見出し画像

オンライン決済でクレジットカードは審査されている!3Dセキュア2.0の基本解説

オンランショップで商品やサービスをクレジットカード決済で購入する時、注文毎に購入者は審査されていることをご存じでしょうか?

クレジットカードでオンラインショッピング

審査?何を?と疑問を感じるかもしれません。

本記事では、オンラインショッピングにおいてクレジットカード決済の審査の仕組・課題・解決策がを詳しくご紹介します。

本記事は下記の方向けです。

・ECサイトの運営ご担当者さま
・一般消費者として自分の個人情報がどのように審査されているのか気になる方


対面決済のEMV化とライアビリティシフト

決済端末機とスマホ

店側がクレジットカード決済を導入するには、クレジットカード会社または決済代行会社と契約する必要があります。この契約形態は2つあります。ひとつは対面決済契約と言われるリアル店舗向けの契約、もうひとつはオンライン決済契約と言われるEC店舗(ネットショップ/オンラインショップ)向けの契約です。


対面決済は偽造カードの乱用が課題だった

オンライン決済の審査を解説する前に、対面決済が歩んできた道について触れておきます。かつて対面決済は、大きな問題を抱えていました。それは偽造カードの乱用。クレジットカードに搭載される磁気データが容易にコピー・スキミングできることが原因でした。

こうした不正利用の被害は、当初カード会社が負担していました。しかしカード会社の負担は大きく、偽造カード被害負担を受け続けることが難しくなりました。そこで登場したのがEMV(Europay Mastercard VISA)。EMVとはクレジットカードに搭載されるICチップの統一規格です。1998年の発表後、ヨーロッパ諸国から普及がはじまりました。日本でも2001年から導入が開始され、現在では多くのクレジットカードに普及しています。

カードICチップ

EMV対応カードのメリット
・情報が暗号化されているため、安全性が高くスキミングされにくい
・使用時に4桁の暗証番号の入力が求められるため、悪用されにくい
※磁気カードは原則サインのみで利用可能

このEMV化の流れで、2015年にクレジットカード会社からライアビリティーシフトというルール変更が行われました。

ライアビリティ = 債務責任
シフト = 移行

お客様がICチップ搭載のカードを提示したにも関わらず、ICチップ未対応の決済端末で処理を行い、悪用・不正利用が発覚した場合はICカード対応の決済端末を導入していない店側に責任があるというもの。このルールは対面決済のみに適応され、急速に普及。対面決済での不正被害は激減しました。
※オンライン決済/電話上の決済には未適応のルール

EMV化とライアビリティーシフトによって対面決済の悪用・不正利用が減りましたが、今度は逆にオンライン決済での不正が激増。その対策としてクレジットカード会社が打ち出したのが3Dセキュア1.0です。

では、現在のオンライン決済の審査方法を見ていきます。



オンライン決済の審査項目には問題あり?

オンラインショップでクレジットカードを使って購入する場面を思い浮かべてください。

スマホでオンラインショッピング

オンライン決済の基本的な流れ
1) 購入する商品をカゴに入れる
2) 「購入」ボタンを押す
3) 配送先住所・氏名・メールアドレスなどを入力後「確定」ボタンを押す
4) クレジットカード情報入力画面が表示される
5) 画面の指示に従い「カード番号」「有効期限」「カード名義」「セキュリティーコード」を入力して「確定」ボタンを押す
6) 画面が遷移して「ご購入ありがとうございました。」などのメッセージが表示され、カード決済が完了したことが認識できる
7) 登録したメールに出荷に関する情報が飛んでくる

おおむね上記のような流れになります。さて、この中でクレジットカードの審査のタイミングは5~6の間で起こります。

5-1)入力されたカード情報が正しいのかを判定している。
5-2)今回の購入額がそのカードの与信枠以内か判定している。

上記で問題がなければ6に画面遷移。実はここに大きな問題がります。
「カード情報が正しいか判定」する項目として、購入者が入力を求められるのは「カード番号」「有効期限」「カード名義」「セキュリティーコード」の最低3項目のみ

原則「カード名義」は審査対象ではありません
「カード番号」「有効期限」「セキュリティコード」が正確であれば、「カード名義」がデタラメであっても、決済が完了してしまう可能性があるのです。※与信枠が残っているかの審査はあります。

それらの問題を防ぐために、2000年に登場したのが3Dセキュアです。オンライン決済のセキュリティーを向上させる本人認証サービスであり、VISA、MasterCard、JCB、Amex、など多くのカードブランドで採用されています。



本人認証サービス:3Dセキュア1.0

ログイン画面のタブレットPC

3Dセキュアは、インターネット上でクレジットカード決済で第三者に悪用されないための本人認証サービスです。

3Dセキュアバージョン1のご利用流れ
1)自身のクレジットカードが3Dセキュアに対応しているか確認
2)クレジットカード会社へパスワードを登録
 カードホルダー(クレジットカード保有者)自身で、クレジットカード発行会社のサイトへアクセスして、パスワード含む事前登録を行う。
3)オンラインショップで利用
3Dセキュアバージョン1対応のECサイトでお買物する際に、2で作成した「3Dセキュア用パスワード」を入力。
4)3を行った方は、購入審査はパスできます。「カード番号」「有効期限」「カード名義」「セキュリティーコード」などを入力する手間なし。

3Dセキュア1.0は、本人しか知り得ないパスワードを用いて本人認証するため、消費者・店側ともにセキュリティーが向上します。

さらに店舗側にもメリットが。万が一3Dセキュア(本人認証)を通して不正購入された場合は、クレジットカード会社側がその被害額を保証してくれるというもの。店舗にとって不正購入が減り、さらに万一の場合もクレジットカード会社が被害保証をしてくれるのは大変魅力的です。しかし課題も・・

それは消費者が購入をやめてしまうこと。

3Dセキュアバージョン1は「カードホルダー(クレジットカード保有者)がクレジットカード会社へ事前にパスワード登録をしている」ことが必要になります。しかしカードホルダーである消費者にしてみると、パスワード登録に二の足を踏んでしまったり、事前登録したパスワードを忘れてしまったり。約6割の消費者が3Dセキュアバージョン1により購入を諦めたことがあると回答しています。

3Dセキュアバージョン1を設定したECサイトでは約4割以上売上がダウンするケースもあり、日本国内では普及していないのが現状です。そこで2018年に登場したのが3Dセキュアバージョン2


本人認証サービス:3Dセキュア2.0は使い勝手が大幅改善!

彼女の肩を抱きよせながらスマホ指差す彼氏

2000年に3Dセキュアバージョン1が出た当時、スマートフォンは普及しらおらず、携帯電話と言えば日本ではガラケーの時代でした。よって3Dセキュアバージョン1はPCサイトのみ対応でした。

一方で、3Dセキュアバージョン2はスマートフォン・アプリに対応。2021年現在ではスマートフォンからの購入が大多数を占めるサイトも多く、時代のニーズにマッチしているのが3Dセキュアバージョン2です。

では、3Dセキュアバージョン2の流れと仕組みです。

3Dセキュアバージョン2ご利用の流れ
1) 購入する商品をカゴに入れる
2) 「購入」ボタンを押す
3) 配送先住所・氏名・メールアドレスなどを入力後「確定」ボタンを押す
4) クレジットカード情報入力画面が表示される
5) 画面の指示に従い「カード番号」「有効期限」「カード名義」「セキュリティーコード」を入力して「確定」ボタンを押す
6) 画面が遷移して「ご購入ありがとうございました。」などのメッセージが表示され、カード決済が完了したことが認識できる
7) 登録したメールに出荷に関する情報が飛んでくる

「えっ!この流れは通常の流れでしょ?3Dセキュアを入れていないECサイトの流れでは?」と疑問を持つだろう。そうなのです。3Dセキュア2.0 では「リスクベース認証」を採用しているため、クレジットカード会社が「高リスク」と判断した取引のみ、追加認証が求められます。購入者には見えない裏側で3Dセキュアバージョン2の審査が行われているため、購入者はスムーズにお買い物を楽しむことができます。

3Dセキュアバージョン1とは異なり、

・購入者はクレジットカード会社へパスワード事前登録の必要なし
・購入者は3Dセキュアバージョン2で審査されていることがわからない

購入の障害になっていたバージョン1の要素が取り除かれました。クレジットカードの審査のタイミングは5~6です。

審査内容(全員)
5-1)入力されたカード情報が正しいか判定
5-2)3Dセキュア2.0によって名義を含めカード属性情報を判定
5-3)今回の購入額がそのカードの与信枠以内か判定

これらの審査で問題なければ6のに画面遷移し、購入確定します。
ここで問題がある場合は次のような動きになります。

追加認証(高リスクと判断された取引のみ)
5-4)カードホルダーのスマートフォンにSMS認証コードが飛ぶ
5-5)決済画面にSMS認証コードの入力画面が表示される
5-6)購入者が正しい認証コードを入力すれば6に画面遷移
※認証コードが正しくなかった場合は購入不可

という流れです。
3Dセキュア2.0はヨーロッパでは先行して導入が広がっており、日本では2021年から展開が開始されています。


まとめ

店舗にクレジットカードを導入する際、店舗の形態に合わせて、対面決済とオンライン決済にそれぞれ契約は分かれています。

2010年代初頭までは対面決済で偽造カードによる悪用・不正購入が多かったですが、ICチップ搭載により、クレジットカード偽造は困難になりました。対面決済での悪用・不正利用は減った一方、オンライ決済での悪用・不正利用は激増しました。

オンラインでのクレジットカード決済の審査では、「カード番号」「有効期限」「カード名義」「セキュリティーコード」などの入力が求められるが、「カード名義」は原則審査されていません。名義が異なっていても審査が通ってしまうケースがあり、オンライン決済での悪用・不正を可能にしている一因になっています。

こうした不正に対応するため、クレジットカード会社は2000年に3Dセキュア1.0の提供を開始。オンライン決済の安全性を高めるサービスであると同時に、「カゴ落ちリスクが高い」「売上低減」リスクがあることから日本では積極的に導入されにくいサービスでした。

そして2018年、3Dセキュア2.0が発表。2.0は消費者の購入までの障壁が少なく「カゴ落ちしづらい」仕様になっています。日本では2021年から展開が開始。コロナ禍で不正購入が増えている中、不正購入を保証してくれる3Dセキュア2.0で、万が一に備えておくと安全です。

当ブログを運営する イーディフェンダーズ は、3Dセキュア2.0の提供のほかに、無料診断や「そもそも3Dセキュアって何?」といった疑問を解決する無料相談会を行っています。お気軽にお問い合わせください。

この記事が気に入ったらサポートをしてみませんか?