2 段階認証 (SCA)

新しい欧州の規制に関してインターネットビジネスが知っておくべきこと

最終更新日: 2019 年 10 月 18 日

はじめに

2019 年 9 月 14 日、ヨーロッパでオンライン決済認証のための新しい要件が 決済サービス指令の第 2 版 (PSD2) の一環として導入されました。 これらの要件は、2020 年 12 月 31 日までに完全に施行されると予測されます。

このガイドでは、2 段階認証 (SCA) と呼ばれるこれらの新しい要件と、これらの要件の影響を受けるタイプの決済について詳しく説明します。また、わずらわしさのないチェックアウトを実現するために、低リスクの取引に使用可能な免除についても説明します。

カスタマージャーニーにいつ認証を追加するべきかを判断できるように、SCA 施行タイムラインの最新情報を含む別のページ 、およびガイドを公開しました。Stripe の SCA 対応製品の詳細については、Stripe のサイトをご覧ください。

2 段階認証 (SCA) とは

2 段階認証 (SCA) とは、不正使用を低減してオンラインでの支払いをより安全にする、欧州の新しい規制要件です。支払いを受け入れ、SCA 要件を満たすためには、チェックアウトフローに追加の認証を組み込む必要があります。SCA では、次の 3 つの要素のうち 2 つ以上を使用する認証が義務付けられています。

顧客の知っている情報 (例: パスワードや PIN)
顧客が持っているまたは保有しているもの (例: 電話番号やハードウェアトークン)
顧客の身体の一部 (例: 指紋や顔認識)

(SCA 要件の原本は、Regulatory Technical Standards (RTS) で参照できます。)

銀行は、SCA が義務付けられながらその基準を満たしていない支払いを拒否することが必要となります。この規制は 2019 年 9 月 14 日に導入されましたが、2020 年12 月 31 日までにこれらの要件が規制当局によって完全に施行されると予測されます。

2 段階認証 (SCA) が義務付けられる場合

2 段階認証 (SCA) は、欧州内での「顧客が開始した」オンラインでの支払いに適用されます。そのため、大部分のカード支払いとすべての銀行送金において SCA が義務付けられます。その一方で、継続的な口座引き落としは「加盟店が開始した」と見なされ、2 段階認証は必要ありません。非接触型の支払いを除き、対面でのカード支払いも新しい規制の影響を受けません。

オンラインでのカード支払いの場合、これらの要件は、企業ならびにカード保有者の銀行の両方が欧州経済地域 (EEA) に属している取引に適用されます (Stripe では、[英国の EU 離脱の結果に関係なく]、SCA 規制は英国内で適用されると考えています(https://www.fca.org.uk/publications/consultation-papers/cp18-44-brexit-regulatory-technical-standards-strong-customer-authentication))。

支払いを認証する仕組み

現在、オンラインでのカード支払いを認証するのに最も一般的な方法では、欧州の大部分のカードが対応している認証標準である 3D セキュアが適用されています。一般的に、3D セキュアが適用されていると、チェックアウト後にステップが追加され、このステップで、支払いを完了するためにカード保有者は銀行から追加の情報 (カード保有者の電話に送信されるワンタイムコードや、モバイルバンキングアプリによる指紋認証など) を提供することを求められます。

3D セキュア 2 (2019 年に展開される新しいバージョンの認証プロトコル) は、オンラインでのカード支払いを認証する方法として、新しい SCA 要件に対応する主要な方法となる見込みです。この新しいバージョンでは、ユーザ体験が向上し、認証のためにチェックアウトフローに生じるわずらわしさが最小限に抑えられます。

Apple PayGoogle Pay などのその他のカードベースの支払い方法も、認証レイヤー (バイオメトリックまたはパスワード) が組み込まれた決済フローにすでに対応しています。これらの方法は、企業が新しい要件に対応しながらスムーズなチェックアウトを実現できる、優れた方法となり得ます。

Stripe では、iDEALBancontactMultibanco などの欧州内で最も一般的な支払い方法も、ユーザ体験を大幅に変更することなく新しい SCA 規則に対応するものと考えています。

2 段階認証 (SCA) の免除

この新しい規制では、特定のタイプの低リスク支払いが 2 段階認証 (SCA) から免除される可能性があります。Stripe のような決済サービスプロバイダも、支払い処理時にこれらの免除をリクエストすることができます。この場合、カード保有者の銀行がリクエストを受け付けて、取引のリスクレベルを評価し、免除を承認するか引き続き認証を必要とするかを最終的に判断します。

チェックアウトフローに認証を組み込むと、ステップが追加されるため、わずらわしさが増して顧客離れが増加する可能性があります。低リスク用の免除を使用すると、顧客の認証が必要となる回数を低減でき、わずらわしさも軽減できます。Stripe は、可能な場合に免除を活用してコンバージョンを保護できるように、新しい SCA 対応決済製品を設計しました。

インターネットビジネスに最も関連する免除は、次のとおりです。

低リスクの取引

(Stripe のような) 決済サービスプロバイダは、リアルタイムのリスク分析を実行して取引に SCA を適用するかどうかを判断することができます。これは、 決済サービスプロバイダまたは銀行においてカード支払いの不正使用率全体が以下のしきい値を超えていない場合にのみ可能です。

  • 0.13% の場合、100 ユーロ未満の取引を免除
  • 0.06% の場合、250 ユーロ未満の取引を免除
  • 0.01% の場合、500 ユーロ未満の取引を免除

上記のしきい値は、該当する場合は、同等の現地通貨金額に換算されます。

決済サービスプロバイダの不正使用率がしきい値を下回っていても、カード保有者の銀行がしきい値を超えている場合には、銀行は免除を拒否して認証を要求すると考えられます。

支払いが 30 ユーロ未満の場合

これは小額の決済に使用できるもう1つの免除です。30 ユーロ未満の取引は「小額」と見なされ、SCA を免除できます。ただし、カード保有者が最後に正しく認証されてから免除が 5 回使用されている場合、または既に免除された支払いの合計額が 100 ユーロを超える場合、銀行は認証を要求する必要があります。カード保有者の銀行は、この免除の使用回数を追跡して、認証が必要かどうかを判断する必要があります。

定額の定期支払い

この免除は、顧客が同じ企業に対して一連の継続支払いを定額で行う場合に適用できます。顧客の初回支払い時には SCA が必要となりますが、2 回目以降の支払いでは SCA を免除することができます。

加盟店の開始した取引 (金額が異なる定期支払いを含む)

顧客がチェックアウトフローに関与しない、保存されているカードで行われた支払い (“セッション外” とも呼ばれます) は、加盟店の開始した取引と見なすことができます。一般に、これらの取引は SCA の範囲外となります。”加盟店の開始した取引” として支払いを行うことは、実質的には、免除をリクエストするのと同様です。また、他の免除と同様に、取引に認証が必要かどうかは銀行が判断します。

加盟店の開始した取引を使用するためには、カードの保存時または初回支払い時のいずれかの時点で、カードを認証する必要があります。また、顧客のカードに以降に請求するためには、顧客の同意 (“委任” とも呼ばれます) を得る必要があります。

信頼された受益者

支払いの認証が完了したら、今後の購入で認証を行わずに済むように、顧客は信頼する企業をホワイトリスト登録することを選択できます。これらの企業は、顧客の銀行または決済サービスプロバイダが保持する “信頼された受益者” リストに追加されます。

電話による販売

電話で収集されたカード詳細は SCA の範囲外となり、認証は必要となりません。このタイプの決済は “Mail Order/Telephone Order” (MOTO) と呼ばれます。免除された支払いと同様に、MOTO 取引はその旨をマークする必要があり、カード保有者の銀行が取引を受け入れるか拒否するかを最終的に決定します。

法人支払い

この免除は、”宿泊” カードで行われる支払い (従業員の出張費管理に使用される法人カードが、オンラインの旅行代理店で直接使用される場合など)、およびバーチャルカード番号 (これも旅行業界で使用される) で行われる法人支払いに適用することができます。

免除が失敗した場合

免除は非常に有用ですが、免除を受け入れるかどうかはカード保有者の銀行が最終的に判断します。認証がないために失敗した支払いに対して、銀行は新しい拒否コードを返します。この場合、これらの支払いを 2 段階認証 (SCA) のリクエストとともに顧客に再提示する必要があります。Stripe の SCA 対応製品 は、銀行からのリクエストに基づいて、この追加の認証を自動的に開始します。

ビジネスが SCA の影響を受ける場合、免除が拒否されて顧客の認証が必要になる事態に備えて、フォールバックを準備することを推奨します。このことは、顧客がチェックアウトフローでアクティブになっていない (セッション外になっている) ときに、認証のために Web サイトやアプリに戻ってもらう必要がある場合に、顧客に請求するために特に重要です。詳細については、SCA のための支払いフロー設計ガイド を参照してください。

2 段階認証 (SCA) への対応準備に対する Stripe のサポート

この新しい規制で導入される変更は、欧州のインターネット商取引に大きく影響します。これらの規制の完全な施行は 2020 年 12 月 31 日までに行われると予測されますが、影響を受ける企業がこの新しい規制に備えなかった場合、ヨーロッパの銀行に広く SCA が施行された後にコンバージョン率が大幅に低下する可能性があります。

Stripe では、3D セキュア 2 などの新しい認証方法への対応だけでなく、免除への対応も、わずらわしさを最小限に抑えた、優れた決済体験を生み出すための重要な構成要素であると考えています。 Stripe の新しい決済製品は、さまざまな規制当局、銀行、カードネットワークの規則向けに最適化されており、低リスクの支払いに該当する免除を適用し、必要な場合にのみ 3D セキュアを開始します。また、これらの規則の変化に応じ、Stripe では、各国の施行タイムラインを考慮しながら、この SCA ロジックを保守し、リアルタイムで更新することができます。

Stripe は基盤となる新たな支払い API をリリースしました。この API は、Stripe の SCA ロジックを使用して適切な免除を適用し、必要時に 3D セキュアを開始します。Stripe の新しい Checkout および Stripe Billing はこの API に基づいて構築されており、この両方で必要に応じて 3D セキュアを動的に適用できます。

Stripe の SCA 対応製品の詳細をご覧ください。お問い合わせやフィードバックがある場合は、メールでお知らせください

ガイドに戻る
You’re viewing our website for Poland, but it looks like you’re in the United States. Switch to the United States site