SCA に対応した決済フローの設計

2 段階認証 (SCA) という新しい規制により、ヨーロッパにおけるオンライン決済が変わります。決済フローに対する影響をご確認の上、Stripe がどのように役立つかご覧ください。

概要

最終更新日 2019 年 4 月 15 日

2019 年 9 月 14 日より、新しい規制により、英国を含む欧州経済地域 (EEA) の多数のオンライン決済に対して 2 段階認証 (SCA) が義務付けられます。SCA は決済サービス指令の第 2 版 (PSD2) の一部です。

SCA が施行されると、ヨーロッパでの多数のオンラインカード決済で 2 要素認証が必要になります。認証が行われないと、多くの決済が顧客の銀行によって拒否されることになります。Stripe では、企業がこの変更に対応して SCA の免除を活用できるように、新しい基礎的な API である Payment Intents を設計しました。

SCA に向けて準備するには、決済フローと Stripe 組み込みを更新する必要がありますが、そのプロセスは現在の決済フローと組み込みに応じて異なります。SCA のためにさまざまな種類の決済フローをどのように変更する必要があるかを理解するために本ガイドを使用し、決済フローを再設計するときに参照することをお勧めします。

決済の変化

従来のクレジットカード決済では通常、オーソリとキャプチャの 2 つのステップが行われます。顧客の銀行またはカード会社が支払いを承認すると支払いがオーソリされ、カードに対する請求が行われると支払いがキャプチャされます。

9 月に SCA が施行されると、オーソリとキャプチャの前に認証という必須のステップが加わります。このステップは、不正使用を防止することで顧客を保護するためのものです。支払いを認証するために、顧客は銀行からのプロンプトに応答して、追加情報を提供します。この情報は、パスワードなど顧客が知っているもの、携帯電話など顧客が使用しているもの、指紋など顧客の身体の一部の場合があります。

支払いを認証する一般的な方法は 3D セキュアと呼ばれます。“Visa Secure” や “Mastercard Identity Check” などのブランド名で知られている 3D セキュアをご存知かもしれません。今年後半には、3D セキュア 2 という新しいバージョンがリリースされます。これは、決済を認証するための標準方式となることが予測されていますが、3D セキュア 2 はまだ利用可能ではありません。これらの方式の相違点については、3D セキュア 2 ガイドで確認できます。3D セキュアを Payment Intents APIStripe Billing、新しいバージョンの Stripe Checkout で使用している場合は、サポート対象となったときに何も操作せずに自動的に 3D セキュア 2 に移行します。

どの方式を使用する場合でも、認証するためには顧客がオンセッションでなければなりません。つまり、Web サイトまたはアプリを使用している必要があります。このステップが加わると、顧客に即座に請求している企業にとっては より単純になり、チェックアウトフローの終了後 (オフセッションと呼ばれることもあります) に顧客に請求している企業にとってはより複雑になります 。

本ガイドのシナリオでは、顧客への請求の方法とタイミングに応じてこれらの 3 つのステップ (認証、オーソリ、キャプチャ) がどのように異なるかを例を挙げて説明しています。

  1. 認証
    顧客がオンライン支払いの認証を行います。

    顧客は、銀行からの 3D セキュアのプロンプトに応答して追加情報を提供し、支払いの認証を行います。顧客の視点から 3D セキュアを見てみましょう

    認証が必要になるのは、支払いが免除に適格ではない場合や、顧客の銀行が免除の申請を拒否する場合です。Payment Intents API では、認証のステップを追加する前に、適格な免除を自動的に申請します。そのため、チェックアウトフローが簡単になり、コンバージョン率が保護されます。

    ポイント: 認証は、顧客がオンセッションであるか、Web サイトやアプリを使用しているときに行う必要があります。そのため、このステップは通常、顧客がチェックアウトフォームに入力するときに行われます。

  2. オーソリ
    企業は顧客の銀行に支払いの承認を求めます。

    顧客の銀行は支払いの承認または拒否を決定します。承認された場合、資金は保留になり、7 日間にわたり保証されます。オーソリリクエストが拒否された場合、顧客をオンセッションに戻し、支払いを再認証して、オーソリを再試行する手段が必要になります。

    ポイント: オーソリリクエストは認証された後でも顧客の銀行によって拒否されることがあります。顧客に十分な資金がない場合やカードの有効期限が切れている場合です。

  3. 最大 7 日間

    オーソリからキャプチャまでの期間は最大で 7 日間ですが、大半の企業はオーソリの直後に支払いをキャプチャします。

    ポイント: 顧客の銀行は、オーソリ後にキャプチャされていない支払いを “保留中” とすることがあります。

  4. キャプチャ
    企業が顧客のカードに請求して、決済が完了します。

免除について

特定のタイプの決済は、SCA から免除されます。例えば、低リスクの取引、定額の定期払い、電話による販売、加盟店開始取引です。加盟店開始取引は、顧客がオフセッションのときに登録済みカードを使用して行われる決済です。一般的な例として、ジムの会費公共料金が挙げられます。この免除に適格となるには、企業は顧客と契約して、登録時または初回決済の認証時にカードの認証を求める必要があります。2 段階認証ガイドでは、このような免除やその他の事項について詳しく説明しています。

Stripe の SCA に対応した決済 API と製品では、免除が自動的に申請されるため、企業はこの機会を最大限に活用することができます。免除が顧客の銀行によって承認されると、顧客は認証を行う必要がなくなるため、コンバージョンに対する影響を最小限に抑えることができます。

ただし、企業は免除を当てにせず、必要に応じて顧客を認証するように決済フローを設計する必要があります。それは、免除に関する規則は顧客の銀行によって異なるためです。銀行はそれぞれの決済を評価して、免除の対象とするかどうかを決定します。また、免除を適用する方法は銀行ごとに異なります。

ビジネスシナリオ

SCA の影響と適用について説明するために、さまざまなビジネスモデルの決済フローで、認証のステップがどのように行われるか概要を示します。

ガイド一覧に戻る