2023/03/28

悪意のある第三者が顧客になりすまし、クレジットカードを不正利用する被害が多発しています。クレジットカードはオンラインショッピングの決済手段の主流であることから、なりすましの手口には注意しなければなりません。そこで、国際ブランドがセキュリティ対策として推奨しているのが「3Dセキュア」です。本記事では、3Dセキュアの基礎知識に始まり、導入効果や注意点などをお伝えします。3Dセキュア以外の本人認証の選択肢もご紹介するため、セキュリティ強化へ向けてぜひご一読ください。

目次

3Dセキュアとは

 ・3Dセキュアの意味

 ・3Dセキュア1.0と2.0の違い

クレジットカード利用者が3Dセキュアの認証を受ける流れ

 ・Step1.事前登録

 ・Step2.決済ページへの入力

 ・Step3.3Dセキュアの認証ページへの入力

 ・Step4.決済の完了

3Dセキュアの導入で得られる主な効果

 ・クレジットカードの不正利用の防止

 ・チャージバックのリスク軽減

3Dセキュア導入時の注意点

 ・対応していないクレジットカード会社がある

 ・カゴ落ちリスクが生じる

 ・不正利用のリスクは残る

3Dセキュアに代わる電話放送局の本人認証システム

 ・電話認証による本人認証システム

 ・導入事例の紹介

3Dセキュアや電話認証を活用してセキュリティを強化しましょう!

3Dセキュアとは

ここでは、3Dセキュアに関する基礎知識をお伝えします。3Dセキュアで本人認証を行う仕組みや、バージョンごとの認証方法の違いなどを解説します。まずは導入によってセキュリティ強化につながる理由を確認してみましょう。

3Dセキュアの意味

3Dセキュアとは、クレジットカード決済時に行われる本人認証の仕組みのことです。インターネット上でクレジットカード決済を行うときに使われます。その際、クレジットカードの利用者本人だけが知っているパスワードなどを用いて本人認証を行うのが特徴です。3Dセキュアを導入すると、オンラインショッピングをはじめとした場面でセキュリティを確保し、安全性の高い決済が可能となります。

3Dセキュアは、クレジットカード決済におけるセキュリティの標準規格として、国際ブランド各社から推奨されています。3Dセキュアに対応している国際ブランドの代表例として挙げられるのは、VISA、Mastercard、JCB、American Expressなどです。クレジットカード利用者が決済で3Dセキュアを利用するには、所有しているクレジットカードが3Dセキュアに対応していることが条件となります。

3Dセキュアにはバージョンがあります。2023年3月現在、最新のバージョンは「EMV3Dセキュア(3Dセキュア2.0)」です。近年はバージョンアップにともない、以前のバージョンである3Dセキュア1.0から3Dセキュア2.0への移行が進んでいる状況となっています。

3Dセキュア1.0と2.0の違い

3Dセキュアは、バージョンによって本人認証の方法が異なります。以前のバージョンである3Dセキュア1.0では、パスワードの入力による本人認証が採用されていました。そこでは決済の度に本人認証を求められるため、利用者はクレジットカードを利用する都度、パスワードを入力しなければなりません。それに対して、最新のバージョンである3Dセキュア2.0では、決済のリスクがリアルタイムで判断され、不正利用が疑われる場合のみ本人認証を求められます。そのため、不正利用の可能性が低いと判断されるケースでは、本人認証は不要です。また、3Dセキュア2.0では生体認証やワンタイムパスワードなどを用いて本人認証が行われる点も大きな違いだといえます。

クレジットカード利用者が3Dセキュアの認証を受ける流れ

クレジットカード利用者が3Dセキュアの認証を受けるまでの流れを4つのステップで解説します。3Dセキュアの導入後、自社の顧客はどのような手続きを経て支払いを完結できるのか、利便性の観点から十分に検討しましょう。

Step1.事前登録

まずはクレジットカードの利用者が3Dセキュアに対応したカードを発行し、カード会社のサービス上で認証に使うパスワードなどの情報を事前登録することが必要です。カード発行会社によっては、認証の際に固定パスワードとワンタイムパスワードのどちらを使用するか、利用者に選んでもらえるようになっています。

固定パスワードとは、利用者が事前に決めるパスワードのことで、認証では毎回同じパスワードを使うのが特徴です。一方で、ワンタイムパスワードとは、認証の度に毎回発行される使い捨てのパスワードを指します。パスワードを発行するには、ハードウェアトークンやスマホアプリなどが必要です。一度使用したパスワードは今後の認証で使用しないため、パスワードの窃取によるリスクが低いという強みがあります。その一方で、利用者にはワンタイムパスワードを利用するための事前準備や、発行する際の手間がかかります。

Step2.決済ページへの入力

続いて、事前登録を済ませた利用者が、3Dセキュアに対応したECサイトでオンラインショッピングを行う段階です。通常のクレジットカード決済と同様に、決済ページに個人情報や連絡先、クレジットカード情報を入力します。クレジットカード番号や有効期限などの必要情報の入力が済んだら、画面が遷移してカード会社の3Dセキュア認証ページへと進みます。

Step3.3Dセキュアの認証ページへの入力

3Dセキュアのパスワード入力画面が表示され、Step1で事前登録したパスワードなどの情報を入力します。事前登録した情報と合致する正しいパスワードを入力すると、本人確認が完了します。認証が成功しない場合は、クレジットカード決済を完結させることができません。また、一定の回数以上にわたりパスワードの入力を誤ってしまうと、3Dセキュアでロックがかかりクレジットカードを使用できない状態になります。

Step4.決済の完了

認証に成功すると、再び画面が遷移してECサイトへ戻り、決済の結果が通知されます。無事に支払いが行われて、決済が完了となります。

3Dセキュアの導入で得られる主な効果

自社のオンライン決済に3Dセキュアを導入すると、セキュリティ強化によるさまざまなメリットが期待できます。年々クレジットカードの不正利用の手口が巧妙化する中、3Dセキュアの導入で得られる効果を押さえておきましょう。

クレジットカードの不正利用の防止

3Dセキュアを導入すると、第三者による悪質ななりすましを回避し、クレジットカードの不正利用防止につながります。3Dセキュアの本人認証では、カード会員本人が設定したパスワードなどの情報が必須です。通常の決済で求められるクレジットカード番号や有効期限だけでは、決済を完結することができません。決済に必要な情報がより多くなることで、セキュリティの強化が期待できます。

なりすましとは、第三者が本人を装って悪事をはたらくことを指します。社会のオンライン化にともない、本人が利用するオンラインサービスのIDやパスワード、クレジットカード情報などが窃取される事例が多くなりました。これらの重要な情報を盗んだ犯人が、本人を装って有償のサービスを利用したり、クレジットカードを不正利用したりする被害が相次いで発生しています。クレジットカード決済でのなりすましを回避するには、精度の高い認証で本人確認を行う対策が有効です。

チャージバックのリスク軽減

3Dセキュアの本人認証を使用した取引は、万が一不正利用の被害に遭った場合でもチャージバックの対象外となります。そのため、3Dセキュアを導入したオンラインショップは、チャージバックにより損害を受けるリスクを避けやすくなるのです。近年はオンラインショップを狙ったサイバー犯罪が跡を絶ちません。本人認証によりセキュリティを強化することで、EC事業者にも多くのメリットがもたらされます。

チャージバックとは、クレジットカードの不正利用が発生した際に、利用者を守るための仕組みです。不正利用が発覚すると、カード会社がチャージバックにより該当する決済を取り消して、加盟店への支払いを拒絶します。これにより利用者は損害を受けずに済みますが、加盟店は犯人の手に渡った商品を回収するのが難しく、結果として損失分を負担しなければなりません。一般的にカードの不正利用ではブランド品や家電などの高額な商品がターゲットになるため、大きな損害を受けるリスクがあります。

3Dセキュア導入時の注意点

ここまでご紹介した通り、3Dセキュアはクレジットカード決済のセキュリティ強化に効果的ですが、導入の際は注意したい部分もあります。利用者の利便性を損なうデメリットも懸念されるため、セキュリティ対策で導入する際は以下のポイントにご注意ください。

対応していないクレジットカード会社がある

3Dセキュアはすべてのクレジットカードに対応しているわけではありません。導入する際は、まず自社が加盟しているクレジットカードの国際ブランドが3Dセキュアに対応していることが前提となります。また、3Dセキュアに対応している国際ブランドのカードであっても、例外としてカード発行会社が3Dセキュアに対応していないケースも存在します。この場合、3Dセキュア非対応のカードを保有している顧客は、カード決済を利用できません。

カゴ落ちリスクが生じる

ECサイト運営では、顧客が商品やサービスをカートに入れたまま離脱してしまうことを「カゴ落ち」と呼びます。購入の直前で離脱してしまう理由として挙げられるのが、決済方法や送料などの問題です。決済に多くの手間がかかったり、希望する決済手段が使えなかったり、送料が高額であったりした場合に、カゴ落ちが発生すると考えられています。

3Dセキュアはセキュリティ強化に有効ですが、一方で顧客の手間が増えることでカゴ落ちが発生しやすくなります。本人確認の作業中に購入者が離脱してしまう可能性も考えられるでしょう。インターネットで商品やサービスを購入する顧客は、スムーズに決済できることを重視して、入力を嫌う傾向にあります。それだけでなく、追加でのカード情報の入力に警戒して顧客が離脱してしまうケースも少なくありません。このように決済までのフローが増えることは3Dセキュアの課題といえるでしょう。

不正利用のリスクは残る

たとえ3Dセキュアを導入しても、クレジットカードが不正利用されるリスクを完全になくすことはできません。近年は3Dセキュアのパスワードを狙ったフィッシング詐欺の手口も見られるようになりました。カード会社と偽って利用者にメールを送りつけ、偽物の入力画面からパスワードを窃取するのです。万が一パスワードが流出してしまえば、3Dセキュアによってなりすましを避けることは難しいでしょう。

不正利用を防止するには、複数の対策を組み合わせてセキュリティを強化する方法が有効です。3Dセキュア以外にも、不正検知システムの導入や、セキュリティコードによる認証などの方法が挙げられます。セキュリティコードはカードの磁気情報には記録されていないため、磁気情報を抜き取るスキミングの手口で盗まれにくいのが特徴です。

3Dセキュアに代わる電話放送局の本人認証システム

ここまで3Dセキュアについて解説しました。本人確認を行う方法には、3Dセキュア以外にも「電話認証」(IVR認証)という選択肢があります。実在する電話番号を利用して認証を行うため精度が高く、導入の際に初期費用などのコストを大幅に抑えられるのが魅力です。

最後に、3Dセキュア以外のおすすめの手段として、電話放送局の本人認証システム「電話認証」(IVR認証)の特長や導入事例をご紹介します。

電話認証による本人認証システム

「電話認証」(IVR認証)は、電話を利用した本人認証システムです。電話番号と認証キー(ワンタイムパスワード)を用いた2要素認証を行います。主に顧客が重要な処理を行う際や、個人情報へアクセスする際の本人確認に用いられます。たとえば、オンラインでの銀行振込、マイページの決済情報の閲覧などに適した認証方法です。

「電話認証」(IVR認証)による2要素認証では、顧客が認証リクエストを行うと登録された電話番号へ発信し、自動音声応答システム(IVR)による案内を行います。顧客がプッシュボタンで認証キー(ワンタイムパスワード)を入力することで、本人確認を行う仕組みです。ワンタイムパスワードは使い捨てのため安全性が高く、さらには一定時間内に操作が完了しなければタイムアウトさせる設定もできます。セキュリティ強化に役立ち、なりすましによる不正利用の対策におすすめです。

「電話認証」(IVR認証)のワンタイムパスワードは、IVRが音声で顧客へ通知します。パスワードを生成するためにハードウェアトークンやスマホアプリなどは不要なため、導入や運用で高額なコストを負担する必要はありません。また、電話機のプッシュボタンのみで簡単に操作できるため、顧客へのサポート対応のコストも抑えやすくなります。

【参考】
IVR認証の仕組みとは?電話を使った本人確認で不正利用を防ぐ
IVRとは?特徴やコールセンターに導入するメリット、サービスの選び方

導入事例の紹介

電話放送局では、IVRを用いた本人認証サービス「電話認証」(IVR認証)をご用意しています。多様な業界での導入実績があり、重要な処理を行う場面や個人情報にアクセスする場面などで、セキュリティ強化に役立つのが特長です。ここでは、電話認証(IVR認証)の導入事例をご紹介します。

導入事例 金融

【導入によって得られた効果】
(1)セキュリティの強化
2要素認証による精度の高い本人認証が可能に。

(2)事務コストの軽減
本人認証時に発生するパスワード忘れ、届出住所への書類郵送、コールセンターや窓口の対応など、事務手続きのコストを軽減。

(3)開発・運用コストの軽減
ハードウェアトークンやスマホアプリの開発・運用で生じる高額な費用を大幅に軽減。ハードウェアトークンの初期費用や紛失・故障時の対応コストが不要に。スマホアプリのシステム開発費用、OSバージョンアップにともなうメンテナンス費用、操作に関するサポートなどの運用費用も削減。

導入事例 エンターテインメントサービス

【導入によって得られた効果】
(1)顧客情報の保護
不正アクセスによる顧客アカウントの乗っ取り被害を予防。

(2)顧客へ安心感を提供
重要な情報へアクセスする際に認証を求めることで顧客に安心感を提供。

(3)サービス、企業価値向上
安心して利用できる環境を整備して顧客の流出を防ぎ、ファンの離脱を防止。

導入事例 訪問サービス

【導入によって得られた効果】
(1)顧客情報の保護
不正アクセスによる顧客アカウントの乗っ取り被害を予防。

(2)顧客へ安心感を提供
重要な情報へアクセスする際に認証を求めることで顧客に安心感を提供。

(3)サービス、企業価値向上
安心して利用できる環境を整備して顧客の流出を防ぎ、ファンの離脱を防止。

3Dセキュアや電話認証を活用してセキュリティを強化しましょう!

ここまで3Dセキュアの基礎知識や、認証を受ける流れ、導入効果や注意点などを解説しました。クレジットカードは多くのオンラインショップが採用する決済手段です。本人認証によってセキュリティを強化することで、カードの不正利用やチャージバックによるリスクを避けやすくなります。そんな3Dセキュアの他にも、電話を利用して本人認証を行うことも可能です。セキュリティ対策の一環として本人認証の導入をご検討の際は、電話放送局の「電話認証」(IVR認証)をおすすめします。

電話認証

お役立ち資料 無料ダウンロード

本資料では、IVR(自動音声応答)を活用した電話業務を自動化する手法や、IVRサービス提供会社を選ぶポイントを知ることができます。

【本資料は、下記の関心をお持ちの方におすすめです】
・コールセンターの電話業務をどこまで自動化できるのか知りたい
・自動化に適したコール内容を知りたい
・IVRやボイスボット導入により、自動化に成功した事例を知りたい

関連コラム

おすすめコラム

簡単・便利なIVRを体験

IVRで電話業務を自動化する手法や、IVRサービス提供会社を選ぶポイントを知ることができる資料を無料提供

下記の関心をお持ちの方におすすめです!

  • コールセンターの電話業務をどこまで自動化できるのか知りたい

  • 自動化に適したコール内容を知りたい

  • IVRやボイスボット導入により、自動化に成功した事例を知りたい

IVRを活用してコールセンターを自動化する手法と成功事例

IVRで課題解決

こんな課題ありませんか?

  • 電話対応を自動化したい
  • あふれ呼や営業時間外の機会損失を減らしたい
  • 災害時のBCP(事業継続計画)やテレワークに活用したい

お問い合わせ・資料請求はこちら

お電話からのお問い合わせ