2025年3月末、すべてのEC加盟店に対して3Dセキュア2.0(EMV 3-Dセキュア)の導入が義務化されました。 クレジットカードの不正利用被害額は2024年に555億円と過去最高を更新しており、義務化そのものは避けられない流れでした。
しかし、対応を終えた多くのEC事業者が今、別の問題に直面しています。 「3Dセキュアを入れたのに、CVR(コンバージョン率)が下がったまま戻らない」「カゴ落ちが増えた実感がある」――こうした声が、導入後に急増しています。
実は、3Dセキュアには複数の運用方式があり、どの方式を選ぶかによって売上への影響はまったく異なります。 本記事では、JCA(日本クレジット協会)が定める3つの運用方式の違いと、CVR低下の構造的な原因、そして売上を回復させるためのアプローチを解説します。
1.3Dセキュア義務化後にEC事業者が直面している現実
義務化は「対応して終わり」ではなかった
3Dセキュア2.0の導入義務化により、多くのEC事業者がシステム対応を完了しました。 しかし、導入後の月次レポートを見ると、CVRが導入前の水準に戻っていないケースが少なくありません。
YTGATE社の調査によると、EMV 3-Dセキュア導入後に決済承認率が95%台から85%前後へ低下し、8割の加盟店が「カゴ落ちが増えた」と実感しています。 65%以上の消費者が認証エラーを経験しているというデータもあり、「義務化対応=問題解決」とはなっていないのが実態です。
3Dセキュアは不正利用を防ぐための仕組みですが、導入しただけでは売上への悪影響を最小化できない――この認識が、まず重要な出発点になります。
3Dセキュアの運用方式は「1つ」ではない
見落とされがちですが、JCA(日本クレジット協会)は3Dセキュアの運用について、不正対策のレベルに応じた3つの方式を認めています。
「方式①(リスク判断で認証)」は、包括的な不正防止体制が整っている加盟店が対象で、最大98%の取引を3DS認証なしで処理できます。AI不正検知や24時間体制の運用が必要で、カード会社の個別承認も求められます。
「方式②(初回登録時だけ認証)」は、カード登録時のみ3DS認証を実施し、以降のリピート購入は加盟店のリスク判断で処理するモデルです。アカウント乗っ取り防止(ATO対策)の実装が前提条件となります。
「方式③(毎回認証)」は、すべての決済で3DS認証を通すデフォルト運用です。特別な条件はなく、方式①②に該当しない加盟店は自動的にここに分類されます。
現在、大半のEC事業者はこの方式③で運用しています。 そして方式③こそが、CVR低下の構造的な原因になっています。
方式③がCVRを押し下げる「二重の痛み」
方式③で運用する加盟店は、2つの要因の掛け算で売上を失っています。
1つ目は、「追加認証を求められる割合の高さ」です。 3Dセキュア2.0ではリスクベース認証が導入されており、低リスクと判定された取引は追加認証なし(フリクションレス)で通過します。しかし、世界平均でも認証なしで通過できる割合は58〜64%にとどまっています(Ravelin社グローバル決済レポート)。つまり、全取引の約40%で追加認証が発生しているのが現状です。
3Dセキュア2.0のチャレンジ認証は、従来の固定パスワード方式から、ワンタイムパスワード(OTP)や生体認証へと移行が進んでいます。OTPはSMS・メール・専用アプリで発行され、「パスワードを忘れて離脱する」という1.0時代の課題は改善されました。 しかし、OTPには別の離脱要因が存在します。SMSが届かない(スパム判定・電波状況)、認証アプリの事前設定をしていない、メールの受信に気づかない――こうした理由で認証が完了できず、離脱するケースが依然として発生しています。
2つ目は、「追加認証画面での離脱率」です。 OTPや認証画面に遷移した利用者のうち、15〜25%が離脱すると報告されています。特に60代以上のカード会員では3Dセキュアの登録率自体がわずか約16%にとどまっており(かっこ社調査)、高単価商材や健康食品など、高齢者層が主要顧客であるECサイトへの影響は深刻です。
この2つを掛け合わせると、追加認証発生率40%×離脱率20%で、全取引の約8%が3DS認証の摩擦によって購入に至らない計算になります。 月1万件・客単価1万円のECサイトなら、月約800万円・年間約1億円の機会損失に相当します。
2.なぜ「免除申請」では問題が解決しないのか
カード発行会社が握る「最終決定権」
3Dセキュアのプロトコルには、加盟店側から「この取引は低リスクだから認証を省略してほしい」と申請する免除メカニズムが用意されています。 これを使えば認証をスキップできるのでは――と考える方もいるかもしれません。
しかし、ここで見落とされがちなのが、免除申請はあくまで「お願い」であり「権利」ではないという点です。
加盟店が決済サービス会社経由で免除フラグを付けた認証要求を送っても、最終的にOKを出すかどうかを決めるのはカード発行会社(イシュアー)です。 カード発行会社が「リスクが高い」と判断すれば、免除は拒否され、通常通りOTPや生体認証が要求されます。場合によっては取引自体を止められることもあります。
つまり、加盟店がどれだけ精緻に免除を申請しても、カード発行会社の判断次第で結果は変わる――事業者がコントロールできる領域には限界があるのです。
免除を受けても「リスク」は加盟店に残る
仮に免除が受理され、認証なしで取引が通った場合でも、その取引で不正利用が発生したときの責任(チャージバック)は加盟店側に残る傾向があります。
CVRは上がるがリスクも上がる。このトレードオフを理解したうえで運用設計する必要があります。
一方、カード発行会社が自主判断で認証を省略した場合は、発行会社側がリスクを負う構造です。 加盟店にとっては最も望ましいシナリオですが、これは加盟店の意思ではコントロールできません。
「再試行」の仕組みがないと売上を丸ごと失う
もう一つ見落とされやすいのが、免除が拒否されて取引が止められた(ソフトデクライン)場合の対応です。
この場合、3Dセキュア認証を再試行する仕組みを実装していれば取引を救えますが、再試行フローを持っていない加盟店も少なくありません。 その場合、取引そのものがロスになります。
免除メカニズムに過度な期待を持つのではなく、3Dセキュアの適用範囲そのものを最適化するという発想が必要です。 それが、方式②への移行という選択肢です。
3.CVR回復とセキュリティを両立する「Infront Security」という選択肢
方式②への移行に必要な「ATO対策」とは
JCAが方式②の前提条件として求めているのは、「認証の精度が高いこと」ではなく、「アカウント乗っ取り防止(ATO対策)が実装されていること」です。
具体的には、カード登録時の3DS認証に加えて、アカウントの厳格な管理、不正ログイン対策、決済時のリスク判断を組み合わせた運用体制が求められます。 単一のソリューションを入れるだけでは要件を満たせず、認証フロー全体の設計が必要になります。
Infront Securityは、この方式②への移行に必要なATO対策の基盤として機能します。 電話番号認証と端末情報の二重認証により、アカウントの乗っ取りを構造的に防止。3Dセキュア認証の「手前」に本人を確認するレイヤーを追加することで、認証の摩擦を発生させずに不正を遮断します。
「電話番号」だけで完結するUXがカゴ落ちを防ぐ
Infront Securityの認証フローは、ユーザーにとって極めてシンプルです。
初回は電話番号を入力し、画面に表示された番号へワンタップで発信するだけ。通話は自動で切れ、本人認証が完了します。 2回目以降は同じ端末からであれば電話番号の入力だけでログインでき、パスワードもSMSコードも不要です。
専用アプリのインストールも不要なため、ガラケーや固定電話でも利用できます。 実際に再春館製薬所(ドモホルンリンクル)では、高齢者層のログイン率が改善し、問い合わせ件数も減少しました。
3Dセキュアのカゴ落ちは、OTP認証での操作負担やSMS未達が根本原因です。 決済の手前でシンプルに本人を確認する認証を済ませることで、3Dセキュア認証での追加認証の必要性を減らし、結果的にカゴ落ちを抑制します。
初期費用ゼロ・1API連携で、検証から始められる
Infront Securityは、既存の認証システムを置き換えることなく導入できます。
API連携のみで利用を開始でき、開発環境の無償提供、従量課金モデルで提供されます。 最短数日で実装が可能なため、まずは一部のフローで検証し、効果を確認してから全体展開するアプローチが取れます。
方式②への移行にはカード会社との調整が必要であり、3ヶ月分の不正率・チャージバック率の実績データが交渉材料になります。 Infront Securityを導入して実績データを蓄積し、その数字をもってカード会社と交渉するというステップを踏むことで、方式②への移行が現実的になります。
不正を"検知して止める"のではなく、"最初から通さない"構造で、3Dセキュアの売上影響を最小化する。 方式③から抜け出すための第一歩として、まずは自社のフリクションレス率やチャレンジ離脱率を決済サービス会社に確認するところから始めてみてはいかがでしょうか。
※本記事で参照したJCAの運用方式については、JCA「EMV 3-Dセキュア導入ガイド【附属文書14】」2.0版(2025年3月)に詳細が記載されています。構造分析の詳細レポートをご希望の方は、お気軽にお問い合わせください。
