SCAと3DS2について解説:PSD2決済認証
ヨーロッパの顧客向けにオンライン販売を行う場合、SCAと3DS2への対応は必須となります。強力な顧客認証はPSD2に基づく厳格な法的要件であり、3Dセキュア2はほとんどの加盟店が実際にこの要件を満たすために利用している方法です。SCAと3DS2が実際にどのような意味を持つのか、例外的なケースはどこにあるのか、そして誤った対応をした場合のコストはどれくらいなのか――このガイドでは、これらの点について解説します。
SCAとは?強力な顧客認証の定義
強力な顧客認証は、EUの決済サービス指令2(PSD2)に基づく認証要件です。これは、顧客が電子決済を開始する際に、顧客のカード発行銀行と加盟店の決済代行銀行の両方が欧州経済領域(EEA)内にある場合に適用されます。
このルール自体は要素に関するものです。安全な認証では、以下の3つの要素のうち少なくとも2つを使用する必要があり、それらは異なるカテゴリに属していなければなりません。
- 知識― カード所有者が知っていること:パスワード、暗証番号、またはセキュリティ質問
- 所有物― カード所有者が持っているもの:携帯電話、ハードウェアトークン、またはスマートカード
- 固有の要素― カード所有者が持つもの:指紋、顔認証、音声認証
これらの要素は互いに独立していなければなりません。つまり、一方が侵害されても、もう一方が漏洩してはなりません。また、特定の取引金額と受取人に動的に紐づいている必要があります。すべての購入で有効な静的なパスワードでは不十分です。
適用範囲:SCAは、顧客が開始するオンラインカード購入を対象としています。加盟店が開始する取引(初回承認後の定期請求)、通信販売や電話注文、または加盟店もしくはカード所有者の銀行がEEA域外にある取引には適用されません。最後のカテゴリーは「片側のみの取引」と呼ばれ、世界各地に顧客基盤を持つ加盟店にとって重要です。
3DS2とは何ですか?また、SCAとどのような関係がありますか?
その名称は次のように分解できます。3Dは3つのドメインを表しています。カード所有者のカードを発行した発行銀行、加盟店の支払いを処理するアクワイアリング銀行、そしてそれらの間に位置するカードネットワークです。バージョン2は、Visaが1999年に「Verified by Visa」という名称で開始したオリジナルのプロトコルと区別されます。Visa、Mastercard、Amex、その他のスキームが共同所有するEMVCoが、3D Secure 2規格を構築し、現在も維持管理しています。
SCAとの関連性は?PSD2では、カード決済に2要素認証が義務付けられています。3Dセキュア2は、加盟店がカード非提示取引において実際に認証を行うために使用する仕組みです。技術的には、オープンバンキングフローや銀行アプリのリダイレクトでもSCAを満たすことができますが、実際には、オンラインカード決済の大部分は3DS2で処理されています。
VisaとMastercardは、2022年10月に欧州での取引における3DS1のサポートを終了しました。この終了以降、3DS1経由でのカード決済は時代遅れになっただけでなく、スキームの準拠にも違反するようになりました。かつては任意だったものが必須となり、決済処理業者が長年推奨してきた3Dセキュア2へのアップグレードが唯一の選択肢となったのです。
3Dセキュアの歴史:3DS1から3DS2まで
3DS1は2000年代初頭に導入されました。認証メカニズムは、通常カード発行銀行がホストするリダイレクトポップアップでした。カード所有者は新しいブラウザウィンドウが表示され、しばしば忘れてしまう静的パスワードを入力して、認証が成功するか、離脱するかのどちらかでした。この段階での離脱は、あらゆる業種の加盟店にとって無視できない問題でした。
| 特徴 | 3DS1 | 3DS2 |
|---|---|---|
| 認証UI | リダイレクトポップアップ/新規ウィンドウ | 埋め込みiframeまたはネイティブSDK |
| 発行者に送信されるデータ | 約15個のデータポイント | 100以上のデータポイント(デバイス、行動、履歴) |
| モバイルサポート | 劣悪 — ネイティブSDKなし | 完全なネイティブiOSおよびAndroid SDK |
| 摩擦のない流れ | 利用不可 | はい、取引の大部分は |
| チャレンジ方法 | 静的パスワード | OTP、プッシュ通知、生体認証 |
| 責任移転 | はい | はい(適用範囲拡大) |
| EUステータス | 2022年10月に廃止されました | 必須 |
3DS2は、3DS1が引き起こした取引上の問題点を解消するために設計されました。このプロトコルは、取引フローの開始時に100以上のリスクシグナルを発行会社に送信することで、顧客に何も操作を求めることなく、ほとんどの取引を銀行が承認するのに十分なデータを提供します。認証が必要な場合でも、それはSMSコードまたは生体認証であり、カード所有者が3年前に設定したパスワードではありません。
3DS2認証の仕組み:ステップバイステップガイド
3DS2トランザクションはすべて、2つの経路のうちいずれか1つを経由します。発行銀行は、受け取ったリスクデータに基づいてどちらの経路を選択するかを決定します。ほとんどの場合、顧客は認証が行われたことに全く気づきません。
摩擦のない流れ(取引の70~90%):
- 顧客はチェックアウト時にカード情報を入力します
- 加盟店の決済ゲートウェイまたは3DSサーバーは、デバイスのフィンガープリント、IPジオロケーション、ブラウザ特性、取引履歴、行動シグナルなど、100以上のデータポイントを収集します。
- これらは認証要求(AReq)としてカードネットワークのディレクトリサーバーに送信され、その後、発行銀行のアクセス制御サーバー(ACS)に転送されます。
- ACSは自動リスク評価を実行します(通常は1秒未満)。
- 取引のリスクが低いと判断された場合、ACSは顧客の操作を必要とせずにスムーズな承認を発行します。
- 取引は、発行銀行への責任移転をもって完了する。
チャレンジフロー(トランザクションの10~30%):
- ステップ1~3は同じで、データ収集とAReqの提出です。
- ACSは、新しいデバイス、異常な金額、新しい配送先住所、またはその加盟店カテゴリーにおける不正利用率の上昇などの理由で、取引を高リスクと判断します。
- 顧客には、SMSワンタイムパスコード、銀行アプリからのプッシュ通知、または生体認証といった2つ目の認証要素の入力が求められる。
- 顧客がチャレンジを完了しました
- 取引は承認され、責任は発行者に移転する。
3DS2が前モデルと一線を画すのは、そのスムーズな決済プロセスです。ほとんどの顧客は、特別な操作をすることなく認証済み取引を完了できます。認証が必要な場合でも、銀行振込の承認時と同じプッシュ通知という、お馴染みの方法が用いられます。
SCAの免除事項とその適用時期
すべての取引にSCAが必要なわけではありません。PSD2では、二要素認証なしで決済が可能な例外規定が定められています。例外を申請することと、例外が認められることは別物です。発行銀行が例外を認めるかどうかを決定します。拒否された場合はソフト拒否となり、加盟店はSCAを有効にして再度申請する必要があります。
| 免除の種類 | 状態 | 制限 |
|---|---|---|
| 少額取引 | 30ユーロ未満の取引 | 前回のSCA以降、連続5回までの取引、または累計100ユーロまで。 |
| 取引リスク分析(TRA) | 取得者または発行者の不正発生率が基準値以下 | 100ユーロの場合、不正利用率は0.13%以下 / 250ユーロの場合、不正利用率は0.06%以下 / 500ユーロの場合、不正利用率は0.01%以下 |
| 定期取引(固定金額) | 最初のSCA後も、金額は同じで受取人も同一です。 | 制限なし |
| 加盟店主導の取引 | 定期購読、分割払い | SCAは最初の取引時のみ必要です |
| 信頼できる受益者 | カード所有者は、銀行でその加盟店をホワイトリストに登録しました。 | 加盟店固有の、カード所有者が管理する |
| 安全な法人向け決済 | 専用のB2B決済システム | 規制当局の承認を受けたシステムのみ |
責任は、免除を申請した者によって発生します。アクワイアラーがTRA免除を申請し、イシュアーがそれを承認した場合、何らかの問題が発生した場合、アクワイアラー(ひいては加盟店)が不正利用に対する責任を負います。イシュアーが独自に免除を適用した場合、責任はイシュアーにあります。TRA免除を利用して取引量が多い加盟店は、各取引がどの経路で処理されたかを追跡する必要があります。
SCAと3DS2が商人に与える影響
SCA 3DS2を正しく導入することのビジネス上のメリットは、規制遵守にとどまりません。
- 責任の移転:3DS2認証が完了すると、不正利用によるチャージバックの責任は加盟店から発行銀行に移ります。認証がない場合、加盟店はカード不正利用による損失を直接負担することになります。EUにおけるカード不正利用は、SCAが義務付けられていない地域では17倍も高くなっています。
- 承認率:3DS2は、認証されていない決済と比較して、承認率を向上させることがよくあります。発行会社は、カード番号とCVVだけでなく、100個のデータポイントがある場合、より自信を持って承認を行います。
- チェックアウト時のコンバージョン率:チャレンジフローでは手順が1つ増えますが、摩擦のない3DS2ではほとんど摩擦がありません。適切に実装された3DS2は、通常、3DS1と比較してコンバージョン率に横ばいまたはプラスの影響をもたらします。
- データ品質:AReqペイロードの品質によって、トランザクションがスムーズに処理される割合が決まります。必須項目のみを送信する加盟店は、オプション項目(デバイスの指紋、過去のトランザクション数、配送先住所の開設時期など)も入力する加盟店よりも、認証チェック率が高くなります。
- 地理的要因:SCA(強力な顧客認証)のルールは、EEA加盟国、英国(英国独自のブレグジット後のSCAスケジュール)、およびその他の市場で異なります。グローバルな決済システムでは、リクエストレベルでこれらの違いを正しくセグメント化する必要があります。
オンライン販売業者向けSCAコンプライアンスチェックリスト
SCA 3DS2の設定を正しく行うには、ゲートウェイで3DS2を有効にするだけでは不十分です。継続的な作業も重要です。
- お使いのPSPまたはゲートウェイが3DS2に対応していることを確認してください。主要な決済処理業者(Stripe、Adyen、Worldpay、Braintreeなど)のほとんどは、これを自動的に処理します。地域限定の決済処理業者や旧型の決済処理業者は、3DS1で動作している場合や、部分的な実装にとどまっている場合があります。
- AReqデータペイロードを監査してください。決済プロバイダーと協力して、必須項目だけでなく、100項目以上あるオプションのデータフィールドすべてを送信していることを確認してください。追加されるフィールドが増えるほど、発行者の承認プロセスにおける信頼性が向上します。
- 取引の種類をマッピングしてください。加盟店主導の支払い(設定後の定期購読)、通信販売/電話注文、または片側のみの取引を特定します。これらの取引には適切なフラグを付けてください。これらは3DS2を経由しないため、3DS2にルーティングされるべきではありません。
- チャレンジフローのUXをテストしましょう。ステップアップチャレンジが開始された際、ユーザーエクスペリエンスは明確でモバイルフレンドリーである必要があります。分かりにくいOTP画面はコンバージョン率の低下につながります。本番稼働前に、様々なデバイスとブラウザでテストを実施してください。
- 摩擦のない取引率とチャレンジ率を監視します。摩擦のない取引率の低下は、データペイロードの劣化、発行者によるリスクモデルの変更、または加盟店カテゴリーの不正利用率がTRAのしきい値を超えたことなど、何らかの問題が発生していることを示しています。
- 免除申請の結果を追跡しましょう。申請中の免除、承認された免除、そして却下された免除を把握できます。少額の免除申請が却下された場合、多くの場合、累積限度額100ユーロに達したものの、リセットされなかったことを意味します。
- PSD3のタイムラインに注目してください。欧州委員会のPSD3提案は現在立法手続き中で、加盟国による実施は2026年から2027年と見込まれています。これはSCAを置き換えるのではなく、拡張するものであり、認証要件は簡素化されるのではなく、より詳細になります。
SCA 3DS2について多くの加盟店が気づいていないことの一つは、このフレームワーク全体がPSD2で規制される電子決済取引、つまり銀行やカードネットワークを介してやり取りされる法定通貨に限定されているということです。暗号通貨による決済は、この範囲から完全に外れています。
顧客がビットコイン、イーサリアム、またはステーブルコインで支払う場合、取引はカードネットワークや銀行を経由しません。発行者はACSを運用しません。AReqも、ディレクトリサーバーも、管理すべきチャレンジフローもありません。支払い方法が規制範囲外であるため、SCAルールは適用されません。
加盟店にとって、これは具体的にどのようなメリットがあるのでしょうか。暗号通貨決済では、3DS2認証も、ワンタイムパスワード(OTP)の要求も、チャレンジフローも必要ありません。顧客はウォレットから支払いを行い、資金が到着します。チャージバックも存在しません。暗号通貨取引は取り消し不可能であるため、不正利用に対する責任メカニズムが完全に排除されます。
カード認証フレームワークとは全く異なる決済オプションを追加したいと考えている加盟店にとって、 Plisioは20種類以上の暗号通貨をサポートしており、SCA(強力な顧客認証)のオーバーヘッド、チャージバックのリスク、発行銀行のリスクモデルへの依存は一切ありません。
SCAと3DS2が決済システムに及ぼす影響
SCAは簡素化されるどころか、むしろ悪化しています。PSD3は認証要件をさらに拡大し、英国はブレグジット後も独自のSCA執行体制を維持しています。加盟店にとって重要なのは、SCA 3ds2の実装が実際にどれだけうまく機能しているかであり、実装すべきかどうかではありません。
適切に導入すれば、このフレームワークは関係者全員にとってメリットがあります。加盟店は不正利用によるチャージバックに対する責任保護を受けられます。発行会社は3Dセキュア2の拡張されたデータペイロードを通じてより詳細なシグナルを取得し、より多くの取引を自信を持って承認できます。顧客は通常、決済手続きを中断することなく安全な認証を受けることができます。問題が発生するのは、ゲートウェイの最低限の要件として3DS2を有効にしただけで、その後、摩擦のない決済率、AReqペイロードの品質、免除適用率などを一切確認しなかった加盟店です。
