強力な顧客認証 (SCA)

新しい欧州の規制に関してインターネットビジネスが知っておくべきこと

最終更新日: 2020 年 5 月 4 日

はじめに

2019 年 9 月 14 日、オンライン支払いを認証するための新しい要件が、第 2 次決済サービス指令 (PSD2) の一環として欧州に導入されました。 これらの要件が施行されるのは、2020 年 から 2021 年にかけてであると予測されます。

このガイドでは、強力な顧客認証 (SCA) と呼ばれるこれらの新しい要件と、これらの要件の影響を受ける種類の支払いについて詳しく説明します。またわずらわしさのないチェックアウトを実現するために、低リスクの取引に使用可能な免除についても説明します。

Stripe は SCA の施行に関するタイムラインの最新情報を掲載したページ 、およびガイドを公開しています。顧客の利用プロセスに認証を追加するタイミングを判断するためにお役立てください。Stripe の SCA 対応製品の詳細については、Stripe のサイトをご覧ください。

強力な顧客認証 (SCA) とは

強力な顧客認証 (SCA) とは、不正使用を低減してオンラインでの支払いをより安全にする、欧州の新しい規制要件です。支払いを受け入れ、SCA 要件を満たすためには、チェックアウトフローに追加の認証を組み込む必要があります。SCA では、次の 3 つの要素のうち 2 つ以上を使用する認証が義務付けられています。

顧客の知っている情報 (例: パスワードや PIN)
顧客が持っているまたは保有しているもの (例: 電話番号やハードウェアトークン)
顧客の身体の一部 (例: 指紋や顔認識)

(SCA 要件の原本は、Regulatory Technical Standards (RTS) で参照できます。)

銀行は今後、SCA が義務付けられながら、その基準を満たしていない支払いを拒否することが必要となります。この規制は 2019 年 9 月 14 日に導入されましたが、この要件が規制当局によって施行されるのは、2020 年から 2021 年にかけてであると予測されます。

2 段階認証 (SCA) が義務付けられる場合

2 段階認証 (SCA) は、欧州内での「顧客が開始した」オンラインでの支払いに適用されます。そのため、大部分のカード支払いとすべての銀行送金において SCA が義務付けられます。一方、継続的な口座引き落としは「加盟店が開始した」と見なされ、2 段階認証は必要ありません。非接触型の支払いを除き、対面でのカード支払いもこの新しい規制の影響を受けません。

オンラインでのカード支払いの場合、これらの要件は企業ならびにカード保有者の銀行の両方が、欧州経済領域 (EEA) に拠点を置いている取引に適用されます (SCA 規制は英国の EU 離脱の結果に関係なく、英国内で施行されると Stripe は考えています)。

支払いを認証する仕組み

現在、オンラインでのカード支払いを認証するのに最も一般的な方法として、欧州の大部分のカードが対応している認証標準である 3D セキュアが適用されています。一般的に、3D セキュアが適用されていると、チェックアウト後に手順が 1 つ追加され、そこでカード保有者は、支払いを完了するための追加情報 (カード保有者の電話に送信されるワンタイムコードや、モバイルバンキングアプリによる指紋認証など) の提供を銀行から求められます。

3D セキュア 2 は、2019 年に公開されたこの認証プロトコルの新バージョンであり、オンラインでのカード支払いを認証し、新しい SCA 要件に対応する主要な方法となる見込みです。この新バージョンでは、ユーザ体験が向上し、認証のためにチェックアウトフローに生じるわずらわしさが最小限に抑えられます。

Apple PayGoogle Pay などのカードベースの支払い方法は、認証レイヤー (バイオメトリックまたはパスワード) が組み込まれた決済フローにすでに対応しています。これらの支払い方法は、企業が新しい要件に対応しながらスムーズなチェックアウトを実現する、優れた手段となり得ます。

Stripe は、iDEALBancontactMultibanco などの欧州内で一般的な支払い方法の多くも、ユーザ体験を大幅に変更することなく新しい SCA 規則に対応するものと考えています。

2 段階認証 (SCA) の免除

この新しい規制では、特定のタイプの低リスクの支払いは 2 段階認証 (SCA) から免除される可能性があります。Stripe のような決済サービスプロバイダも、支払い処理時にこれらの免除をリクエストすることができます。この場合、カード保有者の銀行がリクエストを受け付けて、取引のリスクレベルを評価し、免除を承認するかやはり認証が必要であるかを最終的に判断します。

チェックアウトフローに認証を組み込むと、手順が 1 つ追加されるため、わずらわしさが増して顧客離れが増加する可能性があります。低リスクの支払いに免除を使用することで、顧客の認証が必要となる回数を低減し、わずらわしさも軽減できます。Stripe の新しい SCA 対応決済製品は、可能な場合に免除を活用して、コンバージョンを保護するように設計されています。

インターネットビジネスに関連する重要な免除は、次のとおりです。

低リスクの取引

Stripe のような決済サービスプロバイダは、リアルタイムのリスク分析を実行して、取引に SCA を適用するかどうかを判断することが認められています。これは、 決済サービスプロバイダ、および銀行のカード支払いに関する不正使用率が以下のしきい値を超えていない場合にのみ可能です。

  • 0.13% の場合、100 ユーロ未満の取引を免除
  • 0.06% の場合、250 ユーロ未満の取引を免除
  • 0.01% の場合、500 ユーロ未満の取引を免除

上記のしきい値は、該当する際に、同等の現地通貨金額に換算されます。

決済サービスプロバイダの不正使用率がしきい値を下回っていても、カード保有者の銀行がしきい値を超えている場合には、銀行は免除を拒否して認証を要求すると考えられます。

支払いが 30 ユーロ未満の場合

これは小額の決済に使用できるもう 1 つの免除です。30 ユーロ未満の取引は「小額」と見なされ、SCA を免除できます。ただし、カード保有者が最後に正しく認証されてから免除が 5 回使用されている場合、または既に免除された支払いの合計額が 100 ユーロを超える場合、銀行は認証を要求する必要があります。カード保有者の銀行は、この免除の使用回数を記録して、認証が必要かどうかを判断する必要があります。

定額の定期支払い

この免除は、顧客が、同じ企業に対して一連の継続支払いを定額で行う場合に適用できます。顧客の初回支払い時には SCA が必要ですが、2 回目以降の支払いでは SCA を免除できます。

加盟店の開始した取引 (料金変動型の定期支払いを含む)

顧客がチェックアウトフローに関与しない、保存されているカード情報により行われた支払い (「オフセッション」とも呼ばれます) は、加盟店が開始した取引と見なすことができます。厳密には、これらの支払いは SCA の対象外です。「加盟店が開始した取引」として支払いを行うことは、実質的には、免除をリクエストするのと同じことになります。また他の免除と同様に、取引に認証が必要かどうかはやはり銀行が判断します。

加盟店が開始した取引を使用するためには、カード情報の保存時または初回支払い時のいずれかの時点で、カードを認証する必要があります。最終的には、顧客のカードに以降に請求するために、顧客の同意 (「委任」とも呼ばれます) を得る必要があります。

信頼のおける受益者

支払いの認証が完了したら、今後の購入で認証を行わずに済むように、顧客は信頼のおける企業をホワイトリスト登録することもできます。これらの企業は、顧客の銀行または決済サービスプロバイダ (PSP) が保持する「信頼のおける受益者」リストに追加されます。

電話による販売

電話で収集されたカード詳細は SCA の対象外であり、認証は必要ありません。このタイプの決済は「通信販売 / 電話販売 (MOTO)」と呼ばれることがあります。免除された支払いと同様に、MOTO 取引にはその旨の印を付ける必要があり、最終的に、カード保有者の銀行が取引を受け入れるか拒否するかを決定します。

法人支払い

この免除が適用できるのは、「宿泊」カードで行われる支払い (従業員の出張費管理に使用される法人カードが、オンラインの旅行代理店で直接使用される場合など)、および仮想カード番号 (これも旅行業界で使用される) で行われる法人支払いです。

免除が失敗した場合

免除は非常に有用ですが、免除を受け入れるかどうかは、最終的にはカード保有者の銀行が判断します。認証がないために失敗した支払いに対して、銀行は新しい拒否コードを返すことができます。この場合、これらの支払いは 2 段階認証 (SCA) のリクエストとともに、顧客に再提示する必要があります。Stripe の SCA 対応製品 は、銀行からのリクエストに基づいて、この追加の認証を自動的に開始します。

ビジネスが SCA の影響を受ける場合、免除が拒否されて、顧客の認証が必要になる事態に備えて、フォールバックを準備することを推奨します。これが特に重要なのは、お客様が、顧客がチェックアウトフローでアクティブでないとき (オフセッションのとき) に請求し、顧客が認証のためにお客様のウェブサイトやアプリに戻る必要がある場合です。詳細については、SCA のための決済フロー設計ガイド を参照してください。

2 段階認証 (SCA) に対応するお客様のための Stripe のサポート

この新しい規制で導入される変更は、欧州のインターネット商取引に大きく影響します。これらの規制は、2020 年 から 2021 年にかけて施行されると予測されますが、影響を受ける企業がこの新しい規制に備えなかった場合、欧州の銀行全体に SCA が施行された後に、コンバージョン率が大幅に低下する可能性があります。

Stripe は、3D セキュア 2 などの新しい認証方法への対応だけでなく、免除への対応も、利用中のわずらわしさを最小限に抑えた、優れた決済体験を生み出すための重要な構成要素であると考えています。 Stripe の新しい決済製品は、規制当局、銀行、カードネットワークのさまざまな規則に合わせて最適化されており、低リスクの支払いには該当する免除を適用するため、3D セキュアが開始されるのは必要な場合のみです。またこれらの規則の変更に応じ、Stripe は各国の施行タイムラインを考慮しながら、この SCA ロジックを保守し、リアルタイムで更新できます。

Stripe は新たな基盤となる支払い API をリリースしました。この API は、Stripe の SCA ロジックを使用して適切な免除を適用し、必要な場合に 3D セキュアを開始します。Stripe の新しい Checkout および Stripe Billing はともにこの API に基づいて構築されており、必要に応じて 3D セキュアを動的に適用できます。

Stripe の SCA 対応製品の詳細をこちらでご覧ください。お問い合わせやフィードバックがございましたら、メールでお知らせください

ガイドに戻る
You’re viewing our website for Austria, but it looks like you’re in the United States. Switch to the United States site