デジタル決済では、利便性とセキュリティの両方が重視されます。ビジネスが成長するにつれて、オンライン体験を損なわずに利用者のデータを安全に保つソリューションのニーズも高まります。決済を保護するための主力の認証プロトコルである 3D セキュアは、こうした課題に対するソリューションの 1 つです。3D セキュア 2 では、この確立されたフレームワークが、防御の強化と顧客体験の円滑化に重点を置いてアップグレードされています。
モバイルおよびデジタル取引の台頭は、3D セキュア 2 などのプロトコルの登場に向けた下地を作りました。Grand View Research のレポートによると、全世界の 3D セキュアによる支払い認証の市場規模は、2022 年に 11 億ドルになると推定されていました。ビジネスには、効果的に既存のプラットフォームと連携するシステム (全体的な決済体験を向上させつつ、強力な保護が可能なシステム) が必要です。以下では、3D セキュアの詳細について説明します。具体的には、その概要と仕組みや、ビジネスで導入して、常に顧客の要求を満たしつつ、決済システムの適応と最適化を行えるようにする方法について説明します。
本記事の内容
- 3D セキュアとは
- 3D セキュアの仕組み
- 3D セキュア 1 と 3D セキュア 2 の比較
- 3D セキュアを導入するメリット
- 3D セキュアに関するよくある誤解
- 3D セキュアの課題とデメリット
- 3D セキュアを決済システムに導入する方法
3D セキュアとは
3D セキュア (「3 ドメインセキュア」の省略形) は、オンラインでのクレジットカードとデビットカードの取引の安全性をサポートできるように設計された認証プロトコルです。このプロトコルは、最初に Visa によって「Verified by Visa」の名の下で開発されました。これには、カード発行会社、アクワイアラー、相互運用性のドメインの 3 つの主要な当事者が関わっています。
3D セキュアの主な機能は、オンライン決済向けの認証を強化することです。従来の取引ではカード詳細とセキュリティコードのみが必要とされていますが、3D セキュアによる取引では、カード保有者に追加のパスワードの入力を求めたり、モバイルデバイスに 1 回限りのコードを送信したりします。通常、このステップはポップアップウィンドウかアプリ内のインターフェイスで実施されます。
3D セキュアの仕組み
3D セキュアのプロセスは、複数のステップで複数の当事者が関わる形で実施され、オンライン取引のセキュリティを強化します。これらのステップのそれぞれが、信頼できる効果的な認証システムの実現に寄与します。
3D セキュアは、カード発行会社、アクワイアラー、相互運用性のドメインの 3 つのドメイン間の複雑なやり取りに左右されます。以下では、このプロセスにおいて不可欠なステップを個別に紹介します。
取引の開始
利用者がオンラインで購入を行うことを決定したら、ビジネスのウェブサイトで通常どおりにカード詳細を入力します。この時点で、ビジネスのサーバーで 3D セキュア認証の必要性を認識し、ビジネスのカード取引を処理する金融機関であるアクワイアラーにリクエストを送信します。
ビジネスのサーバーで取引の性質とカード発行会社のポリシーに基づいて 3D セキュアが必要かどうかが判断されるため、ビジネスはこのステップで重要な役割を果たします。どのような場合にこうしてセキュリティを強化すべきなのかを認識することで、不正取引の発生を大幅に低減することができます。
認証のリクエスト
アクワイアラーは、カード発行会社とアクワイアラー間のやり取りを円滑に進めるカードネットワーク (多くの場合は Visa または Mastercard) にこのリクエストを転送します。
アクワイアラーとカードネットワーク間のタイムリーで正確なやり取りが、取引の成否を分けます。エラーや遅延は取引の放棄につながる恐れがあり、顧客体験とビジネスの売上の両方に悪影響を及ぼします。
認証プロセス
カードネットワークでカード発行会社を識別し、認証のリクエストをカード発行会社に送信します。その後、カード発行会社がカード保有者に対して、追加情報の入力を求めます。これは通常、ポップアップウィンドウかアプリ内のインターフェイスで実施されます。
このステップの間、カード発行会社は効果的にセキュリティと顧客体験のバランスを取る必要があります。カード保有者の本人確認はきわめて重要ですが、過度に複雑または時間がかかるプロンプトを使用すると、利用者に購入を思いとどまらせたり、売上の損失につながったりする恐れがあります。
確定または拒否
カード保有者がリクエストされた情報を提供すると、カード発行会社がそれを評価して取引を認証します。その後、カード発行会社がカードネットワークを介してアクワイアラーに応答を送り返し、続けてビジネスに情報が提供されます。
このステップは、取引のプロセスにおける焦点になります。認証に成功すると、取引の実行が許可されます。また、多くの場合、不正利用に関連したチャージバックにおけるビジネスのライアビリティが軽減されます。反対に、認証に失敗すると、結果的に取引がキャンセルされる恐れがあります。ただし、これはカードの不正利用からの保護措置としても機能します。
取引の完了
最後に、カード発行会社でカード保有者の本人確認が済むと、ビジネスで取引を進めて商品やサービスを提供できます。ビジネスでは、この段階で取引の結果について利用者に明確に伝える必要があります。というのも、これによって購入後のやり取り (商品の提供やカスタマーサービス) における雰囲気が定まるからです。
3D セキュア 1 と 3D セキュア 2 の比較
EMVCo は 2016 年 10 月に (3D セキュア 1 から) 3D セキュア 2 への更新を実施しましたが、ビジネス、カード発行会社、ペイメントゲートウェイによる導入と完全な実装は、すぐには行われませんでした。欧州決済サービス指令改訂版 (PSD2) とその強力な顧客認証 (SCA) の要件を含むいくつかの新しい規制を受けて、2019 年により広い範囲で 3D セキュア 2 の導入が推し進められました。
3D セキュア 1 と 3D セキュア 2 はどちらもオンラインのクレジットカード取引の認証プロトコルですが、その設計や顧客体験には重要な違いがあります。ここでは、これらを比較します。
顧客体験
- 3D セキュア 1: 利用者が隔離された認証ページにリダイレクトされたため、結果的に決済体験の負荷がより高くなってしまう場合がある。
- 3D セキュア 2: 一部分において顧客体験を向上できるように設計されており、決済時の中断を最小限に抑制する。通常は、リスクの高い取引でのみ追加の認証が要求される。
モバイルへの導入
- 3D セキュア 1: モバイル体験に最適化されていなかったため、これによりモバイルデバイスで認証ページが反応しなかったり、不適切に表示されたりすることにつながる場合があった。
- 3D セキュア 2: モバイルで使用するために構築されており、モバイルへの導入を円滑化するために最適化されていて、モバイルアプリおよびブラウザーと容易に連携する。
データポイント
- 3D セキュア 1: 認証プロセス中に使用されていたデータポイントが 3D セキュア 2 よりも少ない。
- 3D セキュア 2: リスクベースの評価のために、3D セキュア 1 よりはるかに多くのデータポイント (取引履歴やデバイス情報など) を使用。これによって認証のスマート化が実現し、リスクの低い取引では追加の認証が不要になる場合がある。
スムーズなフロー
- 3D セキュア 1: 一般的に、パスワードや、カード保有者による何らかの形式の静的な認証が求められた。
- 3D セキュア 2: 「スムーズなフロー」が導入され、一部の取引はカード保有者とのやり取りは不要で認証される場合がある。
取引の対象範囲
規制と法令遵守
- 3D セキュア 1: いくつかの最新のオンライン決済に関する規制よりも前から存在していた。
- 3D セキュア 2: 欧州決済サービス指令改訂版 (PSD2)、中でも特にオンライン取引における強力な顧客認証 (SCA) の要件を遵守できるように設計されている。
カード発行会社とビジネスのやり取り
- 3D セキュア 1: カード発行会社とビジネス間で取引に関してやり取りするための方法が限られていた。
- 3D セキュア 2: カード発行会社とビジネス間でのより直接的なやり取りが円滑化されており、取引のリスクに基づいたリアルタイムな意思決定が可能。
どちらのプロトコルもオンラインのクレジットカード取引のための安全な環境を実現しますが、3D セキュア 2 を導入すると顧客体験、モバイルの最適化、適応型の認証方法を強化できます。こうした新しいイテレーションによって、オンラインコマース向けのより現代的で使いやすいソリューションが実現します。
3D セキュアを導入するメリット
不正取引のリスクの低減
3D セキュアテクノロジーでは、利用者による追加の確認ステップをリクエストすることで、取引をリアルタイムで検査します。これにより、未承認の取引の大半が除外され、ビジネスでの全体的な不正利用に関連したコストの削減につながります。また、チャージバックが減少するため、銀行での評価も高くなります。Statista のデータによると、2022 年には決済の不正利用 によって全世界で 410 億ドルの E コマースの損失が生じたと推定されており、ビジネスで直面する不正取引の規模の大きさを物語っています。利用者にとっての信頼性と安心感の向上
買い物客にとって、認証の強化は、買い物を安全に進めるうえでのゴーサインになります。こうして高まった安心感には、長期的なメリットがあります。そのメリットは顧客のライフサイクルに行き渡る場合があり、1 回限りの買い手をリピーター客に変換したり、時々買い物をする客をブランドのアドボケイトに変換したりするうえで役立ちます。規制基準の遵守
法令遵守は、デジタル時代にビジネスを行ううえで避けられない複雑な部分です。規制当局はガイドラインを頻繁に更新するため、ビジネスで後れを取らないようにすることが困難になっています。3D セキュアを取り入れることで、常に法令を遵守し、高額の罰金と法的な問題を回避できるようになります。また、厳格に法令を遵守するという評判を確立することは、市場での差別化要因になり得ます。これは、慎重な利用者が安全性で劣る競合他社よりも貴社のプラットフォームを選択すべき明確な理由になります。
3D セキュアに関するよくある誤解
3D セキュア に関していくつかの誤解があり、これらがビジネスでの導入の決定に影響を及ぼす恐れがあります。これらのよくある誤解の裏側にある真実を突き止めることが、十分な情報に基づいて選択を行うための鍵になります。ここではそれらを詳しく見ていきます。
誤解 1: 利用者が離れてしまう。
セキュリティ対策を強化すると、結果的にカートが放棄されてしまうという考えは、正確ではありません。データによると、人々は顧客情報を保護するための措置がビジネスで講じられているのを確認すると、より高い確率で購入を確定させます。こうした措置によって、利用者が貴社のブランドを信頼感や安心感と結び付けられるようになり、最終的に利用者の維持と長期的なロイヤルティにつながります。誤解 2: 不正利用に対する完璧なソリューションである。
3D セキュアは不正取引のリスクを大幅に低減しますが、どのシステムも完璧ではありません。そのため、バランスの取れた戦略には、さまざまな種類の不正行為に対処するために、3D セキュアなどの多層的なセキュリティ対策を含める必要があります。誤解 3: 取引の速度が低下する。
3D セキュアによって取引の時間が必要以上に遅れるという認識がありますが、余分に数秒かけて認証を行うことで、不正利用の調査が必要な取引の数を減らすことにより、長期的に時間を節約できます。チャージバック手数料やその他の不正利用関連のコストを削減できる可能性があり、これによって取引の時間における最小限の遅延を埋め合わせることができます。誤解 4: リスクの高い業界のみを対象としている。
3D セキュアは、高額な取引がよく発生する一部のセクター (高級品やオンラインギャンブルなど) のみに有効であるとみなされる場合があります。しかし、これは実態とは異なります。多種多様なセクターのビジネスで (リスクの高い業界で運営を行っていないビジネスでも) セキュリティの強化によるメリットを得ることができます。3D セキュアは保険契約と同様に、必要としながら持っていないよりは、持っていて必要としない方が望ましいものです。
3D セキュアの課題とデメリット
3D セキュアには多くのメリットがありますが、ビジネスで導入時に直面する可能性のある課題とデメリットもあります。
カートの放棄率の増加
ビジネスで 3D セキュアを導入すると直面する可能性のある課題の 1 つは、カート放棄率の上昇です。利用者は、追加の認証プロセスに遭遇した際に、煩わしいと思ったり、その目的に不信感を抱いたりして、取引プロセスを終了してしまうことがあります。3D セキュアの目的は安全性を強化することですが、これを不便だとみなす利用者は購入を完了する確率が低くなっています。顧客体験の複雑さ
決済プロセスに複数のステップを追加すると、より複雑な顧客体験につながる恐れがあります。決済プロセスが直感的ではなくなるほど、利用者が決済プロセスを放棄する確率が高まります。必要なセキュリティ対策を維持しつつ、決済体験をできる限りスムーズにする必要がありますが、3D セキュアを導入してバランスを保つのは困難な場合があります。業務で必要になる作業
多くの場合、3D セキュアを導入すると、既存のシステムとプロセスに変更を加えることになります。これには、IT インフラストラクチャの更新、従業員のトレーニング、カスタマーサービス担当者が関連した質問に対処できるようにすることが含まれます。最初に投資する時間とリソースがかなり多くなる可能性があり、これが一部のビジネスにおいて 3D セキュアの導入を妨げる恐れがあります。ライアビリティに関する懸念
3D セキュアでは一部の不正取引のライアビリティがビジネスからシフトされますが、このシフトに関する諸条件が複雑になっている場合があります。すべての不正利用シナリオがカバーされるとは限らず、ビジネスで不正防止対策を怠ってはいけません。セキュリティに関する誤った認識がビジネスの注意を散漫にする可能性があり、これによって長期的な悪影響がもたらされる恐れがあります。
3D セキュアには潜在的な課題がありますが、適切に計画することでこうした問題を埋め合わせることができます。ビジネスにとってのオプションの 1 つは、Stripe などの優れた包括的なペイメントプロバイダーと連携することです。
3D セキュアを決済システムに導入する方法
3D セキュアを決済システムに取り入れることで、セキュリティを強化し、不正取引に対する予防措置として機能させることができます。Stripe は、3D セキュア 2 (3D セキュアのより高度で使いやすいバージョン) の包括的なサポートを提供しています。ここでは、主な手順や、導入に関して留意すべき検討事項をいくつか紹介します。
Stripe の API と連携させる
Stripe は、支払い APIと決済機能によって 3D セキュア 2 を円滑に使用できるようにしています。これらのツールをご利用のシステムに導入すると、リスクの高い取引を潜在的な不正利用から保護できます。Stripe の構築済みのシステムを使用することの主なメリットは、カード保有者のカード発行会社が対応している場合は 3D セキュア 2 を適用し、必要な場合は 3D セキュア 1 に戻すことができる点です。モバイルアプリケーションにフォーカスする
モバイルアプリではスムーズな取引フローが求められます。Stripe の iOS および Android SDK はアプリ内の認証を有効化し、利用者にとってより直接的な体験を実現します。これにより、決済プロセスの妨げになり得る外部のページへの利用者のリダイレクトを防ぎます。Stripe のモバイル SDK では、カード発行会社が 3D セキュア 2 に対応していない場合でも、アプリに埋め込まれた WebView で 3D セキュア 1 を提示します。顧客体験を優先する
3D セキュア 2 はスマートフォンを念頭に置いて開発されており、カード発行会社で認証方法を更新できるようにしています。たとえば、利用者が従来のパスワードやショートメッセージではなく、指紋や Face ID を使用して決済を認証する場合があります。こうした新しいテクノロジーは、妨げを減らして、取引体験の向上を促します。ウェブとモバイルの決済フローに対応する
3D セキュア 2 の設計では、ウェブとモバイルの両方の決済フローにチャレンジフローが埋め込まれており、フルページのリダイレクトが不要になっています。利用者がウェブサイトやアプリケーションで本人確認を行うと、決済ページのモーダル内に 3D セキュアのプロンプトが表示されます。規制状況を常に把握する
ヨーロッパでビジネスを行う場合、強力な顧客認証 (SCA) の施行は重要です。SCA ではヨーロッパでの支払いに対してより厳格な認証を義務付けており、3D セキュア 2 の顧客体験を非常に価値の高いものにしています。3D セキュア 2 の使用を通じて、ビジネスで購入完了率に対する潜在的な悪影響を最小化することができます。3D セキュア 2 の柔軟性を活用する
Stripe の 3D セキュア 2 プトロコルへの適応性により、特にリスクが低いと思われる場合に、一部の取引で認証をスキップして、「スムーズ」なフローを使用することが可能です。ただし、ペイメントプロバイダーが免除を要求し、取引で「スムーズ」な方法が使用されている場合、ライアビリティシフトのメリットが適用されない可能性があります。
3D セキュア 2 をご利用の決済システムに取り入れると、決済体験を確実にできる限り使いやすくしつつ、不正利用の防止に役立てることができます。Stripe のツールを活用し、上述のガイドラインに従うことで、ビジネスでバランスの取れたセキュリティと操作性の組み合わせを実現できます。
Stripe での 3D セキュア 2 の詳細は、こちらでご確認いただけます。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。