目次はじめにEC事業者に求められるセキュリティ対策EMV 3-Dセキュアとは3Dセキュア1.0との違いは?1. 認証方式の種類2. 認証が実施される条件3. モバイル対応の有無4. 非決済分野への対応の有無EC事業者側の対応例(弊社での開発事例より)Stripeとは?料金体系について実装方法についてまとめはじめにEC 加盟店におけるクレジットカードの不正利用被害が増加している現状を踏まえ、経済産業省の提供するクレジットカード・セキュリティガイドライン【4.0版】が改訂されました。これにより2025年3月末までに、原則、全ての EC 加盟店に本人認証として EMV 3-Dセキュアの導入が義務化されることになりました。本記事では、今後EC事業者に求められるセキュリティ対策と、導入が義務付けられたEMV 3-Dセキュアとは実際なんなのか、EC事業者が具体的にEMV3_Dセキュアを導入する場合どのような方法があるのか、弊社で対応した開発事例をご紹介しながら解説します。EC事業者に求められるセキュリティ対策ではまず今回の発表でEC業者に求められるセキュリティ対策について確認していきたいと思います。EC 加盟店における非対面不正利用対策の具体的方策として挙げられているのは以下の4つです。すべてのEC事業者は、2025年3月末までに、本人認証(EMV 3-Dセキュア)を導入していない場合は、現状の不正利用対策に加えて本人認証(EMV 3-Dセキュア)の導入を計画的に進める必要があります。さらに、不正顕在化加盟店(※)は、「クレジットカード・セキュリティガイドライン」に記載されている4方策のうち、2方策以上の対応を早期に行う必要があるとされています。EMV 3-Dセキュアとは?次に導入が義務付けられたEMV 3-Dセキュアとはどんなものなのかをみていきたいと思います。EMV 3-Dセキュアとは3Dセキュア2.0とも呼ばれ、カード利用者の決済情報などを基に、カード会社がリスクの高さに応じて取引時にワンタイムパスワードなどの追加認証を実施するサービスです。3Dセキュア1.0との違いは?3Dセキュア1.0と2.0の違いは、主に4つあります。1.認証方式の種類登録済みのパスワードを入力する必要があった1.0に対し、2.0では生体認証やワンタイムパスワード、QRコードスキャンによる認証が追加されました。2.認証が実施される条件認証は必ず行われる訳ではなく、カード会社の判断で不正利用のおそれがある場合のみに認証が実施されるようになりました。3.モバイル対応の有無今までブラウザ取引のみの対応だったのが、2.0ではモバイルアプリにも対応ができるようになりました。4.非決済認証の対応有無加盟店アプリ内の認証プロセスを決済プロセスと別々に行うことができるようになりました。従来提供されていた3Dセキュア1.0では、認証画面は購入する際にポップアップウインドウまたはインラインフレームとして決済する際に必ず表示されていました。見慣れないポップアップウインドウはユーザーに不信感を抱かせ、EC事業者で「かご落ち」と呼ばれる、カートに商品を入れた後に離脱してしまう原因となっていました。EMV 3-Dセキュアの導入はそういったカゴ落ちの削減とユーザー体験の向上にも繋がっています。EC事業者側の対応例(弊社での開発事例より)ではEC事業者に求められるセキュリティ対策が分かったとこで、EC事業者は具体的にEMV 3-Dセキュアをどのように取り入れていけばいいのでしょうか。基本的には、決済サービスがEMV 3-Dセキュアに対応していればそれを有効にして終了です。例えば既にECサイトを運営している場合はサイトで使用している決済プロバイダーがEMV 3-Dセキュアをサポートしているか確認する必要があるでしょう。EMV 3-Dセキュアに対応したサービスではない場合や、新たに決済サービスを利用したサイトを構築する場合は、EMV 3-Dセキュアに対応したサービスを選ぶ必要があります。今回はEMV 3-Dセキュアに対応した決済サービス、であるStripeを利用した開発事例を紹介したいと思います。この時開発したものはモバイルアプリで、一般的なECサイト同様、利用者が商品をカートに入れてクレジットカードで決算を行うサービスです。Stripeとは?https://stripe.com/jp Stripeは、オンラインで支払いを受け付け、入金を行うといったサービスを構築するために必要な、あらゆる機能が統合された決済ソリューションです。本社はアメリカのサンフランシスコにあり、国内ではストライプジャパン株式会社として日本法人も設立されています。Spriteを選んだ大きな理由としては、44ヵ国で100万を超える様々な企業で利用されている世界最大級の決済インフラで、決済がスムーズで使い勝手の良いためです。また、先述のようにEMV 3-Dセキュアにも対応しています。料金体系についてセキュアな環境が整うとして、気になるのは料金ですが、Stripeは使った分だけの非常にシンプルな料金体系です。成功した国内カードの支払い取引ごとに3.6%の取引手数料が発生します。初期費用は無料で月額費、または追加手数料等もありません。ただし、何らかのトラブルで代金の全額や一部を返金する場合、決済手数料は返金されませんのでこの点だけ注意が必要です。実装方法について実装の際はPayments API および Checkout という機能を使って実装を行っていきます。ただCheckoutはあくまで決済フォームを提供するサービスのため、EMV 3-Dセキュアのメイン部分はPayments APIのPaymentIntentsを使った実装になってきます。PaymentIntent (支払いインテント) および SetupIntent (支払い方法設定インテント) は、ステータスを追跡することで、EMV 3-Dセキュアのアプリケーション外部で発生する顧客とのやり取りをシンプルに管理することが出来ます。今回は具体的な実装方法については触れませんが、以下のドキュメントで確認することも出来ます。https://stripe.com/docs/payments/payment-intents 対応内容を理解して安全な取引をサポートしていきましょう今回はEMV 3-Dセキュアの基礎から弊社での導入事例までを紹介していきました。2025年3月末までとなるとあまり時間は無いように感じますが、実装自体はあまり難しいものではありません。既に決済サービスとしてStripeを使っているという方も多いと思いますので、是非この記事が参考になれば幸いです。またEMV 3-Dセキュアに対応したシステム開発について、信頼できるパートナーをお探しの方は、ぜひグッドローカルへお問い合わせください。