クレジットカードの不正利用による被害は年々増加しています。特に EC サイトでの買い物のように、非対面決済でクレジットカードを使用する際のセキュリティリスクが懸念されています。
急増の一途をたどるクレジットカードの不正利用に関する報告を受けて、日本政府は、すべての加盟店に対する 3D セキュア 2.0 導入の義務化と、その導入期限を 2025 年 (令和 7 年) 3 月末とすることを発表しました。
本記事では、3D セキュア 2.0 (EMV 3-D Secure) の義務化に伴う事業者への影響や対策、導入する際の注意点などについて解説します。
目次
- 3D セキュアとは?
- 3D セキュア 1.0 と 3D セキュア2.0 (EMV 3-D Secure) の違い
- 3D セキュア 2.0 が義務化された背景と政府の対応
事業者別: 3D セキュア 2.0 の義務化への対策 - 3D セキュア 2.0 を導入するメリット
- 3D セキュア 2.0 を導入する際の注意点
- 3D セキュア 2.0 の義務化についてよくある質問
- 3D セキュア 2.0 を理解して義務化に対応するために
3D セキュアとは?
3D セキュアとは、EC サイトなどでクレジットカード決済を行うときの、不正利用防止を目的とする本人認証システムです。冒頭でも解説したように、年々増加傾向にあるクレジットカードの不正利用を防ぐためには、この 3D セキュア認証が重要な役割を果たしています。
通常、オンラインショッピングサイトでクレジットカード決済をする際、3D セキュアによる認証画面が自動的に表示されます。この認証を行うことで、クレジットカード保有者本人による正規の決済であることが確認でき、決済が実行される仕組みとなります。

3D セキュア 1.0 と 3D セキュア 2.0 (EMV 3-D Secure) の違い
2022 年 (令和 4 年) 10 月に終了した 3D セキュア 1.0 と 3D セキュア 2.0 の違いについては、以下の表をご覧ください。

このように、従来の 3D セキュア 1.0 と 3D セキュア 2.0 では、それぞれ特徴や認証方法などが異なります。特に 3D セキュア 2.0 では、3D セキュアによるカゴ落ちリスクの低減が期待されています。
3D セキュア 2.0 が義務化された背景と政府の対応
2024 年 (令和 6 年) 3 月に一般社団法人日本クレジット協会が公開した『クレジットカードの不正利用被害の発生状況』によると、2023 年 (令和 5 年) 1 月から 12 月に発生した不正利用の被害額は 541 億円と、過去最高被害額を記録しました。年々不正手口が複雑化・巧妙化する中で、こうした不正利用を 100% 防ぐことは非常に難しいとされています。

EC サイト運営事業者 (EC 加盟店) を対象とする 3D セキュア 2.0 導入の義務化については、こうしたクレジットカードの不正利用による被害額が毎年大幅に増加していることが背景として挙げられます。
不正利用被害額の急増に伴う 3D セキュア 2.0 の必要性を考慮し、経済産業省では、3D セキュア 2.0 の導入をすべての EC 加盟店に対して義務とすることを発表しました。具体的には、2025 年 (令和 7 年) 3 月末を目処に、クレジットカード決済に関わる事業者を対象に、3D セキュアの導入が求められます。
参考資料: 一般社団法人日本クレジット協会『クレジットカード・セキュリティガイドライン 5.0版 改訂ポイント』(2024 年 3 月公表)
事業者別: 3D セキュア 2.0 の義務化への対策
3D セキュア 2.0 の義務化は、EC 加盟店だけの問題ではありません。導入義務化への対応として、クレジットカード事業を行う各社においても、2025 年 3 月末までの導入を実現できるよう EC 加盟店に向けて積極的な呼びかけを行うことが大切です。特に、不正利用がすでに多発している EC サイトに対しては早急に導入を促す必要があります。
EC 事業者
- 経済産業省が定める期限までに導入がスムーズに完了できるよう、早めの導入を目指し、計画的に導入作業を進める
- すでに不正利用が頻繁に発生している場合は、すぐに 3D セキュア 2.0 の導入にとりかかる
クレジットカード発行会社 (イシュア)
- カード会員に対し 3D セキュア 2.0 への登録を推奨し、2025 年 3 月末までには EC サイトを利用する会員の 80% が登録済みであることを目標とする
- 2025 年 3 月末の時点で、3D セキュア2.0 の登録者全員が、固定パスワード以外による認証方法 (ワンタイムパスワードやアプリによる認証など) を利用していることを目標とする。
アクワイアラー・決済サービスプロバイダー (PSP)
- 不正利用の多発が顕著な EC 事業者に対し、早急な 3D セキュア 2.0 の導入促進に努める
- 不正利用の発生リスクが高いと判断した事業者についても、優先的に 3D セキュア 2.0 の導入を促し、2025 年 3 月末までには導入の完了を目指す
- EC サイト運営事業者と新たに契約を結ぶ際には、2025 年 3 月末を目処とする 3D セキュア 2.0 導入の義務化について説明し、理解を得たうえで契約する
EC 加盟店が 3D セキュア 2.0 を導入するメリット
より効率的な不正利用の防止が期待できる
3D セキュア 2.0 の場合、本人認証が従来に比べてよりスムーズに行われます。たとえば、以前はあらかじめ設定したパスワードでしか認証を行うことができませんでしたが、3D セキュア 2.0では、生体認証のほか、SMS やアプリを用いた 1 回限り利用可能なワンタイムパスワードによる認証が可能です。そのため、万が一カード情報が漏えいした場合でも不正利用のリスクを最小限におさえられることができると期待されています。
チャージバックリスクの回避
チャージバックの最大の原因は、クレジットカードの不正利用です。チャージバックが発生すると、EC 加盟店は、送付済み商品の回収ができないほか、売上も回収できず、収益が下がってしまうため、事業者にとっては非常に深刻な問題です。
こうした状況の中、技術面やセキュリティ面が改善された 3D セキュア 2.0 を導入することで、チャージバックの発生率が下がる可能性に期待が高まっています。3D セキュア 2.0 によって不正利用が生じにくくなれば、チャージバックの発生防止にもつながるでしょう。
カゴ落ちリスクの低減
3D セキュア 2.0 では、各決済においてリスク度の判定を行い、リスク度が高いと判定された場合のみ追加認証が行われる仕組みとなります。これによって、決済のたびにパスワードを要求されることが少なくなるため、決済時のカゴ落ち率 (カート離脱率) を低減することができます。
3D セキュア 2.0 を導入する際の注意点
完全に不正利用を防止することは困難
1 つ目の注意点として、3D セキュア 2.0 を導入したからといって、不正利用を 100% 見抜けられるわけではないことを理解しておきましょう。3D セキュア 2.0 は、3D セキュア 1.0 に比べ仕組みが改善されてはいますが、「なりすまし」のように、悪意ある第三者によって本人認証を通過するケースを完全に避けられるものではありません。3D セキュア 2.0 にかかる料金が発生する可能性
3D セキュア 2.0 は、場合によって有償となるケースがあります。そのため、導入やシステムの利用にあたってのコスト負担が懸念されます。たとえば、導入時の初期費用や月額利用料金は無料な場合でも、決済が処理されるごとに一定の手数料が発生する可能性があります。開発に時間・コストがかかる
3D セキュア 2.0 の場合、アプリなどの外部システムとの連携機能を組み立てる必要があるため、開発に際して時間やコストなどの負担が発生することも考えられます。
3D セキュア 2.0 の義務化についてよくある質問
違反による罰則はありますか?
現段階において、3D セキュア 2.0 を導入しないことに対する罰則規定は発表されていません。しかし、今後、対応を怠った事業者に対する法的措置が講じられる可能性も否定できません。
先ほど「事業者別: 3D セキュア2.0の義務化への対策」でも解説したように、セキュリティ対策が不十分で、不正利用が多発している EC 加盟店については、3D セキュア 2.0 を含む、安全対策に至急着手するよう、カード発行会社や決済サービスプロバイダーから指導を受けることになります。しかし、こうした指導のもとで 3D セキュア 2.0 の導入を強く促されたにも関わらず、導入を怠った場合は、加盟店契約が打ち切られる場合も今後は起こりえるかもしれません。
対象外となる取引は何ですか?
3D セキュアは非対面でのクレジットカード決済が対象です。すなわち、実店舗などでクレジットカードを利用する対面取引については対象外となります。
3D セキュア 2.0 を理解して義務化に対応するために
今回は 3D セキュア 2.0 の義務化について解説しました。3D セキュア 2.0 の導入義務化は、2025 年の 3 月末を目処として、すべての EC 加盟店を対象とするものです。
EC サイト運営事業者が不正利用について対策を講じていない場合、ブランドとしてのイメージが下がるだけでなく、チャージバックによる商品の損失と売上の減少、導入を怠った結果としての決済サービスプロバイダーによる契約解除などのリスクがあります。したがって、これらのリスクが生じることなく、顧客に安心してクレジットカードでの買い物を楽しんでもらうためにも、3D セキュア 2.0 をはじめとする、適切なセキュリティ対策を実施するようにしましょう。
Stripe は、国際的セキュリティ基準 PCI DSS に準拠し、データ暗号化 (SSL/TLS 技術) による不正アクセス防止など、個人情報や取引データのセキュリティ対策を徹底しています。
また、Stripe では決済手段の導入・設定をはじめとし、情報処理や収益管理など、決済に関わるバックオフィスの効率化を実現できる機能を提供しています。たとえば、Stripe Payments なら、1 つのプラットフォームで EC サイトの決済ニーズに幅広く対応し、独自にシステム開発を行うことなく各社の事業スタイルに合った決済環境を整えることができます。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。