最終更新日: 2018 年 11 月 15 日
概要
3D セキュア規格 (「VISA 認証サービス」や「Mastercard SecureCode」などのブランド名で知られる) は、不正使用を減らし、オンライン決済の安全性を高めることを目的としています。2019 年から、銀行は 3D セキュアの新しいバージョンのサポートを徐々に開始する予定です。
3D セキュア 2 (3DS2) では、「フリクションレス認証」が追加され、3D セキュア 1 と比べて購入体験が向上します。これは、ヨーロッパでの実施が予定されている 2 段階認証 (SCA) の規制に準拠した主要方式になることが期待されています。PaymentIntents API で 3D セキュアを使用している場合、2019 年の春に各クレジットカード発行会社が徐々にサポートを開始する際に、シームレスに 3D セキュア 2 に移行できます。
3D セキュア 1 の略歴
クレジットカードは多くの国においてオンライン決済の推奨方法となりましたが、同時にそれは詐欺師の主要ターゲットでもあります。一部のマーケットで使用されている Address Verification System (AVS) やセキュリティコード確認などの追加セキュリティ対策にもかかわらず、今もクレジットカード決済は、不正使用の高いリスクを抱えています。(実のところ、このリスクがあるために、顧客は自分のクレジットカードを使用して行われた不正支払いに対して不審請求を行うことができるのです。)
この問題に対処するために、カードネットワークは、2001 年に 3D セキュアの最初のバージョンを実装しました。定期的にオンラインで商品を購入している場合は、3D セキュアのフローについてよくご存じかもしれません。支払いを確認するためにクレジットカードの詳細情報を入力すると、別ページにリダイレクトされ、ご利用の銀行から購入を承認するためのコードまたはパスワードの入力を求められます。認証ページは、カードネットワークで提携されていることが多いため、多くのお客様には、「VISA 認証サービス」や「Mastercard SecureCode」などの 3D セキュアのブランド名の方がなじみがあるかもしれません。
企業にとって 3D セキュアの利点は明らかです。追加情報を要求することで、不正使用を防止するための追加レイヤーを構築でき、それによって、正当な顧客からのクレジットカード支払いのみに応じるようにすることができます。追加のインセンティブとしては、3D セキュアを使用して支払いを認証することにより、不正使用による支払い取り消しの責任を、企業から顧客の銀行にライアビリティシフトすることができます。この追加保護があるために、3D セキュアは、航空券などの高額の買い物によく適用されます。
残念なことに、3D セキュア 1 の使用にはいくつかの欠点もあります。支払いを完了するために必要な追加ステップによってチェックアウトフローに余分な手間が加わるために、顧客が購入を断念する場合があります。さらに、多くの銀行では、3D セキュア検証を完了するために、クレジットカード保有者に対し、独自の静的パスワードを作成して記憶することを今も強制しています。これらのパスワードは忘れやすいため、カート放棄率の上昇につながる可能性があります。 モバイルアプリでは特に、ユーザ体験の影響が目立ちます。モバイルアプリでは、3D セキュアを適用すると、顧客はネイティブアプリから離れて、モバイルデバイス用に最適化されていない銀行の Web サイトにリダイレクトされる場合があります。
3D セキュア 2 の新機能
EMVCo (6 つの主要クレジットカードネットワークからなる組織) は、最近、3D セキュアの新しいバージョンをリリースしました。EMV 3-D セキュア (3D セキュア 2 または 3DS2) は、混乱の少ない認証と、より良いユーザ体験を導入することにより、3D セキュア 1 の多くの欠点に対処することを目標としています。
フリクションレス認証
3D セキュア 2 は、企業と決済プロバイダが、各取引で 100 を超えるデータ要素をクレジットカード保有者の銀行に安全に送信することを可能にします。これには、商品の送り先住所のような支払い固有のデータのほか、顧客のデバイス ID や過去の取引履歴などのコンテキストデータが含まれます。
クレジットカード保有者の銀行は、この情報を使用して取引のリスクレベルを評価し、次のような適切な対応を選択できます。
-
データが、本物のクレジットカード保有者が購入していると銀行が信頼するのに十分なものである場合、その取引は「フリクションレス」フローの対象になり、認証はユーザ体験に影響を与えることなく完了します。3D セキュア が適用されている形跡をクレジットカード保有者が認識することはありません。
-
銀行が追加の証明が必要であると判断すると、取引は「チャレンジ」フローをたどり、顧客は支払いを認証するための追加入力を提供するよう求められます。
3D セキュア 1 では、限定的なリスクベース認証の形式が既にサポートされていますが、より多くのデータを共有できることにより、追加の顧客入力なしに認証できる取引の数が増加する可能性が高くなります。
取引がフリクションレスフローを進んだとしても、企業はチャレンジフローを通過する取引と同じライアビリティシフトの恩恵を受けます。
現在、多くの企業は 3D セキュアを使用しないことを選択しています。その理由は、顧客にとって余計な手順が追加されることになるためです。3D セキュア 2 では、企業はフリクションレスフローが利用可能な場合にのみ 3D セキュアフローを実行することを選択できます。顧客からは見えない状態のままですが、ライアビリティはカード発行会社にシフトされ、取引の大きな割合で受け入れ比率が向上する可能性があります。
より良いユーザ体験
3D セキュア 1 と違い、3D セキュア 2 では、企業は Web およびモバイルのチェックアウトフロー内に直接チャレンジフローを埋め込むことができ、リダイレクトは必要ありません。新しいモバイル SDK を使用することにより、企業は自社のアプリ内にネイティブフローを導入することができます。つまり、取引を完了するために顧客がブラウザベースのフローに切り替える必要はなくなります。
比較
私たちは特に、新しいモバイル SDK で、顧客のモバイルバンキングのアプリを使用した支払いの認証 (アウトオブバンド認証とも呼ばれる) も容易になることに注目しています。この SDK は、銀行のアプリが顧客のデバイスにインストールされているかどうかを検出して、3D セキュアフロー中に、顧客との対話なしに自動的に銀行のアプリを開くことができます。その後、顧客はパスワード、指紋、または顔認識を使用して支払いを認証できます。
3D セキュア 2 と 2 段階認証 (SCA)
ヨーロッパ内で事業を展開する場合、2019 年 9 月施行の 2 段階認証 (SCA) により、3D セキュア 2 がより重要になります。この新しい規制では、ヨーロッパでの決済により多くの認証を適用することが要求されるため、3D セキュア 2 であれば、変換に対する影響を最小限に抑えながら、良いユーザ体験を提供できます。
3D セキュア 2 は、クレジットカード決済の SCA 要件に準拠する主要方式になりますが、「フリクションレス」フローは、SCA の形式と見なされないであろうと予想しています。つまり、ヨーロッパでの SCA の施行後は、フリクションレスフローを使用できるのは、免除の対象となる支払いに対してのみとなる可能性があります (その場合、SCA が要求されるすべての支払いは「チャレンジ」フローを使用して認証する必要があります)。
Stripe はこれらの変更をどのようにサポートするか
3D セキュア 2 が広く採用されるかどうかは、この新しい規格をサポートする個々のクレジットカード発行会社にかかっています。Stripe では、2019 年前半には、いくつかの銀行が、クレジットカード保有者に対して 3D セキュア 2 のサポートを開始するであろうと予想していますが、広範な実装は漸進的なものとなり、数か月はかかる可能性が高いと考えています。少なくとも 2020 年までは 3D セキュア 1 と 3D セキュア 2 が共存すると予想されますが、3D セキュア 2 がもたらすであろう顧客体験の大きな改善は非常に素晴らしいものです。
Stripe では、新しい Payments API である PaymentIntents のベータ版をリリースしました。これにより、3D セキュアをハイリスクな支払いに動的に適用し、2 段階認証 (SCA)に備えることができます。予想されている多くの銀行でのロールアウトに備えるために、2019 年 4 月以前に、この API に 3D セキュア 2 のサポートを自動的に追加します。今のうちに 3D セキュアを新しい PaymentIntents API に組み込んでおけば、サポート開始後に 3D セキュア 2 にシームレスに移行できます (組み込みへの変更は必要ありません)。
現在 3D セキュアを Sources 組み込みで使用している場合は、動的認証とともに 3D セキュア 2 をサポートするために、新しい PaymentIntents API への更新が必要になります。
この新しい Payments API の詳しい情報は、こちらから入手できます。