2025年3月末までを期限として、原則全てのEC加盟店様に導入が求められている、本人認証サービス「EMV 3-Dセキュア」。GMOペイメントゲートウェイ(以下、GMO-PG)では、導入検討中の加盟店様を対象に、EMV 3-Dセキュア導入のためのセミナーを複数回開催いたしました。そのなかから数多く寄せられたご質問をピックアップしてご紹介。
EMV 3-Dセキュア導入推進ワーキンググループのメンバーでもあるGMO-PGの財津 拓郎が回答いたします。
(2024年7月12日更新)
① EMV 3-Dセキュアのメリット・デメリットは?
② 必須・義務化とは?
③ 自社のショップは導入対象外でしょうか?
④ チャージバック免責の例外はありますか?
⑤ お客様が操作につまずくなど、ユーザビリティの低下を懸念しています
⑥ カゴ落ちが気になり導入に踏み切れません
⑦ 期限までに導入しないとどうなりますか?
⑧ 導入までの準備・開発期間はどのくらいが目安ですか?
⑨ 個人情報提供に関する同意取得が必要と聞きました
⑩ 初期費用・月額利用料などコストはどのくらいでしょうか
まとめ
メリット(特長)
デメリット(課題)
上記のメリットにより加盟店様にとってのデメリットはないと考えていますが、現状では判定精度などに課題がまだあるという認識。
リスクベース認証の精度向上については今後に期待しています。
2023年3月に公表されたクレジットカード・セキュリティガイドライン4.0版において「原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める」と明記されました。
(クレジットカード・セキュリティガイドラインとは)
ガイドラインに掲げられている措置を講じることは、割賦販売法で定めるセキュリティ対策の基準を満たしていると認められます。
そのため、クレジットカード決済を利用する全ての加盟店様においてEMV 3-Dセキュア導入は加盟店様の義務となります。
なお、加盟店様でクレジットカード情報を含む個人情報を保持していない場合やリダイレクト(リンク)型決済を行っている場合でも、EMV 3-Dセキュアの導入が必要です。
日本国内の不正利用被害額は増加し続けており、今回のEMV 3-Dセキュア導入義務化を後押しするかたちにもなっています。
欧米ではすでにEMV 3-Dセキュアは義務化されており、不正利用被害が抑えられています。
導入対象は、「原則、全てのEC加盟店」との記載があるが故に、自社のショップは該当しないのではないか?といったお問い合わせをよくいただきます。
一部対象外となるケースもありますが、限定的な要件下のケースとなりますので、基本的には“まず自社で導入すべきもの”と考えていただいたほうがいいでしょう。
EMV 3-Dセキュアの認証においてはカードホルダーの操作を伴うため、「顧客接点※」のある取引では認証が入るよう設定することが推奨されています。
※ここでの顧客接点とは、エンドユーザー様が取引について直接操作することが可能な場面のことを指します
以下は一例です。
◆会員登録が必須なEC・サービスサイトでの取引(都度決済)
EMV 3-Dセキュア導入が必要です。
クレジットカード情報登録時や毎回の決済時にEMV 3-Dセキュアの認証が入るよう設定ください。
◆サブスクタイプなどの継続決済・リカーリング取引
EMV 3-Dセキュア導入が必要です。
初回の会員・カード情報登録時や初回の決済時にEMV 3-Dセキュアの認証が入るよう設定ください。
2回目以降の決済時には「顧客接点」が発生しないため、認証は入りません。
継続決済・リカーリング取引などのように、エンドユーザー様からカード番号の通知が行われない=顧客接点のない取引を、加盟店起因による取引といい、認証を行うことができない取引に関しては認証の例外となります。
ただし、2回目以降の決済時にチャージバックとなるような事象が発生した場合は免責とならず、チャージバックが発生します。
◆会費や利用料の支払いにオンライン上でクレジットカード決済を利用している場合
EMV 3-Dセキュア導入が必要です。
EMV 3-Dセキュアは、取扱う商材に応じて導入可否を判断するものではありません。
個別開発やカートシステムの利用のほか、リダイレクト(リンク)型決済 ※ の場合にも同様に認証が入るよう設定ください。
ただし、従業員専用サイトでの取引・販売代理店専用サイトでの取引など、イントラネット環境やIPアドレス等による外部からの通信制限があり、利用者を特定することによって不特定多数の者が利用できないよう設計されているサイト(システムにより特定の者とのみ取引可能な措置が講じられており、なりすましによる不正が発生する蓋然性が極めて低いもの)の場合はEMV 3-Dセキュアの未導入が認められています。
また未導入が認められる場合でも、不正顕在化加盟店(3ヶ月連続50万円超)となった場合、または不正利用の発生状況からカード会社(アクワイアラー)・PSPが対策の緊急性が高いと判断した場合にはEMV 3-Dセキュアの導入が必要となります。
※ リダイレクト(リンク)型決済とは、決済手続時に決済専用画面へ遷移する方式。加盟店様はカード番号等センシティブ情報に触れることなく安全な決済が実現可能です。GMOペイメントゲートウェイにおけるリンクタイプPlusが該当します。
◆BtoB向けのECサイトまたはBtoB向けカートを利用した取引
一部を除き、EMV 3-Dセキュア導入が必要です。
個人事業主または法人が契約主体のクレジットカードに限定したサイトでのBtoB取引は、EMV 3-Dセキュアの未導入が認められています(システムにより特定の者とのみ取引可能な措置が講じられており、なりすましによる不正が発生する蓋然性が極めて低いものに該当します)。
利用されるクレジットカードが限定されている、事業者向けの購買専用サイト・法人間取引のための専用サイト・法人契約カードのみを受け入れている宿泊代金精算取引などがこの例です。
ただし、一般的なカートシステムを法人向けに利用している場合や、BtoBカートであってもクレジットカードを事業者・法人用に限定していない場合、取引にBtoBとBtoCが混在しているケースなどは、なりすましによる不正利用の恐れがあるとしてEMV 3-Dセキュア導入が必要となります。
また、EMV 3-Dセキュアの導入はショップごととなるため、同一ショップ内で一部をクローズドで運営、といったケースでは、クローズドの取引においても認証を入れる運用が望ましいです。
加盟店様側の導入メリットとして大きいものは、チャージバックの免責です。
EMV 3-Dセキュアの認証が行われた取引において不正利用等があった場合、チャージバックは原則クレジットカード会社(イシュア)が負担します。
ただし、EMV 3-Dセキュアを導入していても加盟店起因の取引で、該当する取引にEMV 3-Dセキュア認証を行っていなかった場合に発生した不正利用等は従来通り加盟店様側へチャージバックが発生します。
◆チャージバック免責とならない例
また、2023年11月より、
不正利用金額が「3ヶ月連続50万円超」に該当する加盟店様は即時導入
直近2年で、不正が5件以上または累計で10万円以上発生した加盟店様・高リスク商材取扱加盟店様は早期導入 が求められています。
追加認証画面でつまずく、パスワードが不明なために決済が完了できない、といった、エンドユーザー様がEMV 3-Dセキュアに慣れていないことから対応できずにカゴ落ちしてしまうケースへの懸念はあるかと思います。
加盟店様側でできることとしては、ECサイトの購入ガイドなどで
などがおすすめです。
カード会社各社では追加認証時の画面例などを記載したページが設けられています。
ご参考にするといいでしょう。
同時に、クレジットカード会社(イシュア)側にも努力義務があり顧客(カード会員)の理解・啓発が促進されれば利用方法の認知が改善される部分もあると考えます。
EMV 3-Dセキュアの導入は、割賦販売法に規定するセキュリティ対策義務の実務的指針である「クレジットカード・セキュリティガイドライン」に明記された対策として、原則全ての加盟店様にご対応いただくものとなります。
自社のビジネスがEMV 3-Dセキュア未導入が認められるものか不明な場合は、GMO-PGの営業担当または クレジットカード会社(イシュア)へお問い合わせください。
2022年まで稼働していた旧来型の3Dセキュアでは、決済のたび必ず追加認証が発生していました。これがカゴ落ちの大きな要因であると考えられており、EMV 3-Dセキュアではリスクベース認証によりこの点が大幅に改善されています。
加えて加盟店様側で、パラメータを追加設定いただくことでリスクベース認証の判定精度をより向上させることが可能です。
EMV 3-Dセキュアではリスクベース認証によるリスク判定を挟むことで、従来型では100%出ていた追加認証を約1/3程度に抑えています。
一般的にカゴ落ちと言われるのは、承認前に一連のフローからはじかれてしまう部分と考えていますので、EMV 3-Dセキュアのカゴ落ち率は約6%程度であると言えます。
参考:GMO-PG加盟店様における2023年6月単日の承認割合
さらに、イシュアによる精度チューニング・ワンタイムパスワードの実装、及び導入増加によるエンドユーザー様の学習が進んだ市場が形成されると、「EMV 3-Dセキュアによるカゴ落ち」という概念はなくなると考えています。
EMV 3-Dセキュア導入の期限は2025年3月末とされています。必須化が明示されてから2年間の準備期間が設けられています。
また、2023年11月には「不正が5件以上または累計で10万円以上発生した加盟店様・高リスク商材取扱加盟店様は早期導入」が求められており、弊社からも積極的にご支援を行っています。
そのうえで期限内のご導入がなされなかった場合、以下のようなリスクが挙げられます。
ご利用されているシステムやカート等によりスケジュールは異なります。
PGマルチペイメントサービスで連携可能なカートシステムは、EMV 3-Dセキュアに対応しているものがほとんどとなり開発費用を抑えながら導入が可能です。
ただしEC-CUBE 2系以下に関しては、EMV 3-Dセキュアの標準モジュールに対応しておりません。標準モジュールご利用にあたっては3系以上にバージョンアップいただく必要があります。
過去にクレジットカード情報の非保持化対応が義務化となった際には、同様の開発リクエストがベンダー様に集中したため、6ヶ月前から準備していたものの期限までに対応が完了できなかった事例も発生しました。
ご利用中のシステムにおける対応可否のご確認に加え、パラメータの設定なども考えればできる限りお早めに開発ベンダー様及び弊社へご相談いただくことをおすすめいたします。
EMV 3-Dセキュアのリスクベース認証の精度を向上させるために設定を推奨しているパラメータには、個人を特定でき得る情報が含まれます。
そのため、EMV 3-Dセキュアの稼働時には、パラメータによりお客様の個人情報を取得し第三者(カード会社等)へ提供する旨を利用者へ通知し同意を得なくてはなりません。
加盟店様のサイト内における個人情報保護方針にて、情報提供を行う第三者をGoogleのみ、などとしている場合は修正する必要があります。
貴社法務部門とも協議の上、稼働開始までに修正・公開ください。
GMO-PGでは、EMV 3-Dセキュア導入に際し初期費用はいただいておりません。
加盟店様で設定された請求開始月からの月額利用料金のみをご請求しています。
⑧でもお伝えしているように、実装から稼働までを自社内で完結するケース、カートシステム等を利用されベンダー様に開発を依頼するケースなど加盟店様ごとに初期の開発コストも異なります。
カートシステム自体の変更などがある場合は、EMV 3-Dセキュア導入開発以外のコストが発生しますので早めのご相談、お見積のご依頼をお願いいたします。
加盟店様にとっても、エンドユーザー様にとっても安心・安全なお取引を実現するためのセキュリティ対策 EMV 3-Dセキュア。
義務化が明示され各加盟店様にて様々なご検討を進められていると思います。
GMO-PGでは加盟店様がEMV 3-Dセキュアをスムーズに導入できるよう、営業担当者やカスタマーサポートによるアドバイスやサポートを行っております。
ぜひ一度ご相談ください。
EMV 3-Dセキュアについてのご相談・お見積り依頼は以下より承っております。
PGマルチペイメントサービスご契約中の加盟店様はこちらから
決済サービスご検討中の事業者様はこちらから
クレジットカード・セキュリティガイドラインとは
割賦販売法(経済産業省所管)に規定されているセキュリティ対策義務の実務上の指針です。クレジットカード決済に関係する事業者が実施すべきセキュリティ対策が定められており、掲げられている措置またはそれと同等以上の措置を適切に講じている場合には割賦販売法で定めるセキュリティ対策の基準を満たしていると認められます。
参考記事:EC事業者様が知っておくべき「クレジットカード・セキュリティガイドライン」徹底解説