一般社団法人日本クレジット協会は、2024年3月15日に「クレジットカードセキュリティガイドライン5.0」を発表しました。
EC事業者に対し「3Dセキュア2.0」の導入を積極的に推奨し、2025年3月までの導入を義務化する方針が明記されています。
本記事では、先行する欧州の事例も交えながら、3Dセキュア2.0の導入がEC事業者に与える影響について、メリットとデメリット、そして具体的な対策について説明していきます。
日本クレジット協会が「ガイドライン5.0」を公表
ガイドラインのポイント
▲セキュリティガイドラインにより示された今後の不正利用対策の考え方(出典:クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント)
ガイドライン5.0では、EC加盟店やカード会社、決済代行会社など、事業者ごとに対面取引と非対面取引に分けて、講じるべきカード情報保護対策や不正利用対策が詳細に定められています。
特にEC事業者に対しては、2025年3月末までに3Dセキュア2.0の導入が義務付けられ、カード会員情報の登録や動的パスワードによる認証方法への移行が推奨されています。
さらに、新規契約の前に「セキュリティ・チェックリスト」を使用して対策を着実に実行し、その状況を申告することが求められるようになりました。
対応を怠った場合、協会による直接的な罰則規定はありませんが、EC事業者がクレジットカード加盟店の申請を行っても、加盟店契約を締結できないなどの影響があるとみられています。
EC事業者への影響
3Dセキュアの導入により不正注文やチャージバックへの対策が強化され、EC事業者の信頼性向上が期待されます。
一方で、購入時に追加の認証ステップが追加されることで、ユーザーが購入を途中で放棄する「カゴ落ち」が増加し、コンバージョン率の低下が懸念されます。
技術導入に伴うコストも影響の一つです。
新しい認証システムを導入するための初期投資や運用コストが発生し、小規模事業者にとっては財務的な負担となる可能性があります。
3Dセキュアの導入にあたっては、セキュリティ強化とユーザー体験のバランス、費用と効果のバランスを取ることが求められ、EC事業者には戦略的なアプローチが求められます。
先行導入した欧州の事例からのインサイト
2018年、ヨーロッパでは「欧州決済サービス指令第2版(PSD2)」の一環として、加盟店に「強力な顧客認証(SCA)」の規制が導入されました。
最も使用されているテクノロジーが3Dセキュアです。
ネットショップ担当者フォーラムによる、グローバル決済プラットフォームを提供するAdyen社へのインタビュー記事から、実際に導入された後にどういった影響があったのか紐解いていきます。
やはり、コンバージョン率の低下は発生
3Dセキュアを導入後、約50%の不正利用が減少し、セキュリティを強化したことによるメリットは大きなものでした。
従来のパスワードやIDに加えて、生体認証も利用されるようになっています。
結果として、オンラインショッピングの信頼性と安全性が向上し、消費者の買い物頻度や購入単価の増加、さらにはクレジットカードの利用率の向上が見られています。
一方で、導入直後には、やはり平均してコンバージョン率が約1ポイント低下しました。
一定期間が経過すると改善し、2~5ポイントほど上昇する業界も中にはありました。
セキュリティの強化でオンラインショッピングの信頼が高まったことに加えて、消費者が新しい認証システムに慣れたことが要因と考えられます。
回復には2年の歳月と周辺努力が必要
コンバージョン率の低下については、セキュリティの強化だけが原因ではないという視点を持つことが重要であると説いています。
消費者の購買行動はさまざまですので、サイト全体の設計もコンバージョン率に大きな影響を与えます。
EC事業者はユーザーの買い物体験全体を見直し、最適化することが必要です。
実際に、コンバージョン率を改善した欧州のEC事業者は、包括的な改善に注力しました。
ヨーロッパでは、回復までに約2年の時間を要しましたが、その裏側には「政府の後押し」、「事業者の採用」、「買い物客の受け入れ」という三つの要素があったとされています。
3Dセキュア導入によるメリットはある一方、コンバージョン率の回復には長い時間と関係者の努力が求められます。
3Dセキュアでよくある課題と原因
先行する欧州では、3Dセキュアの導入が進む一方で、多くの課題が浮き彫りになりました。
ここでは、3Dセキュアの導入に伴うよくある課題とその原因について詳しく解説します。
・ドロップの発生
認証プロセス中にパスワードがわからない、もしくは認証コードが届かないなどの理由で顧客が購入を中断するケースが多いです。
カート放棄が増加し、結果的に売上に悪影響を及ぼす原因となっています。
UI/UXの品質の不十分さや、スマホ操作の難しさがユーザーのストレスを引き起こし、途中で離脱する原因となってしまっていることがあります。
・不正の見落とし
不正取引を未然に防ぐための3Dセキュアですが、技術的な限界により、一定数の不正を見逃す可能性は依然として存在します。
セキュリティ質問やフィッシング警告の多さがユーザーの利用を妨げる一方で、完全な防止には至らないことがあるのです。
不正な取引が問題になると、セキュリティ上の隙間が露呈し、顧客の信頼を損なうことにつながります。
・不正対策オペレーションの増加
3Dセキュアの導入に伴い、グレーリスト確認、顧客対応、キャンセル・アカウント停止などの関連処理の増加は避けられません。
不正ツール費用や疑わしい取引の追跡と処理が必要となり、オペレーションコストが上昇。
さらに、技術的な問題や認証メールの遅延が生じると、解決にかかるコストが大きな負担となります。
結果として、日常業務の負担が増え、運営コストが予想以上にかさんでしまうことがあります。
・多重アカウント登録を排除できない
3Dセキュアを導入したとしても、不正ユーザーが複数アカウントを作成し、システムを悪用するリスクがあります。
設計やポリシーの問題により、不正行為を完全に排除することは難しく、結果としてシステムの信頼性を保てません。
このような状況が続くと、複数アカウントによる悪用がさらに進行し、追加のセキュリティ対策が必要となる可能性があります。
・CV率低下による売上減
認証プロセスが複雑になればなるほど、セキュリティは強化される一方で、顧客の購入意欲は低下しがちです。
特に二段階認証の複雑さや厳しいパスワードポリシーが使用時の困難を招き、ユーザーが購入を諦める原因となっているのです。
結果としてコンバージョン率が低下、潜在的な売上が失われるリスクが高まり、企業の収益に大きな影響を及ぼします。
Infront Securityによる解決策
ガイドライン5.0では、3Dセキュアの「決済時」適用だけでは不十分であり、多面的・重層的な対策が必要としています。
Infront Securityは、3Dセキュアの課題を解消し、高キュリティと利便性を両立したツールです。
・離脱率の大幅抑制
多くの人々がクレジットカードのパスワードを記憶していない実態や、パスワードの使い回しによるセキュリティリスクが存在します。
Infront Securityでは、スムーズでユーザーフレンドリーな認証プロセスにより、顧客の離脱率を大幅に減少させます。
ユーザーはワンタップするだけで初回認証が完了し、照合が完了した後は自動的に接続が切断され、迅速に認証を通過する仕組みです。
2回目以降はIDの入力(電話番号など)だけでログインできます。
・不正取引を効果的に排除
不正行為時の個人特定 ・顧客DBの電話番号から不正行為者の特定が可能な仕組みとなっており、不正行為の抑止機能が働きます。
転売の防止対策として電話番号ごとに購入数やサンプルの申込数を1つにするなどの制限も可能です。
これにより、本来の顧客のために商品を在庫として確保できたり、サンプルから通常品購入への転換率が向上し、正確なマーケティングデータが得られる、広告を踏めるなどのメリットがあります。
・手動での確認作業を最小限に
顧客IDによる一段階認証と、電話の個別識別番号を利用した所持確認による二段階認証の仕組みは、顧客の電話デバイスとInfront Security側のサーバー間のやり取りで行われ、自動化されています。
疑わしい取引はフィルタリングされるため、手動での確認作業は最低限で抑えられる点が特徴です。
・多重アカウントなどの不正登録を排除
顧客が入力した電話番号(顧客データベースに登録されているもの)と同じ電話番号から発信されることが本人確認の証明となります。
また、デバイスが携帯電話に限定されるSMS認証と違い、通話が可能な電話番号であれば全て利用可能です。
公的証明書による本人確認が必要な音声通話契約に基づいているため、不正登録を効果的に排除します。
・サイト利用率/CV率/売上増
パスワードを覚えなくても誰でも簡単にログインできること、セキュリティ対策が強化されることによりサイトに対する安心感が向上するなど、ユーザーエクスペリエンスの向上に伴って、サイトの利用率やコンバージョン率が上昇し、結果として売上が増加します。
このように、Infront Securityは、3Dセキュアでは実現が難しい、セキュリティの強化とコンバージョン率の向上を両立可能なツールです。
