このガイドでは、ヨーロッパの第 2 次決済サービス指令 (PSD2) が定めた強力な顧客認証 (SCA) の要件と、影響を受ける決済の種類について詳しく説明します。さらに、負担の少ない決済機能を提供するために、企業に代わってリクエストできる顧客認証の免除についても説明します。
また、決済プロセスに顧客認証を追加するタイミングの判断に役立つガイドと、予定されている第 3 次決済サービス指令 (PSD3) への対応に関するガイドも公開しています。Stripe の SCA 対応プロダクトについては、Stripe のサイトをご覧ください。
強力な顧客認証 (SCA) とは
強力な顧客認証 (SCA) とは、不正使用を減らしてオンライン決済および非接触のオフライン決済をより安全にするための、ヨーロッパの規制要件です。決済で SCA 要件を満たすには、決済フローに追加の認証を組み込む必要があります。SCA では、次の 3 つの要素のうち 2 つ以上を使用する認証が義務付けられています。
SCA 要件の原本は、Regulatory Technical Standards (RTS) でご覧になれます。銀行 (カード発行会社) は、SCA を必要とする取引のうち、SCA を満たさない支払いを拒否します。
強力な顧客認証 (SCA) が必要なケース
強力な顧客認証 (SCA) は、イギリスおよびヨーロッパで「顧客により開始される」オンライン決済および非接触型のオフライン決済に適用されます。電子決済 (例: カード支払い、銀行振込) はすべて、免除が適用されるか、またはその取引が加盟店により開始される取引など、SCA の対象外 (例: 口座引き落とし) であるとみなされない限り、SCA が要求されます。
オンラインのカード決済については、企業とカード保有者の銀行の双方が欧州経済領域 (EEA) に所在する場合の取引に、これらの要件が適用されます。
カード決済の認証方法
オンラインのカード決済を認証する最も一般的な方法は、ヨーロッパの大半のカードが対応している認証規格、3D セキュアです。一般的に 3D セキュアを適用すると、決済フローに追加のステップが発生し、カード保有者は支払いを完了するために追加情報を提供するよう、銀行から求められます (例: 電話に送られるワンタイムのコードやモバイルバンキングアプリでの指紋の認証など)。
3D セキュア 2 はオンラインのカード決済を認証し、SCA 要件を満たすための主要な方法です。
通常、オフラインのカード取引は、PIN を入力することで認証要件が満たされます。Apple Pay や Google Pay などの他のカードベースの決済手段では、すでに認証レイヤー (生体認証やパスワード) が標準で装備された決済フローに対応しています。これらは、要件を満たしつつ、負担の少ない決済フローを提供する優れた方法です。
3DS における不正利用に関する申請に対する責任について
多要素認証が有効に機能する SCA を導入するメリットの 1 つに、企業が不審申請の請求に対する責任を回避できることが挙げられます。
強力な顧客認証の免除
すべての決済が SCA の多要素認証の対象になるわけではありません。規制で定められた免除を受けられる決済、あるいは SCA の施行の対象外になる決済があります。免除をリクエストし、カード保有者の銀行がそれを許可した場合、不審申請の請求に対する責任は企業側にあります。
Stripe のようなペイメントプロバイダーは、支払いを処理する際に免除をリクエストできます。カード保有者の銀行はリクエストを受け取り、取引のリスクレベルを評価し、免除を許可するか、認証が必要であるかを最終的に決定します。低リスクの支払いに免除を適用することで、顧客に認証が求められる回数が減り、負荷が軽減され、離脱を抑えられます。
Stripe は機械学習を活用して個々のケースに応じた最適な免除を判断し、顧客に可能な限りスムーズな決済体験を提供できるようサポートします。Stripe の SCA 対応の決済プロダクトは、免除をできる限り適用して購入完了率を維持できるように設計されています。
オンライン決済を受け付ける企業に最も関連する免除の対象は以下のとおりです。
低リスクの取引
Stripe などのペイメントプロバイダーは、取引に SCA が適用されるかどうかを判断するために、取引リスク分析 (TRA) と呼ばれるリアルタイムのリスク分析を行うことが許可されています。この免除の適用は、ペイメントプロバイダーのカード支払いに対する全体的な不正利用率が、以下のしきい値を超えない場合にのみ可能です。
- €100/£85 未満の取引を免除する場合は 0.13%
- €250/£220 未満の取引を免除する場合は 0.06%
- €500/£440 未満の取引を免除する場合は 0.01%
これらの値は、必要に応じて現地通貨に換算されます。
ビジネスにとって最も有用であり、銀行によって最も広くサポートされる免除の 1 つです。Stripe はユーザに、Stripe Radarの包括的なリアルタイムリスク評価機能を提供することにより、この免除をサポートします。
€30/£25 未満の支払い
低額の支払いも免除が適用される場合があります。€30 または £25 未満の取引は、「低額」と考えられ、SCA が免除されることがあります。ただし、カード保有者の認証が最後に成功してから免除が 5 回使用されている場合や、以前に認証が免除された支払いの合計が €100/£85 を超える場合、銀行は認証を要求する必要があります。カード保有者の銀行は、SCA の免除が使用された回数を追跡し、認証が必要かどうかを判断します。
低額の免除には厳しい制約があるため、決済の多くが該当しない可能性があります。念のため、Stripe はユーザーに対してこの免除へのサポートを提供しています。
継続取引
この免除は、顧客が同一ビジネスに対して、連続して同額の支払いを繰り返し行っている場合に適用できます。顧客の初回の支払いには SCA が必要ですが、後続の支払いでは SCA が免除されることがあります。
この免除はサブスクリプションビジネスに非常に有用であり、ヨーロッパの銀行が広く対応しています。Stripe Billing を使用してサブスクリプションを作成している場合、該当する場合はこの免除が自動的に適用され、顧客の銀行が免除を拒否した場合に、認証リクエストを管理しやすくします。
加盟店により開始される取引 (変動サブスクリプションを含む)
顧客が決済フローに介在せずに、保存済みのカードで行われる支払い (「オフセッション」とも呼ばれる) は、加盟店により開始される取引として、免除の対象になることがあります。こうした支払いは一般に SCA の対象外です。実際に、「加盟店によって開始される取引」として支払いをマークすることは、免除のリクエストと同様の効果があります。他の免除と同様に、取引に認証が必要かどうかを最終的に決定するのは銀行です。
加盟店により開始される取引を使用するには、カードの初回保存時または初回支払い時に、カードを認証する必要があります。また、後からカードに請求するには、顧客から承諾を得る (「同意書」とも呼ばれる) 必要があります。
これは、支払いが後から行われたり、金額変動型サブスクリプションやアドオン分を請求するビジネスモデルにとって重要なユースケースです。この免除はほとんどのヨーロッパの銀行によってサポートされ、銀行によって取引が低リスクと判断される場合に受け入れられます。
Stripe の API を使用すれば、後で使用できるようにカードを保存する際にカードを認証でき、その後の支払いを「加盟店が開始した取引」としてマークできます。SCA に適切に対応するには、Stripe の最新の API を使用することが重要です。
電話での販売 (MOTO)
電話で収集されたカードの詳細は SCA の範囲外となり、認証の必要はありません。この種の支払いは「通信販売/電話販売」 (MOTO) と呼ばれることがあります。免除される決済と同様に、MOTO 取引はその旨を示すフラグを付ける必要があります。カード保有者の銀行が取引を許可するか拒否するかを最終決定します。
これは、電話で支払いを受け付ける企業にとって重要なユースケースであり、銀行によって広くサポートされています。Stripe ダッシュボードで作成される支払いでは、このユースケースを MOTO 支払いとして自動的にマークします。
PCI に準拠し、電話での注文を受け付けるように自社システムを構築している場合は、Stripe の支払い API を使用して支払いを MOTO としてマークすることができます。この機能を Stripe アカウントで有効にし、技術文書にアクセスすることをご希望の場合は、Stripe にお問い合わせ ください。
企業の支払い
この免除は、「預けられた」カードで行われる決済 (例: 従業員の出張費の決済に使用される企業のカードがオンライン旅行業者によって直接保持される場合) や、バーチャルカード番号を使用して行われた企業の決済 (これも旅行業界で使用されるなど) に適用されます。
この免除は対象が非常に限られるため、旅行業界以外では実際の利用は少ないと考えられます。企業も、Stripe のようなペイメントプロバイダーも、カードがこのカテゴリーに属するかどうかを確認できないため、この免除をリクエストできるのは、カード保有者の銀行のみです。
信頼できる受益者
決済のための認証を完了する時に、顧客は信頼するビジネスを許可リストに入れることで、次回以降の購入で認証しなくても済むようにできる場合があります。これらのビジネスは、顧客の銀行または決済サービスプロバイダーで自管理される「信頼できる受益者」リストに記載されることになります。
許可リストによって、顧客はリピート購入やサブスクリプションをこれまでより簡単に行えるようになる可能性がありますが、銀行での導入は進んでいません。
免除が失敗した場合
免除は非常に有用ですが、最終的にはカード保有者の銀行が免除を許可するかどうかを決定することを忘れないでください。免除が許可されず、その結果、未認証として失敗した決済について、銀行は特定の拒否コードを戻すことがあります。このような決済に関しては、強力な顧客認証 (SCA) のリクエストを添えて顧客に再送信しなければなりません。Stripe の SCA 対応プロダクトでは、銀行から要求された場合、自動的にこの追加の認証がトリガーされます。
お客様のビジネスが SCA の影響を受ける場合は、免除が拒否され、顧客に認証が要求される状況に備え、バックアップオプションを用意することをお勧めします。これは、顧客が決済フローにいないとき (顧客がオフセッションのときなど) に顧客への請求を行い、顧客がウェブサイトやアプリに戻って認証を受ける必要がある場合に特に重要です。詳細については、SCA に対応した決済フローの設計をご覧ください。
ビジネスが強力な顧客認証の要件を満たせるように Stripe がサポート
この規制によってもたらされた変化は、ヨーロッパの E コマースに大きな影響を与えています。ヨーロッパの銀行で SCA の適用が拡がるにつれて、要件に従わない企業は購入完了率に影響が及ぶ可能性があります。
Stripe は、3D セキュア 2 などの認証方法への対応に加え、免除を適切に取り扱うことが、不正利用を減らすと同時に顧客の負担を最小限に抑える、最適化された決済体験を構築するための重要な要素であると考えています。Stripe の決済プロダクトは、さまざまな規制、銀行、カードネットワークのルールに応じて最適化されており、低リスクの支払いには関連する免除を適用するため、必要な状況でのみ 3D セキュアが実行されます。さらに、高度な機械学習モデルが SCA の規制変更への対応もサポートします。
今後の変更点
EU およびイギリスの規制当局は、両地域における SCA の今後を形作る規則の改正に取り組んでいます。欧州委員会は現行の PSD2 フレームワークを改定し、第 3 次決済サービス指令と決済サービス規制の計画案を公表しました。Stripe は、このガイドを公開し、新しい規制が企業に与える影響について詳しく説明し、さらに、イギリス市場における同様の規制の動向を注視しています。
Stripe の SCA 対応プロダクトについては、こちらをご覧ください。ご質問やフィードバックは、こちらまでお寄せください。