お問い合わせ ログイン
お問い合わせ ログイン

タグ: 3DS

日本のEMV 3-Dセキュア義務化:施行から1年

22 seconds read
Forter Team on 3DS

2025年4月1日、日本のEMV 3-Dセキュア(以下3-Dセキュア)義務化が施行されました。導入からのこの1年間で、その影響は決済業界全体に広く及んでいます。

本記事では、義務化から1年が経過した時点で、取引、顧客体験上の摩擦、そして不正がどのような状況にあるのかを考察します。あわせて、日本における3-Dセキュアの新たな現実の中で、加盟店が課題と機会の双方にどう備えるべきかも探ります。

日本の3-Dセキュア義務化

不正利用の増加を受けて、日本の経済産業省と日本クレジット協会(JCA)は、日本で処理されるECクレジットカード取引において 3-Dセキュア を必須化しました。

この義務化は国内取引と越境取引の両方に適用され、原則として全てのEC加盟店が2025年3月末までに3-Dセキュアを導入することが求められました。また、生体認証やワンタイムパスワードのような動的認証への移行環境を整備し、3-Dセキュアに登録済みの会員が静的(固定)パスワード以外の認証方法へ100%移行することが目標として掲げられました。

また、カード発行会社(イシュアー)がカード会員に対して3-Dセキュアへの登録を積極的に促進することも求められました。この取り組みにより、2025年3月末時点においてEC利用会員ベースで80%が3-Dセキュアに登録済みとなることが目指されていました。

日本の加盟店とカード発行会社は、この移行を成功させるために大きな努力を重ねました。では今、その義務化はどのような影響をもたらしたのでしょうか。

3-Dセキュアの適用除外

その影響を理解するうえで重要なのは、日本の3-Dセキュア義務化が、すべての取引に対して一律に3-Dセキュア適用を求めているわけではないという点です。JCAによる新ガイダンス によれば、特定のカード種別、デバイス、決済手段には適用除外があります。

また、加盟店は3-Dセキュア義務化の中にある一定の制限や柔軟性も活用できます。クレジット取引セキュリティ対策協議会のガイドラインでは、3-Dセキュア運用として3パターンが定められています。パターン①:加盟店独自のリスク判断で必要な場合のみ認証を行う、パターン②カード登録時に認証を行う、パターン③:決済の都度認証を行う、の3つです。

    Forterのようなソリューションを活用すれば、全ての取引に一律で3-Dセキュアを適用するのではなく、  低リスクと判断された優良なお客様には「フリクションレス(追加認証なし)」な決済を提供可能になります。

不正は依然として増加

経済産業省とJCAが3-Dセキュア義務化を導入した背景には、オンライン不正の増加がありました。Forterのデータによれば、盗難クレジットカード不正(3-Dセキュアが主に防ぐことを目的としている不正タイプ)は、不正リスク全体に占める割合で見ると、2025年5月から2025年11月の間に約40%低下し、その後もおおむねその低水準を維持しています。これは大きな成果です。

しかし同時に、Forterのデータでは、アカウント乗っ取り攻撃が導入前と比べて2025年10月までに2倍に増加し、その後も高止まりしていることが示されています。

また2025年には、オンラインバンキング不正も急増しました。特に企業では損失が大幅に増え、前年の4倍超に達しました。報告された偽サイトの件数も大きく増加しています。

日本での3-Dセキュア導入は、他国でも見られたおなじみのパターンをたどっているように見えます。

つまり、盗難クレジットカード不正への圧力は弱まった一方で、不正そのものが消えたのではなく、別の領域へ移動しているのです。

不正は風船の中の空気のようなもの

オンライン不正に関する「風船の説明」は、3-Dセキュア導入と不正の関係をよく表しています。要するに、不正は風船の中の空気のようなものです。風船の一部を押して、第三者によるクレジットカード不正をやりにくくすると、その空気は風船の別の部分へ移動します。

不正者は3-Dセキュアへの対応として、ソーシャルエンジニアリング、フィッシング、アカウント乗っ取りなどへ軸足を移しています。もちろん、中には3-Dセキュアをかいくぐる、より高度な第三者クレジットカード不正の手口を見つける者もいます。これは、PSD2施行時の欧州 で多くの加盟店が報告した状況と似ています。

加盟店にとって重要なのは、3-Dセキュアが自社ビジネスに与える影響を理解する際、それを単なる決済分析の問題として捉えないことです。アカウント乗っ取りのように3-Dセキュアでは対抗できない不正形態にも同様に目を向け、自社と顧客を保護することが欠かせません。

日本における加盟店への3-Dセキュア影響

欧州のPSD2と同様に、日本でも3-Dセキュアは取引完了率率に大きな影響を与えています。

  • 3-Dセキュアを使わない取引の完了率は約94%
  • 導入後およそ最初の6か月間で、3-Dセキュアを利用した取引の完了率は約75%

この一部は不正防止によるものだとしても、これほど大きな差は3-Dセキュアを広くかけすぎた加盟店にとって、日本では3-Dセキュアがコンバージョンキラーとして機能していることを示唆しています。

94%と75%の差は、加盟店売上に対する大きな打撃です。実質的には、顧客が使おうとして来訪した金額のうち、5円ごとに約1円を失っているのと同じです。

さらに、カード会社によって3-Dセキュアの捉え方や対応方針が異なるため、そのニュアンスを理解し活用できていない加盟店は、イシュアーの過度な警戒によって優良な取引を逃し続けています。

日本の加盟店は痛みを感じている

この1年、Forterは現場の加盟店から3-Dセキュアの影響に関する切実な声を聞いてきました。当初は全トラフィックに3-Dセキュアを導入しようとしたものの、コンバージョンの低下と真正阻害の増加に直面し、より良い代替案を探し始めるケースが一般的です。

  • 航空会社:不正者が3-Dセキュア認証を突破する術を学び、認証済み取引であってもチャージバックが増加。イシュアーからさらなる対策を迫られた。
  • 大手鉄道チケット販売プラットフォーム:全取引を3-Dセキュアに通しても巧妙な不正を許してしまい、3-Dセキュアに加えてより高精度な不正コントロールを模索。
  • 大手スポーツウェアブランド:ルールベースのツール、部分的な3-Dセキュア、目視審査を併用したが、毎日「疑わしい」3-Dセキュアトラフィックをチェックするスタッフの精神的負担とモチベーション低下が深刻化した。
  • ホビー系EC小売:アクワイアラ(加盟店契約会社)からの「疑わしい取引」の問い合わせ対応による手動審査が常態化し、規模の拡大に支障が出た。
  • 大手メディア・小売グループ:人気商品に一律で3-Dセキュアを適用すると、カゴ落ちによる損失額が数千万円に達する。
  • 大手ふるさと納税サイト:全取引に3-Dセキュアを導入した結果、決済成功率が約17〜18%低下した。

加盟店が知っておくべきこと

こうした結果は問題のように聞こえるかもしれません。しかし、これは単なる課題ではなく機会でもあります。そう捉えて取り組む加盟店は、顧客摩擦を最小化しながら、不正と責任の双方を抑えることができます。

このことは、Forterが日本の加盟店に対して、繊細でありながら実効性の高いアプローチで3-Dセキュア支援を行い、成果を上げていることからも示されています。

Forterを利用している日本の加盟店は、平均するとトラフィックのわずか2%にしか3-Dセキュアを適用しておらず、3-Dセキュアによる摩擦の影響を大幅に抑えています。

しかも3-Dセキュアを使うときは、本来であればブロックしてしまうような取引を救う目的で活用しています。

3-Dセキュアへの賢いアプローチ

3-Dセキュアは歴史的に加盟店から評判が良くありませんでした。高い摩擦と誤判定を顧客にもたらすと見なされていたからです。しかし、EMV 3-Dセキュア 2.0の導入によって、その状況は大きく変わりました。

さらに近いうちに、EMV 3-Dセキュア 2.3 によってこの流れはさらに強まるはずです。最新版では、加盟店がフローの一部としてより多くのデータを送信できるようになります。これにより取引への信頼度が高まり、承認率の向上や摩擦の低減が期待されます。

Forterを使えば、日本の加盟店は3-Dセキュアが不要な取引では3-Dセキュアを回避し、本来なら拒否されるようなボーダーライン取引にだけ3-Dセキュアを使うことができます。考え方はシンプルです。

  • 不正取引:決済承認前に検知してブロックします。3-Dセキュアが起動することはないため、カード会社側に「この店の3-Dセキュア取引はリスクが高い」と思われることもありません。
  • 低リスクな正常取引:Forterのグローバルなアイデンティティ・ネットワークにより信頼性が担保されるため、3-Dセキュアなしでスムーズに決済されます。
  • 境界線上の取引:3-Dセキュアへ送ります。認証をパスすれば、それは正当な取引である強い証拠となり、加盟店はイシュアーへ責任を移転(ライアビリティ・シフト)できます。

Forterとともにスマートな3-Dセキュアアプローチを採用した日本の加盟店は、この「いいとこ取り」のソリューションに非常に高い満足を示しています。これにより、完全なコンプライアンスを維持し、実務上適切な場面では責任移転を行い、従来なら拒否していた一部取引を取り戻しつつ、コンバージョン率の低下も回避できるからです。

不正対策への注力を維持する

3-Dセキュアは決済とコンバージョンに大きな注目を集めます。それは確かに重要です。しかし同時に、その強い注目が不正対策への取り組みを弱めてしまわないようにすることが重要です。

3-Dセキュア義務化は日本の不正環境を変えました。したがって不正対策チームは、アカウント作成からログイン、購入後まで、決済ジャーニー全体をカバーしていることを確認し、新たに現れた圧力から自社を守らなければなりません。

3-Dセキュアは定着した。だからこそ、自社に有利に機能させるべきだ

施行から1年が経ち、日本の3-Dセキュア義務化がECを変えたことは明らかです。第三者による盗難カード不正は減少しました。アカウント乗っ取り攻撃は増加しました。コンバージョン率を巡る課題は大きくなりました。

新たな環境で成功を収めるためには、3-Dセキュアを単なる「一律の強制手段」としてではなく、ビジネスに最大の利益をもたらすよう巧みに使いこなす「洗練された戦略ツール」として捉える必要があります。専門家によるサポートが必要でしたら、ぜひForterまでお気軽にご相談ください。

*** 本コンテンツは2026年5月14日に公開された “Japan’s 3DS Mandate: One Year In”を翻訳し加筆・修正したものです。