ソフトバンクとヤフーの共同出資会社であるPayPayは1月21日、スマホ決済サービス「PayPay」が本人認証サービス「3Dセキュア」に対応したと発表した。

  • PayPayでクレジットカードを表示したときの本人認証サービス未設定時(左)と、本人認証サービス設定済時(右)の違い

3Dセキュアは、事前にクレジットカード会社に登録したパスワードなどを、カード利用時に入力して本人認証を行い、カードの不正利用やなりすましを防ぐ仕組み。たとえばVisaでは「Verified by Visa」、JCBでは「J/Secure」といった名称で、各クレジットカード会社が利用を推奨している。

今回の3Dセキュア対応により、PayPayに本人認証サービス対応のクレジットカードを登録しているユーザーは、1月21日からPayPayの設定画面で本人認証ができるようになる。また、新しく対応クレジットカードを新規登録する場合は、「クレジットカード番号」「有効期限」「セキュリティコード」の入力後に、各クレジットカード会社の認証ページに遷移。この認証ページでパスワードなどを入力すると、クレジットカードの本人認証が完了する。

3Dセキュアを利用するには、事前にカード発行会社でパスワードなどを登録する必要がある。なお、PayPayの本人認証は一度完了すると、以降はパスワードなどを入力することなく支払いが行える。

本人認証後はPayPayのクレジットカード利用時の上限金額が、過去30日間で25万円に引き上げられる。これまでは過去24時間で2万円、過去30日間で5万円だった。本人認証を行わなかった場合も支払い自体は行えるが、上限金額は従来通りになる。上限金額は今後変更になる可能性があるという。銀行口座からチャージしたPayPay残高や、Yahoo!マネーで支払う場合は、クレジットカードの上限金額は適用されない。

PayPayが3Dセキュアを導入した背景には、PayPay利用時の本人確認に不備があったことが挙げられる。PayPayは2018年12月4日から約9日間、PayPayで支払うと支払い額の20%がポイントバック(PayPayボーナス)還元される「100億円あげちゃうキャンペーン」を実施した。実質的に2割引きで商品を購入できるとあって好評を博したが、キャンペーン終了後にクレジットカードの不正利用被害が発生した。

  • 量販店に掲出されていた「100億円あげちゃうキャンペーン」終了のお知らせ。還元金額が(キャンペーン全体で)100億円になったところで終了した

キャンペーン当時、PayPayには本人確認の方法がなく、クレジットカード情報を登録するときの入力回数の上限や、利用金額の上限もなかった。このため、不正に入手されたクレジットカード情報がPayPayに登録され使われるという事案が複数発生し、「PayPayで身に覚えのない支払いが行われた」という声が上がっていた。

同社は「悪意ある第三者が外部で入手したクレジットカード情報をPayPayに入力し不正利用した」と結論付け、2018年12月18日にクレジットカード情報の入力回数に上限を設けたほか、12月27日に不正利用被害者への返金を発表した。このとき、3Dセキュアの導入も予告していた。