コラム
「3Dセキュア2.0」義務化のEC事業者への影響と対策について徹底解説!
一般社団法人日本クレジット協会は、2024年3月15日に「クレジットカードセキュリティガイドライン5.0」を発表しました。EC事業者に対し「3Dセキュア2.0」の導入を積極的に推奨し、2025年3月までの導入を義務化する方針が明記されています。本記事では、先行する欧州の事例も交えながら、3Dセキュア2.0の導入がEC事業者に与える影響について、メリットとデメリット、そして具体的な対策について説明していきます。 日本クレジット協会が「ガイドライン5.0」を公表 ガイドラインのポイント ▲セキュリティガイドラインにより示された今後の不正利用対策の考え方(出典:クレジットカード・セキュリティガイドライン【5.0版】改訂ポイント) ガイドライン5.0では、EC加盟店やカード会社、決済代行会社など、事業者ごとに対面取引と非対面取引に分けて、講じるべきカード情報保護対策や不正利用対策が詳細に定められています。 特にEC事業者に対しては、2025年3月末までに3Dセキュア2.0の導入が義務付けられ、カード会員情報の登録や動的パスワードによる認証方法への移行が推奨されています。さらに、新規契約の前に「セキュリティ・チェックリスト」を使用して対策を着実に実行し、その状況を申告することが求められるようになりました。 対応を怠った場合、協会による直接的な罰則規定はありませんが、EC事業者がクレジットカード加盟店の申請を行っても、加盟店契約を締結できないなどの影響があるとみられています。 EC事業者への影響 3Dセキュアの導入により不正注文やチャージバックへの対策が強化され、EC事業者の信頼性向上が期待されます。 一方で、購入時に追加の認証ステップが追加されることで、ユーザーが購入を途中で放棄する「カゴ落ち」が増加し、コンバージョン率の低下が懸念されます。 技術導入に伴うコストも影響の一つです。新しい認証システムを導入するための初期投資や運用コストが発生し、小規模事業者にとっては財務的な負担となる可能性があります。 3Dセキュアの導入にあたっては、セキュリティ強化とユーザー体験のバランス、費用と効果のバランスを取ることが求められ、EC事業者には戦略的なアプローチが求められます。 先行導入した欧州の事例からのインサイト 2018年、ヨーロッパでは「欧州決済サービス指令第2版(PSD2)」の一環として、加盟店に「強力な顧客認証(SCA)」の規制が導入されました。最も使用されているテクノロジーが3Dセキュアです。 ネットショップ担当者フォーラムによる、グローバル決済プラットフォームを提供するAdyen社へのインタビュー記事から、実際に導入された後にどういった影響があったのか紐解いていきます。 やはり、コンバージョン率の低下は発生 3Dセキュアを導入後、約50%の不正利用が減少し、セキュリティを強化したことによるメリットは大きなものでした。 従来のパスワードやIDに加えて、生体認証も利用されるようになっています。結果として、オンラインショッピングの信頼性と安全性が向上し、消費者の買い物頻度や購入単価の増加、さらにはクレジットカードの利用率の向上が見られています。 一方で、導入直後には、やはり平均してコンバージョン率が約1ポイント低下しました。一定期間が経過すると改善し、2~5ポイントほど上昇する業界も中にはありました。セキュリティの強化でオンラインショッピングの信頼が高まったことに加えて、消費者が新しい認証システムに慣れたことが要因と考えられます。 回復には2年の歳月と周辺努力が必要 コンバージョン率の低下については、セキュリティの強化だけが原因ではないという視点を持つことが重要であると説いています。消費者の購買行動はさまざまですので、サイト全体の設計もコンバージョン率に大きな影響を与えます。EC事業者はユーザーの買い物体験全体を見直し、最適化することが必要です。実際に、コンバージョン率を改善した欧州のEC事業者は、包括的な改善に注力しました。 ヨーロッパでは、回復までに約2年の時間を要しましたが、その裏側には「政府の後押し」、「事業者の採用」、「買い物客の受け入れ」という三つの要素があったとされています。3Dセキュア導入によるメリットはある一方、コンバージョン率の回復には長い時間と関係者の努力が求められます。 3Dセキュアでよくある課題と原因 先行する欧州では、3Dセキュアの導入が進む一方で、多くの課題が浮き彫りになりました。ここでは、3Dセキュアの導入に伴うよくある課題とその原因について詳しく解説します。 ・ドロップの発生 認証プロセス中にパスワードがわからない、もしくは認証コードが届かないなどの理由で顧客が購入を中断するケースが多いです。 カート放棄が増加し、結果的に売上に悪影響を及ぼす原因となっています。UI/UXの品質の不十分さや、スマホ操作の難しさがユーザーのストレスを引き起こし、途中で離脱する原因となってしまっていることがあります。 ・不正の見落とし 不正取引を未然に防ぐための3Dセキュアですが、技術的な限界により、一定数の不正を見逃す可能性は依然として存在します。セキュリティ質問やフィッシング警告の多さがユーザーの利用を妨げる一方で、完全な防止には至らないことがあるのです。不正な取引が問題になると、セキュリティ上の隙間が露呈し、顧客の信頼を損なうことにつながります。 ・不正対策オペレーションの増加...
お知らせ一覧
チャージバックが起きる原因と効果的な対策は?便利なツールも紹介
オンライン決済の普及に伴い、事業者にとって「チャージバック」のリスクが増大しています。チャージバックとは、消費者が決済に同意しない場合にカード会社が売上を取り消す仕組みです。事業者にとっては損失につながる可能性があり、注意が必要です。本記事では、チャージバックが発生する原因と、その対策について詳しく解説。チャージバック対策に役立つツールもご紹介します。 チャージバックとは チャージバックは、カード保有者を不正利用や悪質な取引から保護するための重要な制度です。一方で、この制度は事業者にとって大きなリスクとなることをご存知でしょうか。 チャージバックが発生すると、クレジットカード会社が調査を行い、事業者への支払いを取り消して返金手続きを行います。事業者は売上金を回収できなくなってしまいます。すでに商品を発送していた場合には、商品が不正利用者から戻ってくる可能性は極めて低く、売上金未回収と商品損失の二重の損失を被ることになるのです。 オンライン決済が当たり前の時代では、チャージバックは避けては通れない課題です。適切な対策を講じ、チャージバックのリスクを最小限に抑えた運営に務めましょう。 チャージバックが起こる主な原因 カードの紛失・盗難 旅行先のホテルの部屋、スポーツジムのロッカー、レストランでの食事中など、日常生活のあらゆるシーンでクレジットカードが盗難に遭う可能性があります。うっかりカードを落としてしまい、拾得者に悪用されるケースもあるでしょう。盗難や紛失したクレジットカードを使って実店舗で商品を購入する際は、暗証番号の入力や署名による本人確認が行われるため、ある程度の抑止力が働きます。オンラインショッピングでは対面での本人確認が不要なため、犯罪者にとってはカードを不正利用するハードルが低くなります。 カード情報の漏洩・盗用 「スミッシング」と呼ばれる手口では、大手通信会社を装ったSMSを送信し、メッセージ内のリンクから偽のウェブサイトに誘導します。そこで、個人情報やクレジットカード情報の入力を求められ、気づかないうちに情報を盗み取られてしまいます。巧妙に作られた偽サイトは、本物との見分けがつきにくく、被害に遭ったことに気づかない人も少なくありません。カード情報を読み取るための不正装置をATMに取り付ける「スキミング」という手口も依然として存在しています。クレジットカード情報が何らかの方法で漏洩し、悪意のある第三者に不正利用されるケースが後を絶ちません。 クレジットマスター 「クレジットマスターアタック」は、クレジットカード番号の生成アルゴリズムを悪用し、有効なカード番号を大量に生み出すコンピュータープログラムを使った不正行為です。クレジットカード番号には一定の法則性があるため、この法則性を解析するプログラムを用いることで、実在するカード番号を大量に割り出せる仕組みです。クレジットマスターアタックは、カード情報の漏洩や盗難と比較すると、実在するカード番号を推測して不正利用する点が異なっています。 チャージバック発生時の対応 チャージバックが発生すると、カードユーザー、カード会社、事業者の間で以下のようなプロセスが進行することとなります。 カードユーザーによる申し立て まず、カードユーザーが不正利用、商品未着、商品の破損・不具合などを理由に、カード会社にチャージバックを申し立てます。この際、カードユーザーは申し立ての根拠となる情報を提供する必要があります。 カード会社は申し立てへの対応を検討 カード会社は、カードユーザーからの申し立てを受け、その内容を詳細に調査します。事業者に対して取引の詳細情報や証拠の提供を求めた上で、申し立ての妥当性を判断する仕組みです。事業者は、取引の正当性を証明するために、注文記録、配送記録などを提示することが求められます。 チャージバックの実行 カード会社が申し立てを妥当と判断した場合、事業者への支払いを取り消し、カードユーザーに代金を返金します。これがチャージバックの実行です。チャージバックが実行されると、事業者は売上金を失うだけでなく、チャージバック手数料も負担する必要があります。 チャージバックリスクの高いECサイト・商材とは チャージバックリスクが高いECサイトや商材には、いくつかの特徴があります。 デジタルコンテンツ販売サイトでは、不正利用されたカード情報での大量購入や、コンテンツの質に対する不満からチャージバックが発生するリスクが高くなります。健康食品・美容関連商材を扱うサイトでは、商品の効果に対する期待と現実のギャップや、定期購入プランの解約手続きの分かりにくさが原因となることが多いです。 また、高額商材を取り扱うサイトでは、1件あたりのチャージバック金額が大きくなることに加え、偽物や模造品に関連したトラブルも発生しやすくなります。オークションやフリマアプリなどのC2Cプラットフォームも、個人間取引に起因するトラブルからチャージバックリスクが高くなる傾向にあります。 一般的な不正利用防止対策 本人認証(3Dセキュア) 3Dセキュアは、クレジットカード情報と、カード所有者が事前に登録したパスワードの情報を組み合わせて、本人であることを確認する仕組みです。3Dセキュアの認証プロセスは、カード発行会社のサーバーを介して行われるため、ECサイト側では個人情報を保持する必要がなく、セキュリティリスクを軽減できます。ただし、認証プロセスが追加されるため、購入者の利便性が若干損なわれる可能性があることには留意が必要です。 券面認証(セキュリティコード認証) クレジットカードの裏面に印字されている3桁または4桁のセキュリティコードを入力させることで、カード情報を物理的に所持している人物であることを確認する方法です。セキュリティコードは、カード番号や有効期限とは別に管理されているため、不正に入手されたカード情報だけでは利用が困難になります。残念ながら、セキュリティコードも同時に流出している場合は、この方法だけでは不正利用を防ぐことができません。 不正検知システム(属性・行動分析)...
お知らせ一覧