サービスとしてのバンキング (BaaS)

サインイン 

強力な顧客認証 (SCA)

欧州の規制に関してインターネットビジネスが知っておくべきこと

Amandeep Batra のアバターの写真
Amandeep Batra
Gabriela Dasilva のアバターの写真
Gabriela Dasilva
  1. はじめに
  2. 強力な顧客認証 (SCA) とは
    1. 強力な顧客認証 (SCA) が必要なケース
    2. 支払いの認証方法
    3. How liability for fraudulent disputes works in the context of 3DS
    4. 強力な顧客認証の免除
    5. 免除が失敗した場合
    6. ビジネスが強力な顧客認証の要件を満たせるように Stripe がサポート

このガイドでは、ヨーロッパの強力な顧客認証 (SCA) の要件と、影響を受ける決済の種類について詳しく説明します。また、無駄の少ない決済フローを提供するために、低リスクの取引に使用できる顧客認証の免除についても触れます。

決済プロセスにおいて顧客認証を追加するタイミングの判断に役立つガイドもご用意しました。Stripe の SCA 対応製品について、詳細は Stripe のサイトをご覧ください。

強力な顧客認証 (SCA) とは

強力な顧客認証 (SCA) とは、不正使用を減らしてオンライン決済および非接触のオフライン決済をより安全にするための、ヨーロッパの規制要件です。決済で SCA 要件を満たすには、決済フローに追加の認証を組み込む必要があります。SCA では、次の 3 つの要素のうち 2 つ以上を使用する認証が義務付けられています。

SCA 要件の原本は、Regulatory Technical Standards (RTS) でご覧になれます。銀行 (カード発行会社) は、SCA を必要とする取引のうち、SCA を満たさない支払いを拒否します。

強力な顧客認証 (SCA) が必要なケース

強力な顧客認証は、ヨーロッパの「顧客が開始する」オンラインおよび非接触のオフライン支払いに適用されるため、大半のカード決済とすべての銀行振込に SCA が必須となります。一方、継続的な口座引き落としは、「加盟店が開始する」取引と見なされるため、強力な顧客認証は必要ありません。

オンラインのカード決済の場合、これらの要件は、ビジネスとカード保有者の銀行がどちらも欧州経済領域 (EEA)に所在する取引に対して適用されます。

支払いの認証方法

オンライン決済を認証する最も一般的な方法は、ヨーロッパの大半のカードが対応している認証規格、3D セキュアです。一般的に 3D セキュアを適用すると、精算後に追加のステップが発生し、カード保有者は支払いを完了するために追加情報を提供するよう、銀行から求められます (例: 電話に送られる一度限りのコードやモバイルバンキングアプリでの指紋の認証など)。

3D セキュア 2 が、オンラインのカード決済を認証し、SCA 要件を満たすための主要な方法です。このバージョンでは、より優れたユーザー体験が導入されるため、認証によって決済フローに生じる負荷を最小限に抑えることができます。

一般的にオフラインのカード取引は、PIN の入力により、認証要件が満たされます。

Apple PayGoogle Pay のようなその他のカードベースの決済手段では、認証レイヤー (生体認証やパスワード) を内蔵する決済フローがすでにサポートされています。これらは、要件を満たしつつ、負荷の少ない決済フローを提供するための優れた方法となります。

また、iDEALBancontactMultibanco などヨーロッパで一般的な決済手段の多くは、ユーザー体験に大きな影響を与えることなく、SCA 規制に従うと考えられます。

How liability for fraudulent disputes works in the context of 3DS

One of the benefits of applying SCA where multifactor authentication is successful is that businesses can get liability protection from fraudulent disputes.

強力な顧客認証の免除

この規制では、特定のタイプの低リスクの決済については強力な顧客認証が免除されることがあります。Stripe のようなペイメントプロバイダーは、支払いを処理する際に、これらの免除をリクエストできます。カード保有者の銀行はリクエストを受け取り、取引のリスクレベルを評価し、免除を許可するか、認証が必要であるかを最終的に決定します。

認証を決済フローに組み込むと、追加ステップで顧客にかかる負担が増えることになり、顧客が購入をあきらめる確率が高くなるおそれがあります。低リスクの支払いに免除を適用することで、顧客の認証が必要になる回数が減り、負荷が軽減されます。Stripe では、可能な場合に免除を適用してコンバージョン率を維持できるように、SCA 対応の決済製品を用意しました。

免除の対象として、インターネットビジネスに最も関連するものは以下の通りです。

Payment providers like Stripe are able to request exemptions when processing the payment. The cardholder’s bank will then receive the request, assess the risk level of the transaction, and ultimately decide whether to approve the exemption or whether authentication is still necessary. Using exemptions for low-risk payments can reduce the number of times you will need to authenticate a customer and reduce friction and customer drop-off.

Stripe uses machine learning to determine the optimal exemption in each instance in order to help you provide your customers with the most seamless checkout experience possible. We have designed our SCA-ready payments products to help you take advantage of exemptions when possible to protect your conversion.

The most relevant exemptions for businesses that accept online payments are:

低リスクの取引

ペイメントプロバイダー (Stripe のような) は、取引に SCA が該当するかどうかを判断するために、リアルタイムでリスク分析をすることが許可されています。これは、ペイメントプロバイダーや銀行のカード決済における全体的な不正使用率が、以下の基準値を超えない場合のみに可能です。

  • €100 未満の取引を除外する場合は 0.13%
  • €250 未満の取引を除外する場合は 0.06%
  • €500 未満の取引を除外する場合は 0.01%

これらの値は、必要に応じて現地通貨に換算されます。

ペイメントプロバイダーの不正使用率がしきい値を下回っていても、カード保有者の銀行の不正使用率がしきい値を超えている場合は、銀行は免除を拒否し、認証を求めることが予想されます。

ビジネスにとって最も有用であり、銀行によって最も広くサポートされる免除の 1 つです。Stripe はユーザに、Stripe Radarの包括的なリアルタイムリスク評価機能を提供することにより、この免除をサポートします。

€30 未満の支払い

これは、低額の支払いに使用できるもう 1 つの免除です。€30 未満の取引は、「低額」と考えられ、SCA が免除されることがあります。ただし、カード保有者の認証が最後に成功してから免除が 5 回使用されている場合や、以前に認証が免除された支払いの合計が €100 を超える場合には、銀行は認証を要求する必要があります。カード保有者の銀行は、この免除が使用された回数を追跡し、認証が必要かどうかを決定します。

この免除の適用対象は限られるため、大部分の支払いにおいて低リスクの取引の免除がより一般的になる可能性があります。念のため、Stripe はユーザに対してこの免除をサポートします。

固定金額のサブスクリプション

この免除は、顧客が同じビジネスに対して、一連の同額の支払いを繰り返し行っている場合に適用できます。顧客の初回の支払いには SCA が必要ですが、後続の支払いでは SCA が免除されることがあります。

この免除はサブスクリプションビジネスに非常に有用であり、ヨーロッパの多くの銀行が対応しています。Stripe は、ユーザによるこの免除の利用を可能にします。Stripe Billing を使用してサブスクリプションを作成している場合、該当する際にこの免除が自動的に適用され、顧客の銀行が免除を拒否した場合に、認証リクエストを処理しやすくなります。

加盟店によって開始される取引 (可変サブスクリプションを含む)

顧客が決済フローに介在しない、保存されたカードで行われる支払い (「オフセッション」とも呼ばれる) は、加盟店が開始する取引として、免除の対象となることがあります。これらの支払いは一般的に SCA の対象外です。実際に、「加盟店によって開始される取引」として支払いをマークすると、免除をリクエストすることになります。他の免除と同様に、取引に認証が必要かどうかを最終的に決定するのは銀行です。

加盟店が開始する取引を使用するには、カードを保存する際、または初回の支払い時に、カードを認証する必要があります。また、後でカードに請求するには、顧客から同意を得る必要があります。

これは、遅延支払いに依存したり、従量課金や超過利用分を請求するビジネスモデルにとって重要なユースケースです。これはほとんどの欧州の銀行によってサポートされ、銀行によって取引が低リスクと判断される場合に受け入れられます。

Stripe の API を使用すると、後で使用できるようにカードを保存する際にカードを認証でき、その後の支払いを「加盟店が開始した取引」としてマークできます。

電話での販売

電話で収集されたカード詳細は SCA の範囲外となり、認証の必要はありません。この種の支払いは「通信販売およびテレフォンオーダー」 (MOTO) と呼ばれることがあります。免除される決済と同様に、MOTO 取引はその旨をフラグ付けする必要があります。カード保有者の銀行が取引を許可するか拒否するかを最終決定します。

これは、電話で支払いを受け付けるビジネスにとって重要なユースケースであり、銀行によって広くサポートされています。Stripe ダッシュボードで作成される支払いは MOTO 支払いとして自動的にマークされます。

ビジネスが PCI に準拠し、電話での注文を受け付けるように自社システムを構築している場合は、Stripe の支払い API を使用して支払いを MOTO としてマークすることができます。この機能を Stripe アカウントで有効にし、技術文書にアクセスすることをご希望の場合は、Stripe にお問い合わせ ください。

企業の支払い

この免除は、「預けられた」カードで行われる決済 (例: 従業員の出張費の決済に使用される企業のカードがオンライン旅行業者によって直接保持される場合) や、バーチャルカード番号を使用して行われた企業の決済 (これも旅行業界で使用されるなど) に適用されます。

この免除は対象が非常に限られるため、旅行業界以外では実際の利用は少ないと考えられます。企業も、Stripe のような決済サービスプロバイダーも、カードがこのカテゴリに属するかどうかを確認できないため、この免除をリクエストできるのは、カード保有者の銀行のみです。

Trusted beneficiaries

When completing authentication for a payment, customers may have the option to allowlist a business they trust to avoid having to authenticate future purchases. These businesses are then included on a list of “trusted beneficiaries” maintained by the customer’s bank or payment service provider.

While allowlisting has the potential to make repeat purchases or subscriptions more convenient for customers, the adoption of this feature among banks has been slow.

免除が失敗した場合

免除は非常に便利ですが、最終的にはカード保有者の銀行が免除を許可するかどうかを決定することを忘れないでください。銀行は、認証がないために失敗した支払いに対して、新しい拒否コードを返す場合があります。これらの支払いは、強力な顧客認証のリクエストとともに、再度顧客に送信する必要があります。Stripe の SCA 対応製品は、銀行によって求められた場合に、自動的にこの追加認証をトリガーします。

お客様のビジネスが SCA の影響を受ける場合は、免除が拒否され、顧客に認証が要求される状況に備え、バックアップオプションを用意することをお勧めします。これは、顧客が決済フローにいないとき (顧客がオフセッションのときなど) に顧客への請求を行い、顧客がウェブサイトやアプリに戻って認証を受ける必要がある場合に特に重要です。詳細については、SCA に対応した決済フローの設計をご覧ください。

ビジネスが強力な顧客認証の要件を満たせるように Stripe がサポート

この規制によってもたらされた変化は、ヨーロッパでインターネットを利用する EC ストアに大きな影響を与えます。これらの要件の対象となるビジネスが、要件への対応を準備しないでいると、ヨーロッパの銀行で SCA の適用が拡がるにつれて、コンバージョン率が大幅に減少する可能性があります。

Stripe では、3D セキュア 2 のような認証方法への対応に加え、免除をスマートに処理することが、負荷を最小限に抑えて最良の支払いプロセスを構築するための重要な要素であると考えています。Stripe の決済製品は、さまざまな規制、銀行、カードネットワークのルールに応じて最適化され、低リスクの支払いには関連する免除を適用するため、必要な状況でのみ 3D セキュアがトリガーされます。また、これらの規制の変化に伴い、各国の施行タイムラインを考慮しながら、この SCA ロジックをリアルタイムで維持して更新することができます。

Stripe は、基盤となる Payments API をリリースしました。これは Stripe の SCA ロジックを使用して、適切な免除を適用し、必要に応じて 3D セキュアをトリガーします。Stripe Checkout および Stripe Billing は、両方ともこの API をベースとして構築されており、必要に応じて動的に 3D セキュアを適用できます。

Stripe の SCA 対応製品について、こちらで詳細をご確認ください。ご質問やご意見は、こちらまでお寄せください

今すぐ始めましょう。アカウントを作成するか、お問い合わせください。

アカウントを作成し、決済の受け付けを開始しましょう。契約や銀行情報は不要です。ビジネスに合わせたカスタムパッケージの設計については、お問い合わせください。