Adyen 3Dセキュア:3DS2認証の仕組み
3Dセキュアは、カード決済とその承認の間にある認証レイヤーです。Adyen 3DSは、この標準規格の最も広く利用されている実装の一つであり、Adyenの決済プラットフォームに組み込まれ、ヨーロッパ、北米、アジアで年間数十億件の取引を処理しています。
Adyenが3Dセキュアをどのように扱うかは、カード決済を統合するすべての開発者、そして不正防止と決済コンバージョンのバランスを取ろうとするすべての加盟店にとって重要です。この2つは相反する関係にあります。認証を強化すれば不正は減りますが、同時に手間も増え、その手間は売上を減少させます。特に米国とブラジルからの地域データは、多くの加盟店が予想する以上に深刻な状況を示しています。
Adyen 3D Secureとは何ですか?
Visaカードでオンライン決済を行う際、Visaは購入者に対し、本人確認を求めることができます。そのための仕組みが3Dセキュアです。これは、カードネットワーク(VisaはVerified by Visa、MastercardはSecureCodeと呼んでいます)が、カード非提示取引のために特別に開発した認証プロトコルです。Adyen 3DSは、Adyenが自社の決済プラットフォーム全体でこの3Dセキュアを実装する方法です。
バージョンは2種類あります。第1世代の3DS1は、購入者をカード発行会社の認証ページに誘導し、決済の流れを完全に中断させてしまいました。コンバージョン率は低下し、加盟店はこれを嫌いました。ほとんどの加盟店は、可能な限り3DS1の使用を中止しています。
3Dセキュア2は、よりスマートなアプローチで従来の方式に取って代わりました。リダイレクトするのではなく、画面解像度、タイムゾーン、IPアドレス、セッション履歴といったデバイスとブラウザのデータをバックグラウンドで静かに収集し、発行銀行に送信します。銀行のリスク評価エンジンは、150以上のデータポイントを評価します。これだけの情報があれば、多くの場合、利用者が3Dセキュアが実行されたことに気づくことなく、取引を静かに承認することができます。
EUおよびEEA加盟店には、選択肢がほとんどありません。PSD2の強力な顧客認証規則では、30ユーロを超えるカード決済に3Dセキュア2が義務付けられています。カード取引を伴うあらゆる決済方法が対象となります。EU域外では、3Dセキュア2は不正利用に対する責任保護を提供するため強く推奨されていますが、法的に義務付けられてはいません。
Adyen 3DS2認証の仕組み
3DS2の処理フローは、データ収集、認証、認可の3つの段階を経て進行します。すべてが順調に進めば、数秒で完了します。
- 購入者が支払いを開始する— 販売者の決済ページにカード情報を入力する
- Adyenはデバイスデータを収集します。小さなJavaScriptコンポーネント(3DS2フィンガープリント)がバックグラウンドで実行され、ブラウザとデバイスの信号(画面解像度、タイムゾーン、言語、デバイスの種類、IPアドレス)を収集します。
- Adyenは認証リクエストを送信します。デバイスの指紋とトランザクションデータはパッケージ化され、カードネットワークを介してカード発行会社に送信されます。
- 発行者はリクエストを評価する― 発行者のリスクエンジンは、150以上のデータポイントをカード所有者の行動履歴と不正利用の兆候と照合して評価する
- 発行者は、摩擦なし認証かチャレンジ認証かを決定します。リスクが低い場合は、発行者はサイレント認証(摩擦なし認証)を行い、リスクシグナルが存在する場合は、チャレンジ認証を要求します。
- チャレンジフローがトリガーされると実行され、買い物客は追加の認証(ワンタイムパスワード、生体認証、または銀行アプリによる確認)を完了します。
- 認証結果が返される— Adyenは認証結果(認証済み、未認証、または認証試行済み)を受け取ります。
- Adyenは認証結果が添付された承認を送信し、支払いはカードネットワークを介した承認へと進む。
- 責任移転が適用されます。認証が成功した場合、不正利用に関連するチャージバックの責任は加盟店から発行銀行に移転します。
3DS1と3Dセキュア2の決定的な違いは、ステップ2にあります。3DS1では、発行者が利用できるデータがほとんどなかったため、認証の試みが頻繁に行われていました。一方、3Dセキュア2では、より豊富なデバイスフィンガープリントにより、カード決済であれば、購入者がどの支払い方法を使用しても、発行者はより多くの取引をスムーズに承認できるようになります。
Adyenにおける摩擦のないフローと挑戦的なフロー
摩擦のない認証と認証要求の結果は、Adyenや加盟店ではなく、発行会社によって決定されます。とはいえ、Adyenのデータ収集品質は、発行会社が摩擦のない認証を実現できる頻度に直接影響します。つまり、デバイスのフィンガープリンティングデータの精度が高ければ高いほど、認証要求に移行する必要のある発行会社は少なくなります。
| 要素 | 摩擦のない流れ | チャレンジフロー |
|---|---|---|
| 買い物客の体験 | 目に見えない ― 余分な手順は不要 | OTP、生体認証、またはアプリによる確認が必要です |
| コンバージョンへの影響 | 最小限 — 3DSなしと同じ | 大幅な下落(市場によって異なる) |
| 誰が決めるのか | 発行銀行のリスクエンジン | 発行銀行のリスクエンジン |
| トリガー | リスクシグナルは低く、データは十分である。 | リスクシグナルが上昇している、またはデータが不完全です。 |
| 責任移転 | はい、発行者は不正リスクを負います | はい、発行者は不正リスクを負います |
| 典型的なシェア | 取引の40%~93%(市場状況による) | 7%~60%(市場状況による) |
日本は摩擦のない取引のメリットを顕著に示しており、3DS取引の約60%が摩擦なく完了し、全体のコンバージョン率は93%を維持している。一方、ブラジルは正反対で、広範囲にわたる認証フローによってコンバージョン率が55%低下している。Stripeの3DS導入パターンに関する調査によると、米国では認証フローによるコンバージョン率への影響は平均43%となっている。
不正防止機能は、どの認証フローが完了した場合でも一貫しています。摩擦のない認証とチャレンジ認証のどちらでも、責任の所在が移転されます。3DS認証が成功した後に発生した不正関連のチャージバックは、加盟店ではなく発行会社の財務上の問題となります。
Adyen Dynamic 3D Secure ルール
ほとんどの3Dセキュア実装では、認証はすべての取引に一律に適用されます。Adyenのダイナミック3Dセキュアルールエンジンを使用すると、加盟店はより細かく認証を設定できます。
ダイナミック3DSを使用すると、加盟店はリスクシグナル、例外、および取引特性に基づいて、3DSを選択的に適用するルールベースのルーティングを設定できます。その目的は、リスクの高い取引では認証を最大化しつつ、リスクの低い取引では例外を使用して摩擦を軽減することです。
AdyenのDynamic 3DS構成で利用可能な主なルールタイプ:
- 免除ルール— 法的に許可されている場合は、低リスク取引をSCA免除(取引リスク分析、30ユーロ未満の低額免除、信頼できる加盟店リスト)を通じて処理し、3DSを完全にスキップします。
- ソフト拒否処理— 発行者が3DSなしで拒否した取引を自動的に再ルーティングし、2回目の試行で3DS認証をトリガーします。
- 速度ルール— 特定のカードまたはデバイスからの一定期間内の取引頻度に基づいて3DSを適用する
- 金額しきい値— 指定された取引金額を超えると3DSが作動し、少額の購入は対象外となります。
- 国別ルール— 購入者の国に応じて異なる認証ロジックを適用し、地域のSCA義務や発行者の行動を考慮します。
- カードの種類に関するルール— 法人カードやプレミアムカードは3DS経由で処理し、標準的な消費者向けデビットカードは免除フローで処理する。
Dynamic 3DSを賢く設定する加盟店は、ユニバーサル3DSアプリケーションと比較して、チャレンジフローのリスクを大幅に軽減しながら、高リスクセグメントにおける完全な不正防止機能を維持することができます。
Adyen 3DS統合方法
加盟店がAdyenを通じて3DSを統合する方法は、決済統合方法によって異なります。Adyenは主に3つのアプローチをサポートしています。
- セッション(推奨) — Adyenの事前構築済み統合機能は、追加設定なしで3DSをネイティブに処理します。セッションフローはデバイスの指紋を自動的に収集し、摩擦のない/チャレンジ型のルーティングを透過的に管理します。ほとんどの加盟店にとって最もシンプルな方法です。
- ドロップイン方式― Adyenのホスト型UIコンポーネントが加盟店のチェックアウトページに埋め込まれ、チャレンジポップアップや結果処理など、3Dセキュアのフローを処理します。完全なAPI統合よりも設定が少なく、セッションよりもカスタマイズ性が高いのが特徴です。
- API統合により、3DSフローを完全に制御できます。加盟店側のコードで、指紋認証、認証リクエスト、結果解析、承認送信を処理します。高度にカスタマイズされたチェックアウトや、アプリインターフェース内でネイティブ3DS2を必要とするネイティブモバイルアプリに必須です。
ほとんどのeコマース事業者にとって、セッションまたはドロップイン方式は、統合の手間と3DS準拠のバランスが最も優れています。ネイティブAPI統合は、通常、専任の決済エンジニアリングチームを持つ大企業によって利用されます。
Adyen固有の注意点として、モバイルアプリでネイティブ3DS2を使用するには、指紋認証コンポーネントとチャレンジUIを含むAdyenのiOSおよびAndroid SDKが必要です。セッションまたはドロップインを使用したWeb統合では、これは自動的に処理されます。
3Dセキュア変換の影響:地域データ
「3DS認証はコンバージョン率を低下させる」という見出しは部分的には正しいが、実際の影響はほぼ完全に市場固有の要因、つまり消費者が銀行の認証フローにどれだけ慣れているか、そしてモバイルバンキングのユーザーエクスペリエンスがスムーズかどうかによって左右される。
| 市場 | チャレンジ率 | コンバージョンへの影響 | 注記 |
|---|---|---|---|
| 日本 | 約40%のチャレンジ | 最小限の落下 | 銀行アプリの認証は馴染みのあるもので、摩擦が少ない。 |
| イギリス | 約25%のチャレンジ | 低~中程度 | 銀行アプリ(生体認証)は標準的で、高速な体験を提供します。 |
| フランス | 約50%のチャレンジ | 適度 | チャレンジ率は2倍になったが、OTPに慣れているユーザーは |
| 私たち | 約45%のチャレンジ | 異議申し立て対象取引で-43% | 3DSはまだ目新しい技術であり、ユーザーは銀行のワンタイムパスワード(OTP)の流れに慣れていない。 |
| ブラジル | 約60%以上のチャレンジ | -55% | チャレンジ率が高い。銀行認証フローに一貫性がない。 |
| 世界平均 | — | 17億2000万米ドルの市場規模(2026年) | 2034年までに46億6000万米ドルに達すると予想される。 |
不正利用削減効果はより明確です。3Dセキュア認証は不正利用に関する紛争を最大80%削減し、欧州では年間約9億ユーロの不正利用損失を防いでいると推定されています。これらは加盟店側の節約効果です。チャージバックは取引額だけでなく、運用コスト、リスクスコアリングのペナルティ、場合によっては決済処理業者との関係リスクなど、多くのコストがかかります。
コンバージョン率のパラドックスは、3D認証が適用されたかどうかと、認証プロセスがスムーズだったかどうかという2つの要素を切り離して考えることで解消されます。優れたモバイルバンキングアプリがあり、買い物客が経験豊富な市場では、認証プロセスにおける摩擦をうまく吸収します。一方、SMSによるワンタイムパスワード認証や、一貫性のない銀行アプリを使用する市場では、決済機会を大きく失います。
3DSと暗号通貨決済
3Dセキュアはカード決済にのみ適用され、それ以外の決済には適用されません。仮想通貨取引はカードネットワークを経由しないため、3Dセキュアの認証フローは発生しません。
これは諸刃の剣だ。暗号通貨決済ゲートウェイは、3Dセキュアによる責任移転に頼ることはできない。不正リスクを移転する発行銀行が存在しないからだ。セキュリティは、取引監視、ウォレットスクリーニング、ゲートウェイレベルでのリアルタイムリスクスコアリングといった他の仕組みに依存することになる。
もう一つの利点は、3DS認証の煩わしさがないことです。バックグラウンドでデバイスの指紋認証が実行される必要もなく、発行者による認証も、ワンタイムパスワード(OTP)の受信を待つ必要もありません。決済は、ウォレットアドレスをスキャンするか、ウォレットアプリで確認するだけで済みます。米国やブラジルで認証フローによる損失を目の当たりにしてきた加盟店にとって、この簡便さは大きなメリットとなります。
従来のクレジットカードに加えて暗号通貨を決済オプションとして提供したい加盟店向けに、 Plisioは、加盟店のシステムに3DS準拠の複雑さを加えることなく暗号通貨の受け入れを処理する暗号通貨決済ゲートウェイを提供します。
