クレジットカード 3Dセキュアの基礎知識

3Dセキュアとは

3Dセキュア とは、ネットショッピングでクレジットカード決済を利用する際に用いられる本人認証サービスのことを言います。

ネットショッピング・ECサイトでクレジットカード決済をする際は、名義人、カード番号、有効期限などのカード情報を入力する必要があります。

また、利用するサイトによっては、セキュリティコードの入力を求められる場合もあります。

関連記事

クレジットカード番号の基礎知識

関連記事

クレジットカードの有効期限と更新方法

関連記事

クレジットカード セキュリティコードの基礎知識

さらに、ネットショップ・ECサイトが「3Dセキュア」に対応している場合は、このサービスを利用した本人確認による決済方法を利用することが可能です。

このページでは、本人認証サービス「3Dセキュア」、そして、それを実装するための新たなセキュリティ基準「PCI 3DS」について解説をしています。

3Dセキュア の詳細内容

3Dセキュア（本人認証サービス）とは、オンライン上でのクレジットカード決済の不正利用を防止することを目的に、カード発行会社が提供しているサービスです。

カード会員本人のみが把握しているパスワード・パーソナルメッセージ（合言葉）などの認証情報を利用することでセキュアな決済を可能にします。

通常、クレジットカードでネットショッピングを利用する際は、カード番号や有効期限などの情報を入力すれば、購入完了画面に遷移します。

一方、3Dセキュアを使用したネットショッピングでは、カード情報の入力画面と購入完了画面の間に、パスワードの入力を求める各カードブランドの3Dセキュア画面が表示されます。

ただし、3Dセキュアは、カード発行会社、加盟店（ネットショップ）の双方が対応していることが条件となります。

そのため、現時点では3Dセキュアに対応していないネットショップもあるということを理解しておく必要があります。

万が一、第三者が会員本人に成り済まして3Dセキュアに登録した場合でも、カード会社によっては不正利用が発覚すれば、警察に被害届を提出した上で補償を受けることが出来ます。

また、3Dセキュアによる決済システムの導入は、加盟側店にとっても不正注文の抑制策になるだけでなく、不正利用時の補償対象にもなるというメリットがあります。

「3Dセキュア認証画面」に入力するパスワードは、あらかじめカード発行会社に登録することで利用を可能にします。

また、使用するクレジットカードによっては、登録しているメールアドレスもしくはSMSにワンタイムパスワードが送付されるサービスもあります。

3Dとは

3Dとは、以下の3つのドメイン（領域）のことを指します。

• イシュアドメイン
• アクワイアラドメイン
• 相互運用ドメイン

3Dセキュアは、イシュア、相互運用、アクワイアラという3つのドメイン（領域）で構成されています。

インターネットのオンライン決済では、イシュアドメインがカード会社を認証し、アクワイアラドメインが加盟店を認証、相互運用ドメインが双方の取り引きを仲介します。

関連記事

イシュアとアクワイアラの役割

イシュアドメイン

イシュアドメインとは、利用者がカード会社に登録するドメインのことを言います。

オンラインショッピング時の3Dセキュアでは、カード発行会社（イシュア）がカード使用者の本人認証を行います。

アクワイアラドメイン

アクワイアラドメインとは、加盟店が加盟店管理会社に登録するドメインのことを言います。

オンラインショッピング時の3Dセキュアでは、カード決済の支払いがなされる加盟店が契約している加盟店管理会社（アクワイアラ）によって認証が行われます。

日本では、イシュアとアクワイアラは、同一のカード会社が兼ねているケースが一般的です。

相互運用ドメイン

相互運用ドメインとは、国際ブランドによる取引データの受け渡しを行うことを目的としたドメインのことを言います。

イシュアドメインではカード発行会社（イシュア）がカード所有者認証を行い、アクワイアラドメインでは加盟店管理会社（アクワイアラ）が加盟店認証を行いますが、相互運用ドメインはその中間に位置付けられます。

これら3つのドメインが有機的に繋がり、カード利用者と加盟店の双方が確認し合うことで、重層的な不正利用防止対策を可能にします。

国際ブランド別3Dセキュア

3Dセキュアは、国際ブランド毎に呼び方が異なります。

VISA

Visaが提供する本人認証確認を「VISA認証サービス」と言います。

「VISA認証サービス」は、Visaブランドのクレジットカードを発行した金融機関を通じて、VISA認証サービス「VbV」に登録することで利用することが出来ます。

関連記事

VISA（ビザ）の特徴を徹底分析

MasterCard

MasterCardが提供する本人認証確認を「MasterCard SecureCode」と言います。

Mastercardクレジットカードやデビットカードでオンラインショッピングを利用する際は、あらかじめMastercard SecureCodeサービス提供会社（イシュア）でSecureCodeを登録します。

一度、SecureCodeを設定すると、プログラムは自動的に稼動します。

関連記事

MasterCard(マスターカード)の特徴を徹底分析

JCB

JCBが提供する本人認証確認を「J/Secure（ジェイセキュア）」と言います。

「J/Secure」加盟店でインターネットショッピングをする際、通常の取引情報に加え、パスワードを入力することで利用することが出来ます。

会員専用WEBサービス「MyJCB」に登録すると、自動的に登録されます。

関連記事

JCB（ジェーシービー）の特徴を徹底分析

AMERICAN EXPRESS

AMERICAN EXPRESSが提供する本人認証確認を「American Express SafeKey（アメリカン・エキスプレス・セーフキー）」と言います。

「American Express SafeKey」は、「American Express SafeKey」参加加盟店でオンライン・ショッピングをする際にワンタイムパスワードを入力することで、本人認証を行うサービスです。

追加認証の際にワンタイムパスワードが送付されるため、あらかじめEメールアドレスの登録を行う必要があります。

また、事前にEメールアドレスの登録がない場合でも、「American Express SafeKey」利用時に登録することも可能です。

関連記事

American Express（アメリカン・エキスプレス）の特徴を徹底分析

現時点では、Diners Clubは3Dセキュアに対応していません。

3Dセキュアの種類

現在、3Dセキュアには、Ver.1.0とVer.2.0の2種類があります。

3DセキュアVer.1.0

3DセキュアVer.1.0は、一般的な従来の仕様です。

オンラインショッピングでの支払い手続き時にクレジットカード情報を入力すると、画面遷移の後、3Dセキュアによる本人確認が要求されます。

この時、カード会員のみが把握しているパスワード（IDとセットの場合も）の入力を求められます。

本人しか知らないパスワードの入力という工程を挟むことで、カード決済のセキュリティは格段に向上します。

たとえ、悪意のある第三者にクレジットカード情報（名義人、カード番号、有効期限、セキュリティコードなど）を知られていても、3Dセキュアを破ることは難しいはずです。

しかし、セキュリティに優れる反面、3DセキュアVer.1.0にはデメリットもあります。

3Dセキュア導入によるデメリットとは、カード会員自身のパスワード忘れや手続きの煩雑さがあることです。

これにより、利用者は手続きを途中でキャンセルしてしまい、商品購入にまで至らないという問題点が生じました。

また、これはネットショップ側にとっても大きなデメリットであると言えます。

オンライン上で商品購入を取り止めてしまうことは、離脱率を上げることを意味します。

これでは、3Dセキュア導入により店側の売り上げが低下することになります。

つまり、Ver.1.0においては、セキュリティと利便性はトレードオフの関係にあると言えます。

このような3Dセキュア導入のデメリットに対処するため、Ver.2.0は開発されました。

3DセキュアVer.2.0

3DセキュアVer.2.0は、2016年10月に公開された次世代仕様です。

Ver.2.0には、Ver.1.0の仕組みに加え、「リスクベース認証」（追加認証）という機能が追加されています。

3DセキュアVer.2.0が導入されているネットショップの場合、普段の利用環境からのアクセスであれば、3Dセキュア認証画面が表示されることはありません。

しかし、普段とは異なる遠隔地からのアクセスに対しては、リスクベース認証により「3Dセキュア認証画面」が表示されます。

この時、パスワードの入力を何度か失敗すると、第三者による不正利用と判断されログインが拒否されます。

これにより、第三者の不正利用を防止することが可能となります。

セキュリティ基準について

現在、「PCI 3DS」は、クレジットカード業界の新たなセキュリティ基準として注目されています。

「PCI 3DS」は、本人認証サービス「3Dセキュア」を実装するためのセキュリティ基準です。

「PCI 3DS」を理解する前に、まずは旧基準である「PCI DSS」について触れておきましょう。

セキュリティ基準「PCI DSS」

「PCI DSS」は、国際的なクレジット産業向けのデータセキュリティ基準です。

本来は、各国際ブランドが独自にリスク管理プログラムを運用していました。

そのため、加盟店は各ブランドの要求に応える必要がありました。

しかし、加盟店にとっては、非常に大きな負荷のかかる状況であったため、加盟店のリスクとコストに対応できる仕組みを作る必要性が求められていました。

このような経緯により、国際ブランド5社により統一されたデータセキュリティ評価基準「PCI DSS」が策定されました。

管理団体『PCI SSC』

国際ブランドは、セキュリティ基準の定義について、PCI DSS等のカード情報を統括的に管理するためのセキュリティ基準を策定している『PCI SSC』という団体に移管しました。

『PCI SSC』は、クレジットカードのセキュリティ基準の管理・運用を担う独立機関です。

安全性を脅かす存在の監視とセキュリティの強化を目指しています。

2017年末に、『PCI SSC』は「PCI 3DS」という新たなセキュリティ基準を公開しました。

2018年からは、プロバイダはそれに従い対応を進めていくように変更されています。

セキュリティ基準「PCI 3DS」

PCI 3DSは、Part1とPart2で構成されています。

• Part1　…　主にPCI DSSの要件の一部
• Part2　…　PCI 3DSの独自要件

PCI DSSに準拠している場合は、PCI 3DS要件のPart1（7要件）は適用が免除となる場合もあります。

PCI 3DSの独自要件であるPart2の要件については下表の通りです。

Part2-1 ～ Part2-5については、PCI DSSのPart1にも類似の要件がありますが、Part2-6、Part2-7については、PCI DSSには見られない観点も規定されています。

まとめ

ネットショッピングを利用する際には、手軽で便利なクレジットカード決済ですが、不正利用に関する被害件数は増加傾向にあります。

近年、個人情報を盗み取り不正利用する「フィッシング詐欺」による被害は深刻な問題となっています。

また、「情報漏えい」によって、カード情報が第三者に流出してしまうケースもあります。

クレジットカード業界は、このような現状に対処するため、セキュリティの向上に力を入れています。

カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法がありますが、「3Dセキュア」もそのひとつです。

オンライン上で安全にクレジットカードを利用するために用いられる「3Dセキュア」ですが、これを実装するためにはセキュリティ基準「PCI 3DS」への準拠が求められます。

テクノロジーの盲点を突いて、不正な手口で犯罪を行う悪意ある第三者はいつの時代にも存在します。

私達がクレジットカードを安全に利用できるよう、このような不正利用に対して、業界全体で取り組む姿勢を徹底しています。

ネットでのお買い物も公共料金のお支払も楽天カード！