ECサイトのクレジットカードの不正利用を防止する「EMV3-Dセキュア(3Dセキュア2.0)」は2025年3月末までに導入することが義務付けられているが、まだまだ多くのEC事業者が対応していない状況だ。3Dセキュア2.0を導入することでコンバージョン(転換)率の低下を懸念している事業者が多いようだ。しかし、早期対応した、女性のライフステージ変化を支援するベルタの武川克己社長は、「思ったよりもコンバージョンに影響は出ていない」と語る。それよりも、早期対応することで顧客との信頼関係の構築につながっていると見ている。さらに、3Dセキュア2.0対応の前線にいる決済代行会社のペイジェント 営業部 営業推進ユニット アライアンスグループ グループリーダー 笠井雄輝氏や、リピスト 執行役員 岸田隆氏は、ギリギリに対応することへの懸念点もあるという。3Dセキュア2.0への対応状況や早期対応のメリット、ギリギリ対応のリスクなどについて、3者に話を聞いた。
――改めてEMV3-Dセキュア(3Dセキュア2.0)とは?
笠井:3Dセキュアはクレジットカードの国際ブランドが行っている本人認証の仕組み。旧バージョンの3Dセキュア1.0では、利用者の100%が本人認証の際にカード会社に登録しているID、パスワードを入力する手続きフローになっていた。そこで課題となったのが、IDやパスワードを忘れた利用者がカゴ落ちしやすいという点だった。認証することによる不正の抑制にはつながっていたが、カゴ落ちの懸念からEC事業者になかなか導入が進まなかった。
そうした課題を受け、バージョンアップした3Dセキュア2.0が登場した。カゴ落ちを極力抑えつつ、本人認証をする仕組みだ。3Dセキュア2.0では利用者全員にIDやパスワードを入力させるのではなく、カード発行会社が定めた基準に応じて一部のユーザーのみに認証を行うリスクベース認証(チャレンジフロー)を行う。国際ブランドはリスクベース認証が発生する割合を1割ぐらいに抑えることを推奨しているが、それはカード会社などによって多少ばらつきはあるようだ。
▲ペイジェント 営業部 営業推進ユニット アライアンスグループ グループリーダー 笠井雄輝氏
――3Dセキュア2.0義務化の経緯は?
笠井:経済産業省やカード会社、決済代行会社、セキュリティ会社などで形成されたワーキンググループにて、セキュリティに関する啓もう活動などを実施してきた。しかし、クレジットカードの不正利用は増加を続けており、2023年は過去最高の541億円となった。
そのため安全・安心にカードを利用できる環境を作ることが急務であり、3Dセキュア2.0への対応を義務化することになった。
――来年3月までの対応が義務化されたが、対応しない事業者に罰則はあるのか?
笠井:罰則はないが、導入をしない状態だと加盟店契約が締結できなくなる可能性が高い。つまりクレジットカード決済が利用できなくなる。
――3Dセキュア2.0に対応するための手間やコストは?
笠井:決済代行会社側の費用については営業担当から提示する。申し込みをいただければ、システム設定を当社側で行う。岸田:当社のカート「リピスト」や「リピストX」では3Dセキュア2.0に対応しているので、カート会社側としてもお申込みいただければ、すぐに対応できるようになっている。費用もかからない。
――3Dセキュア2.0の対応は進んでいるか?
岸田:まだ導入が進んでいないのが現状だ。全体の8.6%(8月22日時点)しか対応していない。やはりカゴ落ちが増えることを懸念している事業者が多い。チャレンジフローの出現率などが不透明な部分も対応が遅れている要因になっていると思う。
来年3月までに対応しないといけないというのは分かっていても、ギリギリまで対応したくないと考えている事業者が多い。
――ベルタはすでに3Dセキュア2.0に対応しているが、早期対応した理由や対応後の影響は?
武川:セキュリティについては社内でも重点的な取り組みとして議論を進めていた。セキュリティポリシーを設けており、法令や義務化されたルールについては社内で議論しながら早めに対応していく方針でいる。
実際導入してみてコンバージョンにどのくらい影響しているかというと、感覚値だが、思ったより大きくは影響していないと見ている。
それよりも、チャレンジフローが発生することにより、衝動買いが減るのではないかと考えており、強めの広告で煽って集客している事業者は大きな影響が出るかもしれない。
当社としては衝動買いを望んでおらず、しっかりと理解し納得して商品を購入してもらうことを意識している。そういったお客さまへの影響はほとんどなく、全体で見てもLTVは高くなってくるのではないかという考えだ。
▲ベルタ 代表取締役社長 武川克己氏
――早期対応するメリットはあるのか?
武川:今回、「BELTA」のサイト上やプレスリリースで、3Dセキュア2.0を導入することに加えて、セキュリティへの姿勢を改めて伝えることができた。セキュリティポリシーは社内向けのものだったが、それを社外やお客さまに伝える良いきっかけにもなったと思う。
社内的にも3Dセキュア2.0の導入について議論することで、自分たちの事業活動を見直す良いきっかけにもなった。法改正や社会情勢の変化は今後も生じることだと思うので、その流れの中で自分たちがどう最適化していくかを考えることは、常に必要なことだと考えている。
――義務化の期限ギリギリで対応するリスクは?
岸田:余裕をもって計画的に対応した方が、事業リスクも抑えられると思う。3Dセキュア2.0導入によって、これまでの広告訴求が合わなくなる可能性がある。ギリギリに対応すると、急に顧客獲得が落ちた場合、慌てて策を練っても思うように回復できず、損失が大きくなるかもしれない。
▲リピスト 執行役員 岸田隆氏
笠井:3Dセキュア2.0への対応は、不正利用のリスクを減らそうという取り組みなので、未対応の状態が長くなると、不正利用のリスクにさらされ続けているということにもなる。
不正利用が発生するとEC事業者側もチャージバックにより、商品は発送しているが、売り上げが取り消され、損失を被ることになる。
さらに、現段階だと申し込みから比較的すぐに対応できると思うが、駆け込みでの対応になると、申し込みが殺到し、対応まで時間を要する可能性もある。
岸田:当社や他社でも多くのSaaSのカートはすでに、3Dセキュア2.0に対応しているため、事業者が申し込んでから比較的スムーズに対応できると思う。
ただ、SaaSではないシステムで対応する際に、時間がかかったり、費用が生じたりするケースがあると思う。ギリギリの対応になると、その時間やコストが上がる可能性もあるだろう。その点は早めに確認した方がいいと思う。
――未対応のEC事業者へ思うことは?
武川:EC業界全体としても3Dセキュア2.0への対応は早めに進んでいった方がいいと思う。EC業界としても全体のセキュリティの基準が上がるのは良いことだ。多くの事業者が対応を済ませることで、ユーザーも早く3Dセキュア2.0に慣れるだろう。
事業の健全化としても、持続可能な事業展開としても必要な仕組みだと考えている。短期的な利益を追うのではなく、長期的な目線でブランドの価値を考えれば、事業者として早期対応するのが合理的な判断だと思う。
■「BELTA」の情報セキュリティにおける取り組みはこちら
https://belta.co.jp/security/
