることで、顧客のパスワード入力負荷軽減や、パスワードの失念による加盟店の取引離脱の防止につながる。2点目はスマホアプリ対応だ。従来の3Dセキュアはパソコンしか想定しておらず、スマホだと画面が崩れたり小さくなったりという課題があった。その点が改善され、アプリの中にダイレクトに実装できるようになり、よりシームレスに認証ができるようになった。

 ※利用者が決済に使用するデバイスの設定情報や利用者から提供される個人情報等の様々なデータを活用して、本人の利用であるかを確認し認証をする仕組み。

EMV 3-Dセキュアの不正リスク負担

EMV 3-Dセキュアの免責対象は3パターンに分かれる。①EMV 3-Dセキュアの本人認証が成功しているパターン。②EMV 3-Dセキュアを加盟店が実施したが、顧客のカード発行会社がEMV 3-Dセキュアに未参加であったパターン。③カード会社は参加しているが、顧客がEMV 3-Dセキュアの登録をしていなかったパターン。いずれの場合も認証成功と同様に加盟店は免責対象となる。加盟店がEMV 3-Dセキュアの認証をしなかった場合のみが免責対象外となる。

EMV-3Dセキュアの具体的な運用

『クレジットカード・セキュリティガイドライン5.0版』58ページに示されている、EMV 3-Dセキュアを軸とした「今後の不正利用対策の考え方(「線」の考え方)」(図1)に基づき、EMV 3-Dセキュアを今後運用するにあたって3つのパターンに分けて整理した(図2)。最近は、カード番号登録型の決済が多いので、登録時と決済都度時と分けて記載している。

パターン①は、加盟店のリスク判断により、EMV 3-Dセキュアによる認証を行う場合。加盟店によってレベルが高い不正対策をしているケースを想定している。そのケースでは、加盟店が網羅的に行う不正利用対策が、EMV 3-Dセキュアと同等以上の不正抑止効果があることを前提として、加盟店の不正リスク判断によって必要な場合のみEMV-3Dセキュアによる認証を行う。これが一番セキュリティレベルが高いパターン。なお、パターン①を実施する場合は契約するすべてのカード会社(アクワイアラー)及び決済代行会社の合意が必要となる。

パターン②は、カード番号登録時にEMV 3-Dセキュアによる認証を行い、それ以降については毎回認証しなくても良いというパターン。前提として、加盟店においてアカウントの管理、不正ログイン対策を講じる。その上で②ログインが行われる際にアカウントの管理利用者確認などを加盟店ができるようなケースであれば、登録時においてはEMV 3-Dセキュアの認証を行うが、決済の都度においては、加盟店の不正リスク判断によって必要な場合にEMV 3-Dセキュアによる認証を行う。ただし、EMV 3-Dセキュアによる本人認証を行わない取引で万が一不正利用が発生した場合は、加盟店は免責対象とはならない。

 パターン③は、右記の対策が難しい場合を想定しており、決済の都度の認証に加え、カード番号登録時もEMV 3-Dセキュアによる認証を行う。

 もう1点、加盟店起点の例外ということで、初回決済時やカード登録時にEMV 3-Dセキュアによる認証を行うことを前提として、顧客からの契約内容の変更や、サービス追加等の接点が生じた場合には認証を行うことになるが、それ以外の加盟店起点の取引については例外であることを追加で定めている。

次の記事:(2/2)EMV 3-Dセキュア導入のポイントと実態

(続く)