日本で3DS認証が義務化、オンライン決済のアップグレードが必要です
最近、みなさんのEC独立系サイトで、クレジットカード決済の失敗率が大幅に上昇していませんか?
昨年2024年3月、日本の「クレジットカードセキュリティガイドライン第6.0版」が発表され、すべてのオンライン事業者に対し、2025年3月末までにEMV 3-D Secure(3DS 2.0)認証の導入が義務付けられました。
この政策は経済産業省(METI)が主導し、急増するオンラインカード詐欺への対策が目的です。
本日(2025年6月13日)時点で、猶予期間は終了しており、アップグレードを行っていない独立系サイトは、取引失敗、顧客離れ、さらにはアカウント停止のリスクに直面しています。
したがって、お使いの決済システムがアップグレードされていない場合、失敗率が大幅に上昇するのは必然です。
一、日本が3DS 2.0を義務化した理由
詐欺被害の年々の増加
2023年の日本における非対面取引(CNP)詐欺被害額は5410億円に達し、前年比で23.9%急増しました。偽造実物カード犯罪は、オンライン決済の脆弱性へと移行しています。
従来の3DS 1.0は、認証プロセスが煩雑(強制的なパスワード入力など)なため買い物カゴ放棄率を上昇させ、かつセキュリティ面でも不十分だったことから、2022年10月に国際カードブランドによるサポートが終了しました。グローバルな潮流との政策整合
欧州のPSD2/SCA(Strong Customer Authentication)規制と同様に、日本のこの措置は詐欺率を40〜60%低下させるとともに、責任移転メカニズムを通じて詐欺取引の責任を加盟店から発行会社へ移行させます。
二、3DS 2.0の中核となるアップグレードは「リスクベース認証」
フリクションレスフロー (Frictionless Flow):
低リスク取引(例:常用デバイス/場所からの決済)は追加認証ステップなしで直接承認されます。チャレンジフロー (Challenge Flow):
高リスク取引では、生体認証、SMS OTPなどの強力な認証がトリガーされ、旧版の固定パスワードに代わります。データ駆動型の判断 (Data-Driven Decision):
デバイス情報、位置情報、取引履歴など100以上のリスクシグナルを活用してリアルタイムに評価し、正当な取引の誤ブロックを減少させます。
効果比較: 欧州の事例では、3DS 2.0により認証時間が1.0の20秒から5秒に短縮され、カゴ放棄率は15%低下しました。
三、独立系サイトが必ず行うべき技術的アップグレード項目リスト(Stripeの場合)
Charges APIおよびOrders APIは いずれも3DS 2.0認証に対応していません。決済失敗を避けるため、これら2つのAPIは廃止し、Payment Intents APIへの移行を早急に完了させる必要があります。Payment Intents APIを使用する場合、顧客に支払い認証を促すためにrequires_actionステータスをアプリケーション内で処理できることを必ず確認してください。