「3D セキュア 1」から「3D セキュア 2」へ
3D セキュア規格は、不正使用を減らし、オンライン決済の安全性を高めることを目的に設けられ、Visa Secure、Mastercard Identity Check、American Express SafeKey などのブランド名で知られています。
3D セキュア 2 (3DS2) では「フリクションレス認証」が導入されており、3D セキュア 1 と比べて購入体験が向上します。3DS2 は、ヨーロッパでの強力な顧客認証 (SCA) の要件に準拠するために使用される主要なカード認証方式です。また、ビジネス上の SCA の免除をリクエストするための主要なメカニズムでもあります。
Stripe は Payments API、モバイル SDK、Stripe Checkout で 3D セキュア 2 に対応しています。
3D セキュア 1 の歴史
一部の市場では住所確認システム (AVS) や CVC 検証などの付加的なセキュリティ対策が行われているにもかかわらず、クレジットカードやデビットカードによる決済は、依然として不正利用の高い危険にさらされています (実際このリスクが高いため、顧客は自分のカードで行われた不正利用に対して不審請求の申請を行うことができるようになっています)。
この問題に対処するため、カードネットワークは 2001 年、3D セキュアの最初のバージョンを導入しました。オンラインで頻繁に買い物をしている場合には、3D セキュアのフローをご存知かもしれません。カード詳細を入力して購入を決定すると、別のページにリダイレクトされ、そこでコードやパスワードを入力して購入を承認するようにカード会社から求められます。認証ページはカードネットワークによる提携ブランド名が入っているため、大半の顧客は、Visa Secure、Mastercard Identity Check、または American Express SafeKey などの名称で 3D セキュアになじみがあることと思います。
ビジネスにとって、3D セキュアを導入することのメリットは明らかです。追加情報を求めることにより、不正防止のための追加レイヤーが構築され、正当な顧客のみからカード支払いを受け付けることができます。さらに、3D セキュアで支払いを認証すると、不正利用によるチャージバックの責任が事業者からカード会社に移動 (ライアビリティシフト) します。3D セキュアは航空券などの高額な買い物に適用されることが多い理由は、このように保護機能が追加される点にあります。
残念ながら、3D セキュア 1 の利用には欠点もありました。決済を完了するためのステップが増えることで、決済フローが煩雑になるため、顧客が購入を断念する可能性があります。さらに、多くのカード会社は依然として、カード保有者に対して 3D セキュア検証を完了するために、静的なパスワードを作成して記憶するよう求めます。顧客はこれらのパスワードを忘れてしまうことが多く、その結果、カートの放棄率の上昇につながります。
3D セキュア 2 の違い
6 社の主要カードネットワークで構成される EMVCo は、3D セキュアの新バージョンをリリースしました。3D セキュア 2 (EMV 3-D セキュア、3D セキュア 2.0、3DS2 とも呼ばれる) は、3D セキュア 1 の欠点の多くを解消することを目的としており、利用者にとって負担の少ない認証とより優れたユーザー体験を特長としています。
フリクションレス認証
3D セキュア 2 により、ビジネスや決済サービスプロバイダーは各取引でより多くのデータ要素をカード会社に送信することができます。これには、配送先住所などの支払い特有のデータや、顧客のデバイス ID や以前の取引履歴などのコンテキストデータが含まれます。
カード会社はこれらの情報を使用して取引のリスクレベルを評価し、適切な対応を選択します。
カード保有者本人が実際に購入していることをカード会社が信用するのに十分なデータであれば、取引は「フリクションレス」フローで行われ、カード所有者からの追加入力なしに認証が完了します。
カード会社が、さらに証拠が必要であると判断した場合、取引は「チャレンジ」フローに送られ、顧客は支払いを認証するために追加の入力を求められます。
3D セキュア 1 でもリスクベースの認証に限定的に対応していましたが、3D セキュア 2 ではさらに多くの情報を共有することで、顧客に追加入力を要求せずに、認証できる取引数を増やすことができます。
3D セキュア 1 のフォールバックサポートを備えた 3D セキュア 2 を使用した支払い認証のフローの例
取引がフリクションレスフローを進んだとしても、ビジネスはチャレンジフローを通過する取引と同じライアビリティシフトのメリットが得られます。
より良いユーザー体験
3D セキュア 1 と違い、3D セキュア 2 はスマートフォンの台頭後に設計されており、カード会社が自社アプリを通して革新的な認証体験を提供することがより簡単になります (「帯域外認証」と呼ばれることもあります)。カード所有者は、パスワードを入力したりショートメッセージを受信したりする代わりに指紋や顔認識を使用して、そのアプリを通じて支払いを認証をします。3D セキュア 2 でのよりスムーズな認証体験に、多くのカード会社が対応することが期待されます。
ユーザー体験に対する改善点がもう 1 つあります。3D セキュア 2 は、ウェブおよびモバイル決済フロー内にチャレンジフローを直接埋め込むことができます。ページ全体をリダイレクトする必要はありません。顧客が企業のサイトや ウェブページで認証する場合、3D セキュアのメッセージが決済ページ (ブラウザーフロー) にデフォルトで表示されます。
3D セキュア 2 のブラウザーフロー
アプリを構築している場合、3D セキュア 2 用に構築されたモバイル SDK を使用すると、「アプリ内」の認証フローを構築でき、ブラウザーでのリダイレクトを避けることができます。
3D セキュア 1: ブラウザーでのリダイレクトを伴うモバイル認証フロー
3D セキュア 2: アプリ内のモバイル認証フローを改善
3D セキュア 2 と強力な顧客認証
強力な顧客認証 (SCA) の施行により、ヨーロッパでビジネスを行う企業にとって、3D セキュア 2 がますます重要になりました。この規制では、ヨーロッパの決済により多くの認証を適用することが求められるため、3D セキュア 2 のユーザー体験の改善により、購入完了率の低下を防ぐことができます。
3D セキュア 2 プロトコル自体でも、Stripe のような決済サービスプロバイダーは SCA の免除をリクエストし、低リスクの支払いの認証を省略することができます。SCA を必要とする支払いは、「チャレンジ」フローを経ますが、SCA から免除を受けられる取引は、「フリクションレス」フローに送られます。ただし、決済サービスプロバイダーが SCA を必要とする支払いに免除をリクエストし、取引が「フリクションレス」フローに送られると、その取引はライアビリティシフトによるメリットを得られなくなることに注意してください。
Stripe が 3D セキュア 2 に対応する方法
Stripe は、Payments API および Checkout で 3D セキュア 2 のブラウザーフローに対応しているため、事業者は 3D セキュアを高リスクの支払いに動的に適用し、ビジネスを不正利用から保護することができます。Stripe は、カード会社が 3D セキュア 2 に対応している場合はこれを適用し、まだ新しいバージョンに対応していない場合は 3D セキュア 1 を使用します。
モバイルアプリケーションを構築する場合、iOS SDK および Android SDK でアプリ内の認証フローを構築して「ネイティブ」の認証体験を提供することで、顧客をアプリケーション外にリダイレクトする必要がなくなります。カード会社がまだ 3D セキュア 2 に対応していない場合でも、Stripe のモバイル SDK は、アプリケーション内に埋め込まれた WebView で動的に 3D セキュア 1 を使用します。
Payments API、モバイル SDK、Stripe Checkout の詳細について確認し、3D セキュア 2 を使い始めましょう。