概要

Visa Secure、Mastercard Identity Check、American Express SafeKey などのブランド名で知られる 3D セキュア規格は、不正使用を減らし、オンライン決済の安全性を高めることを目的としています。

3D セキュア 2 (3DS2) では「フリクションレス認証」が導入されており、3D セキュア 1 と比べて購入体験が向上します。3DS2 は、ヨーロッパでの強力な顧客認証 (SCA) の要件に準拠するために使用される主要なカード認証方式です。また、ビジネス上の SCA の免除をリクエストするための主要なメカニズムでもあります。

Stripe は Payments API、モバイル SDK、Stripe Checkout で 3D セキュア 2 に対応しています。

3D セキュア 1 の歴史

一部の市場では住所確認システム (AVS) や CVC 検証などの付加的なセキュリティ対策が行われているにもかかわらず、クレジットカードやデビットカードによる決済は、依然として不正使用の高い危険にさらされています。(実際このリスクが高いため、顧客は自分のカードで行われた不正使用の支払いに対して不審請求の申請を行うことができるようになっています)。

この問題に対処するため、カードネットワークは 2001 年、3D セキュアの最初のバージョンを導入しました。オンラインで頻繁に買い物をしている場合には、3D セキュアのフローをご存知かもしれません。カード詳細を入力して支払いを確認すると、別のページにリダイレクトされ、そこでコードやパスワードを入力して購入を承認するように銀行から求められます。認証ページはカードネットワークによる提携ブランド名が入っているため、大半の顧客は、Visa Secure、Mastercard Identity Check、または American Express SafeKey などの名称で 3D セキュアになじみがあることと思います。

ビジネスにとって、3D セキュアを導入することのメリットは明らかです。追加情報を求めることにより、不正防止のための追加レイヤーが構築され、正当な顧客のみからカード支払いを受け付けることができます。さらに、3D セキュアで支払いを認証すると、不正使用によるチャージバックの責任がお客様のビジネスから顧客の銀行に移動 (ライアビリティシフト) します。このように保護機能が追加されているため、3D セキュアは航空券などの高額な買い物に適用されることが多いのです。

残念ながら、3D セキュア 1 の利用には欠点もあります。決済を完了するためのステップが増えることで、決済フローに負荷が生じるため、顧客が購入を断念する可能性があります。さらに、多くの銀行は依然として、カード保有者に対して 3D セキュア検証を完了するために、静的なパスワードを作成して記憶するよう求めます。顧客はこれらのパスワードを忘れてしまうことが多く、その結果カートの放棄率が高くなることがあります。

3D セキュア 2 の違い

6 社の主要カードネットワークで構成される EMVCo は、3D セキュアの新バージョンをリリースしました。3D セキュア 2 (EMV 3-D セキュア、3D セキュア 2.0、3DS2 とも呼ばれる) は、3D セキュア 1 の欠点の多くを解消することを目的としており、負荷の低い認証とより優れたユーザー体験を提供します。

フリクションレス認証

3D セキュア 2 により、ビジネスやペイメントプロバイダーは各取引でより多くのデータ要素をカード保有者の銀行に送信することができます。これには、配送先住所などの支払い特有のデータや、顧客のデバイス ID や以前の取引履歴などのコンテキストデータが含まれます。

カード保有者の銀行はこれらの情報を使用して取引のリスクレベルを評価し、適切な対応を選択できます。

• カード保有者本人が実際に購入していることを銀行が信用するのに十分なデータであれば、取引は「フリクションレス」フローで行われ、カード所有者からの追加入力なしに認証が完了します。

• 銀行が、さらに証拠が必要であると判断した場合、取引は「チャレンジ」フローに送られ、顧客は支払いを認証するために追加の入力を求められます。

3D セキュア 1 でもリスクベースの認証に限定的に対応していましたが、3D セキュア 2 ではさらに多くの情報を共有することで、顧客に追加入力を要求せずに、認証できる取引数を増やすことができます。

取引がフリクションレスフローを進んだとしても、ビジネスはチャレンジフローを通過する取引と同じライアビリティシフトのメリットが得られます。

より良いユーザー体験

3D セキュア 1 と違い、3D セキュア 2 はスマートフォンの台頭後に設計されており、銀行が自社のモバイルバンキングアプリを通して革新的な認証体験を提供することがより簡単になります (「帯域外認証」と呼ばれることもあります)。カード所有者は、パスワードを入力したりショートメッセージを受信したりする代わりに指紋や顔認識を使用して、バンキングアプリから支払いの認証を受けることができます。3D セキュア 2 でのよりスムーズな認証体験に、多くの銀行が対応することが期待されます。

ユーザー体験に対する改善点がもう 1 つあります。3D セキュア 2 は、ウェブおよびモバイル決済フロー内にチャレンジフローを直接埋め込むことができます。ページ全体をリダイレクトする必要はありません。顧客が企業のサイトや ウェブページで認証を受ける場合、3D セキュアのメッセージが決済ページ (ブラウザーフロー) のモーダルにデフォルトで表示されます。

アプリを構築している場合、3D セキュア 2 用に構築されたモバイル SDK を使用すると、「アプリ内」の認証フローを構築でき、ブラウザーでのリダイレクトを避けることができます。

3D セキュア 2 と強力な顧客認証

強力な顧客認証 (SCA) の施行により、ヨーロッパでビジネスを行う企業にとって、3D セキュア 2 がますます重要になりました。この規制では、ヨーロッパの決済により多くの認証を適用することが求められるため、3D セキュア 2 のユーザー体験の改善により、コンバージョン率の低下を防ぐことができます。

3D セキュア 2 プロトコル自体でも、Stripe のようなペイメントプロバイダーは SCA の免除をリクエストし、低リスクの支払いの認証を省略することができます。SCA を必要とする支払いは、「チャレンジ」フローを経る必要がありますが、SCA から免除を受けられる取引は、「フリクションレス」フローに送られます。ただし、ペイメントプロバイダーが SCA を必要とする支払いに免除をリクエストし、取引が「フリクションレス」フローに送られると、その取引はライアビリティシフトによるメリットを得られなくなることに注意してください。

Stripe が 3D セキュア 2 に対応する方法

Stripe は、Payments API および Checkout で 3D セキュア 2 のブラウザーフローに対応しているため、お客様は 3D セキュアを高リスクの支払いに動的に適用し、ビジネスを不正使用から保護することができます。Stripe は、カード保有者の銀行が 3D セキュア 2 に対応している場合はこれを適用し、まだ新しいバージョンに対応していない場合は 3D セキュア 1 を使用します。

モバイルアプリケーションを構築する場合、iOS SDK および Android SDK でアプリ内の認証フローを構築して「ネイティブ」の認証体験を提供すれば、顧客をアプリケーション外にリダイレクトする必要がなくなります。カード保有者の銀行がまだ 3D セキュア 2 に対応していない場合でも、Stripe のモバイル SDK は、アプリケーション内に埋め込まれた WebView で動的に 3D セキュア 1 を使用します。

Payments API、モバイル SDK、Stripe Checkout の詳細について確認し、3D セキュア 2 を使い始めましょう。