「3Sセキュア2.0」が抱える課題とは? 導入メリットを最大限生かすために押さえておきたいポイント | EC事業者が知っておきたいセキュリティ対策 | ネットショップ担当者フォーラム

ネットショップ担当者フォーラム - 2023年1月30日(月) 08:00
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
完全な状態のオリジナル記事は 「「3Sセキュア2.0」が抱える課題とは? 導入メリットを最大限生かすために押さえておきたいポイント | EC事業者が知っておきたいセキュリティ対策」 からご覧ください。
国内の全EC加盟店に導入義務化検討の方針が発表された「3Dセキュア2.0」。「3Dセキュア2.0」導入メリットを得るために、把握しておきたい課題を解説

VisaとMastercardは2022年10月で、レガシー認証(ユーザーIDとパスワードで認証を行う方式)プロトコルである「3Dセキュア1.0」とすべての関連サポートを終了。同時期に、経済産業省は国内の全EC加盟店に「3Dセキュア2.0」導入義務化の検討を発表しました。

前編では、セキュリティに関する規制環境の変化と「3Dセキュア2.0」のメリットについて解説。後編では「3Dセキュア2.0」を導入する上で確認しておくべき課題をお伝えします。

「3Dセキュア2.0」は万能ツールではない

「3Dセキュア2.0」は、加盟店にとってチャージバックの債務責任とリスクの軽減、規制の遵守に役立つ一方、課題も残っています。

課題①:イシュア(カード発行会社)によるオーソリ承認率の低下

有効期限や利用限度額などカードの有効性を確認するオーソリと3Dセキュア認証は、2種類の異なるステップで構成されます。

通常、3Dセキュア認証が失敗した場合、取引がオーソリに進むことはありません。しかし、3Dセキュア認証が成功した場合でも、オーソリに失敗する場合があります。

3Dセキュア2.0の仕組み クレジットカード決済 EMV 3-D「3Dセキュア2.0(EMV3Dセキュア)」の仕組み(画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ)

「3Dセキュア2.0」は、イシュアがチャージバックの債務責任を負います。そのため、イシュアは3Dセキュア取引の承認について、これまで以上に慎重な姿勢を取るようになりました。その結果、3Dセキュアの認証が成功しても、イシュアのオーソリ段階で拒否されるケースが増えています

これは、3Dセキュア認証、あるいは「フリクションレス3Dセキュア(認証なし3Dセキュア)」が成功したにも関わらず承認が否決されてしまい、加盟店にしてみれば取引と収益を失う結果になってしまいます。

米国では、加盟店が「3Dセキュア2.0」を適用した際、承認の否決が原因でコンバージョンが最大10%低下している例があります。

たとえば一般的な1万円の取引で、3Dセキュア(フリクションレス含む)が成功し、イシュアに取引が届いたとします。その後、イシュア自身の不正フィルタを通り与信なども通過、取引が成功し取引完了したとします。本取引成功によるイシュアが得られる手数料の粗利は約1%(約100円)ではないかと推測します(経産省キャッシュレスビジョン参照)。

一方、取引がチャージバックになった場合、イシュアは取引全額(1万円)の損害を被ることになります。以前は債務責任を加盟店が負っていましたが、ライアビリティシフト(責任の移転)によってイシュアが全額負担しなければなりません。

そのため、「3Dセキュア2.0」取引のイシュア判定は、以前と比べてよりリスクを回避する方向で取引を判定することになります。これが、3Dセキュア取引が成功してもイシュアでの承認段階での拒否が増える理由です。

3Dセキュア2.0と3Dセキュア1.0の違い クレジットカード決済 EMV 3-D「3Dセキュア1.0」と「3Dセキュア2.0」の違い(画像は経済産業省「第3回 クレジットカード決済システムのセキュリティ対策強化検討会」からキャプチャ)
課題②:3Dセキュアプロセス中のカゴ落ち

3Dセキュア認証に失敗する割合は、平均して欧州で30%、米国では50%です(Forter調べ)。

欧州の加盟店がすべての取引に「3Dセキュア2.0」を使用した場合、ライアビリティシフトが適用されるほか、必要に応じて「欧州決済サービス指令第2版(PSD2)」の遵守も可能になります。一方で、多くの取引で3Dセキュアのデメリットに悩まされることにもなります。

それは、認証ステップの摩擦による「カゴ落ち」です。追加認証によりUX(顧客体験)が毀損され、パスワード忘れ・間違いなどでカゴ落ちが発生してしまいます。「3Dセキュア2.0」により本人(チャレンジ)認証の実施は取引の数%に抑えられると言われていますが、「数%でも大きい」と感じる加盟店もいます。

また、海外で「3Dセキュア2.0」を導入している加盟店を見ると、約3割の取引でチャレンジ認証が実行されています

「3Dセキュア2.0(EMV3Dセキュア)」と「3Dセキュア1.0」の認証フローの違い クレジットカード セキュリティ対策「3Dセキュア2.0(EMV3Dセキュア)」と「3Dセキュア1.0」は認証フローが異なるため、カゴ落ちが発生する(画像は一般社団法人日本クレジット協会の「EMV 3-Dセキュア導入ガイド」からキャプチャ)

この理由は上述と同じく、イシュアが3Dセキュア取引について今まで以上に慎重な姿勢を取るようになっているのが原因です。「3Dセキュア2.0」取引をフリクションレスにするか、本人認証を必要とするか(どの認証方法にするか)は、イシュアが判断します。

慎重な姿勢を取っているイシュアにとって、より多くの取引に認証をかけたくなるのは当然の流れかもしれません。

また、「3Dセキュア2.0」がバックグラウンドで実施している複雑な認証や承認プロセスにより発生する技術的エラーにより、UXが毀損されカゴ落ちが発生しています。これらの要因は、いずれも全体的なコンバージョンを低下させ、売り上げや収益性に悪影響を及ぼします。

「3Dセキュア2.0」導入だけで終わりではない

「3Dセキュア2.0」は、イシュアが債務責任を負い、不正取引が発生した場合に加盟店のビジネスを守ります。しかし、「3Dセキュア2.0」は有益な面がある一方で先述のような課題もあります。

仮に「3Dセキュア2.0」を義務化すると、犯罪者がそれに合わせた対策を行う可能性があるため、不正対策ソリューションを含めた多面的な対策が必要になります。カスタマージャーニー全体を通して摩擦のない、より優れた体験を提供する包括的な不正対策ソリューションを見つけるべきです。

「3Dセキュア2.0」は不正対策ソリューションではなく、あくまで必要に応じて追加認証を実施し、本人であることをより確実にするツールの1つです。

取引が正規か不正かの判断が付きにくいグレーな取引に対して、「3Dセキュア2.0(追加認証)」を通すことで、より高精度で取引の真偽を検証することができます。仮に不正取引だった場合でも、ライアビリティシフトにより加盟店は損失リスクが回避される為、加盟店にとっては非常に有益なツールとなります。

「3Dセキュア2.0」を最大限に活用するためには、消費者をそれぞれのリスクレベルや行動に基づいて高精度なリスク判定を行い、最も摩擦の少ない決済パスにルーティングすることが大切です。

「3Dセキュア2.0」のメリットを得てコンバージョンを最大化するには

信頼できる顧客に対しては「3Dセキュア2.0」の不便を与えずコンバージョンを保ち、怪しいグレーな取引に対しては「3Dセキュア2.0」を適用することで損失リスクを軽減することができます。繰り返しになりますが、「3Dセキュア2.0」を取引に適用するかどうかは加盟店が判断します。

高精度判定およびルーティングが実施可能な高度な不正対策ソリューションを用いれば、「3Dセキュア2.0」のメリットを最大限享受できることになります。これはより多くの取引を承認し、債務責任をイシュアに移転し、コンバージョンを最大化するということです。

これらのことをすべて実践した時、「3Dセキュア2.0」が真の事業成長を実現する上で最高のツールであるかどうかがわかるはずです。

※このコンテンツはWebサイト「ネットショップ担当者フォーラム - 通販・ECの業界最新ニュースと実務に役立つ実践的な解説」で公開されている記事のフィードに含まれているものです。
オリジナル記事:「3Sセキュア2.0」が抱える課題とは? 導入メリットを最大限生かすために押さえておきたいポイント | EC事業者が知っておきたいセキュリティ対策
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.

メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

今日の用語

インバウンド
顧客が情報を探し求める一連の情報行動において、情報を有益なコンテンツとして提供し ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]