💨

3Dセキュア義務化迫る!!導入するにあたっての壁と現状

2024/12/23に公開

この記事はGMOメディア株式会社 Advent Calendar 2024の23日目の記事です。

この記事を見ていただきたい人

  • 自社でECサイトなどを運営し、クレジットカード決済を導入しているが3Dセキュアをまだ導入していない方
  • 一度カゴ落ちに悩んで導入を見送った経験がある方

3Dセキュアと義務化について

3Dセキュアとは簡単にいうとインターネット上でクレジットカード決済をより安全に行うための本人認証の仕組みです。
経済産業省から発表されてる通り、
原則、全てのEC加盟店は、2025年3月末までにEMV 3-Dセキュアの導入を求められます。

現状守らなかったとしても厳密な罰則は定められてないのですが、リスクとしては以下が考えられます。

  • チャージバック発生時に加え罰則金を請求される可能性
    • すでにvisaでは対象になっています。
  • クレジットカード決済機能の停止:クレジットカードが使用できなくなる可能性
    • 特に最近では、Visaによるクレジットカード決済の停止命令が話題となりましたが、このような事態は事業の継続に致命的な影響を与える可能性があります。

3Dセキュア義務化の背景

理由はコロナ禍に伴ってEC展開が増えたことやEC展開を狙った不正者が増えたことでクレジットカードの不正利用が増えたためです

一般社団法人日本クレジット協会からクレジットカード不正利用被害額まとめが公開されました。
こちらは2024年12/20現在で最新のデータになります。
2023年の不正利用被害額は541億円と過去最高を記録し、2024年も依然として高水準で推移しています。

不正利用被害状況(億円)

年度 偽造カード被害額 番号盗用被害額 その他不正利用被害額 合計(目安)
2016年 31 89 23 143
2017年 21 177 28 226
2018年 16 188 32 236
2019年 18 223 33 274
2020年 8 224 21 253
2021年 1.5 312 17 331
2022年 1.7 412 23 437
2023年 3.1 505 33 541
2024年 (1~6月) 1.6 242 17 261

※引用:「一般社団法人日本クレジット協会」

3Dセキュアのリスクベース認証について

弊社では、決済代行会社のGMOペイメントゲートウェイ株式会社様のサービスを用いて、3Dセキュアを導入しております。3Dセキュアには過去の3Dセキュア1.0からパワーアップし、リスクベース認証というすべての取引で本人認証を行うのではなく、カード会社が必要だと判断した場合のみ本人認証を行う仕組みを採用しています。リスク低となった場合は基本的に決済体験は変わらず決済することができます。

導入する会社による最大の壁

それは購入時のスムーズな体験が損なわれることで、CTRやCVRに悪影響を及ぼすことです。

リスクベース認証では、ECサイトから3Dセキュア認証要求を送る際に、ユーザーのサービス内での行動履歴、決済状況、デバイス情報、決済内容などの情報に加え、イシュアーが持つユーザー認証情報を基にリスクスコアが算出され、認証が実行されます。
そのため、ECサイト側が保持する指定されたパラメータを可能な限り認証システムに送信することが、リスクを低く抑えるための重要なポイントとなります。

弊社の場合、プラットフォーム内で仮想コインを購入してもらう形態を取っているため、住所などの情報を保持しておらず、必要なパラメータを十分に提供できないという課題を抱えていました。

下記の表は、2023年10月時点で導入を試みた際のリスク判定結果と、2024年12月に再度導入した際の結果です。

リスクベース認証の結果

時点 リスク低 リスク中 リスク高
2023年10月時点 20% 80% 0%
2024年12月時点 83% 17% 0%

上記の表から分かるように202310月時点では、80%近くがユーザーに対してパスワードや生体認証を求める形の追加認証が走りカゴ落ちの多くなるようなデータとなりました。ここでは流石にサービスとして成り立たないということで、断念しました。

しかし義務化に伴い再度トライしたところ、連携するパラメーターに変化はありませんが
80%以上がリスク低の判定で決済ができました。

考察

リスクベース認証では数百ものパラメーターが利用され、そのアルゴリズムは日々変化しています。また、ユーザーの個人情報も日々更新されるため、断定することは困難ですが以下のことが考えられると推測しています。

  • カード発行会社(イシュア)が独自に行うリスク判定のアルゴリズムが時間と共に変化、向上し適切な判定ができるようになった。
  • 義務化に伴い3Dセキュア導入する企業が増えてきたことによってユーザーが同じカードをほかの加盟店で3Dセキュア2.0を使った実績などが蓄積され信用情報が溜まったことによってリスクが軽減された

一度カゴ落ちに悩んで導入を断念した方も、状況が変わっている可能性があります。義務化のタイミングもあるので、ぜひ再度導入を検討してみることをおすすめします!!

GMOメディアテックブログ

Discussion