変革の背景

2025年4月から、クレジットカード決済における「3Dセキュア2.0」の導入が本格的に始まりました。この変更は経済産業省の「クレジットカード・セキュリティガイドライン」に基づいており、割賦販売法を根拠とした法的要請です。すべてのEC事業者は対応が必須となります。

日本のクレジットカード不正利用被害は深刻化の一途をたどっています。一般社団法人日本クレジット協会の発表によると、2024年の被害額は過去最多の555.0億円に達し、これは2020年の被害額の2倍以上に相当します。被害の92.5％がインターネット取引における「番号盗用」によるものです。

この危機的状況への対応として、すべてのEC事業者に対して3Dセキュア2.0の導入が義務付けられました。この対応は単なる推奨ではなく、未対応の場合、決済事業者との契約解除という重大な結果にもつながる可能性があります。法的要請に基づく対応であるため、事業規模を問わずすべてのEC事業者において対応が必要です。

3Dセキュア2.0とは

3Dセキュア2.0（EMV 3Dセキュア）は、オンライン決済時の本人確認技術の最新版です。従来版と比較すると、以下の特徴を持ちます：

• リスクベース認証の導入: 取引リスク評価に基づき、低リスク取引では認証を簡略化
• ユーザビリティの向上: ワンタイムパスワード、生体認証などによる迅速な本人確認
• セキュリティレベルの強化: 不正利用防止効果の大幅な向上
• 複数デバイス対応: スマートフォンやタブレットなど様々な環境での最適化

購入者と販売者への影響

この施策はお客様にとって、購入時に認証ステップが追加されることで少し面倒になりますが、カード情報の不正利用防止や、万が一の場合の被害証明が容易になるなどのメリットもあります。

EC事業者にとっては、不正利用の減少やチャージバックの減少というメリットがある一方で、導入初期には購入離脱率が上昇する可能性があります。

EC事業者の3Dセキュア対応

Shopify Paymentsユーザーへの影響

Shopify Paymentsを利用している事業者にとっては、すでにプラットフォーム側で技術的対応が完了しています。

• 標準チェックアウトフローを使用している場合は追加設定不要
• 決済処理パートナーのStripeが全ての決済に対応済み

最大のメリットとして、Shop Payを活用すれば3Dセキュア認証が原則不要になります。これは、Shop Payが:

• 初回登録時の厳格な本人確認
• 取引ごとのSMS認証
• デバイス紐付けによる不正防止

といった多層的セキュリティ対策を実装しており、クレジットカード・セキュリティガイドライン6.0版の例外規定要件を満たしているためです。Shop Payを導入することで、追加認証ステップのないスムーズな購入体験を提供でき、カゴ落ちを大幅に減らすことが可能です。（詳しくはこちら：Shop Payと3Dセキュア認証：なぜ毎回の認証が不要なのか）

ただし、カスタム開発により Stripe の旧API（例：Charges API）と直接連携している場合は、2025年6月30日までに新API（Payment Intentsなど）への移行が必要となります。

その他の決済サービスの対応状況

• PayPal: 旧サービス「ウェブペイメントプラス」は対応していないため、「アドバンストクレジットカード決済サービス」または「スタンダード決済サービス」への移行が必要。移行には再度の加盟店審査が必要
• Stripe: 完全対応済み。ただし、カスタム開発でCharges API、Orders APIを利用しているの場合は最新APIへの移行が必要
• Square: 対応済みで、追加設定は不要

対応戦略のポイント

コンバージョン率への影響を軽減するための施策

• 顧客への事前周知: サイト内、メールマガジン、SNSでの案内
• 認証フローの説明: チェックアウトページに簡潔な説明を表示
• サポート体制の整備: 認証関連のFAQとカスタマーサポート対応の準備
• 購入プロセスの見直し: 認証ステップ以外の簡略化検討

個人情報保護法の観点からの確認事項

• プライバシーポリシーの確認・更新
• 越境ECにおける国外カード会社への情報提供に関する同意取得

免責転換（責任シフト）の活用と重要な注意点

3Dセキュア2.0導入により、不正利用時の責任がカード発行会社側へ移行します。これを「免責転換」または「ライアビリティシフト」と呼びます。しかし、3Dセキュアを導入すれば常に安全というわけではありません。

免責転換の基本的な仕組み

通常、3Dセキュア認証を正しく実施した取引では、不正利用が発生した場合の損失はカード発行会社が負担します。これにより、EC事業者は不正利用による直接的な損失から保護されます。

重要な例外：監視プログラムによる保護の喪失

ただし、不正取引やチャージバックが一定の基準を超えると、3Dセキュアの保護が無効になる場合があります。

Visa監視プログラム（VAMP）- 2025年4月開始

• 監視対象となる条件：
  • 月間1,000件以上のクレーム・不正注文
  • 全取引の1.5%以上がクレーム・不正注文（世界基準）
• 罰金：不正注文1件につき10ドル

アメリカ向け販売事業者への特別な注意（越境ECの場合のみ）

アメリカの顧客に越境ECで販売している事業者は、より厳しい基準が適用されます：

• 月75,000ドル以上の不正注文 かつ 全取引の0.9%以上が不正
• この条件を満たすと、3Dセキュアの保護が即座に失われ、不正損失はすべて事業者負担

この基準は、アメリカの購買者向けに越境ECを行っている事業者のみに適用されます。日本国内のみで販売している事業者には関係ありません。（厳密にはアメリカで発行されたカード対象なので、旅行者による決済に場合には厳しい基準となります）

Mastercard監視プログラム

• チャージバックが月100件以上 + 全取引の1.5%以上で監視対象
• 段階的に罰金が増加（最大200,000ドル）

監視プログラムを避けるための対策

予防が最重要です。以下の対策を組み合わせることが効果的です：

1. 不正検知システムの導入
   • AI/機械学習ベースの不正検知ツール
   • 怪しい取引パターンの自動検出
2. 本人確認の強化
   • 高額取引での追加認証
   • 初回購入時の厳格なチェック
3. 運用面での対策
   • 不審な注文の手動レビュー
   • 配送先確認の徹底
   • カスタマーサポート体制の充実
4. データ分析と継続的改善
   • 不正率・チャージバック率の定期モニタリング
   • 基準値に近づいた場合の早期対応

Shop Payの活用メリット

前述の通り、Shop Payを活用すれば3Dセキュア認証が原則不要になります。これは監視プログラムのリスク軽減にも効果的です：

• 初回登録時の厳格な本人確認により、不正ユーザーの参入を防止
• SMS認証とデバイス紐付けによる多層セキュリティ
• スムーズな購入体験によるカゴ落ち率の改善

義務化対象外の取引

以下の取引は当面の義務化対象外となります：

• 電話・FAX・郵便によるオーダー取引
• 法人契約カードを利用したBtoB取引
• 公共料金、税金、保険料などの支払い

ただし、不正利用の発生状況によっては、これらの取引も将来的に対象となる可能性があります。

まとめ

3Dセキュア2.0の義務化は、EC事業者にとって重要な転換点です。本記事でご紹介したポイントは以下の通りです：

• 2025年4月からの法的要請に基づく全EC事業者への義務化
• 不正利用被害の防止とチャージバック削減効果
• 導入初期の課題を乗り越えるための顧客対応と技術連携のポイント
• 監視プログラムによるリスクと継続的な不正対策の重要性

導入初期には購入フローの変化に伴う課題もありますが、長期的には安全なオンラインショッピング環境の実現につながります。技術的な対応と同時に、顧客への丁寧な説明と導入初期のサポート体制整備が成功のカギとなるでしょう。3Dセキュア2.0は重要なセキュリティ対策ですが、「導入すれば完全に安全」ではありません。継続的な不正対策と監視プログラムへの理解が、長期的な事業運営には不可欠です。

フラッグシップは2024年にShopifyより「Enterprise Partner of the Year」として表彰されており、大規模かつセキュリティレベルも高いECサイト構築を得意としています。3Dセキュア2.0対応を含む安全なECサイト構築のお悩みは、お気軽にご相談ください。

3Dセキュア認証が不要になる場合について、詳しくはこちらの記事をどうぞ。
Shop Payと3Dセキュア認証：なぜ毎回の認証が不要なのか

※本記事の内容は2025年4月時点の情報に基づいています。最新の情報は各決済サービス提供会社にご確認ください。

参考資料

• 経済産業省「クレジットカード・セキュリティガイドライン 6.0版 」（2025年3月公表）
• 経済産業省「割賦販売法（後払分野）に基づく監督の基本方針」
• Shopify Payments
• Stripe 3Dセキュア2 ガイド
• Stripe 3Dセキュア2非対応のAPIに関して
• Square 3Dセキュア導入の義務化への対応に関して
• PayPal EMV-3Dセキュア(3DS 2.0)導入方法