ネットショッピングで決済しようとしたとき、急にパスワードやワンタイムパスワードの入力画面が出てきて戸惑った、という経験はありませんか?あれが「3Dセキュア」の認証画面です。
『ゴイノワ』のナギです。この言葉、VISAや楽天カードのサイトでも見かけるし、なんとなくセキュリティ系の言葉だとは分かる。でも、「3D」って何が3次元なの?と一瞬止まる方も多いと思います。
今回はその「3D」の意味から、実際どういう仕組みで動いているのかまで、順にほどいてみます。
「3D」は立体ではなく3つの領域のこと
まず名前の話から。3Dセキュアの「3D」は「Three Domain(スリー・ドメイン)」の略で、立体とは全然関係ありません。
この「3つの領域」というのは、①カード発行会社(イシュア)、②国際カードブランド(VISAやMastercardなど)、③加盟店・ECサイト側(アクワイアラ)を指しています。この3者が連携して本人確認を行う仕組みだから、3Dセキュアと呼ばれているんですね。
ひとことで言えば、ネット上でクレジットカードを使うとき、カード会社が「本人かどうか」を確認する認証サービスです。
どうして認証が必要なの?
実店舗でのカード払いなら、カード現物と暗証番号で本人確認できます。でもオンライン決済は、カード番号と有効期限さえあれば誰でも使えてしまう状態になりがちで、それが不正利用につながりやすい。
3Dセキュアは、そこに「本人しか知らない情報」を追加するための仕組みです。カード情報の入力だけでは終わらせず、パスワードやワンタイムパスワードで本人確認を重ねることで、第三者のなりすましによる決済を防ぎます。
ナギカード番号だけじゃダメな理由、ここにあったんですね
1.0と2.0、何が変わったの?
3Dセキュアには「1.0」と「2.0(EMV 3Dセキュア)」という2つのバージョンがあります。
| 項目 | 3Dセキュア1.0 | 3Dセキュア2.0 |
|---|---|---|
| 認証方式 | 専用パスワードのみ | リスクベース認証+ワンタイムパスワード |
| スマホアプリ対応 | 非対応 | 対応 |
| 認証の手間 | 毎回パスワード入力 | リスクが低い場合は省略可 |
| 不正時の補償 | なし | あり(チャージバック) |
1.0では、事前に設定した専用パスワードを毎回入力する方式でした。セキュリティは強化できる反面、入力の手間でカート離脱が増えるという課題もあったんですよね。
2.0で大きく変わったのは「リスクベース認証」の導入です。購入履歴、使っているデバイス、配送先などをリアルタイムで分析して、リスクが低いと判断された取引は追加認証をスキップできるようになりました。普段通りの使い方なら認証画面が出ないことも増えた、という感覚に近いです。
VISAで見かける「Visa Secure」との関係
ネットショッピング中に「Visa Secure」というロゴや文字を見かけることがありますが、これはVISAブランドが3Dセキュアを使った本人認証サービスに付けている名称です。
Mastercardなら「Mastercard Identity Check」、JCBなら「J/Secure」というように、各ブランドが独自の名称を付けていますが、どれも3Dセキュア(EMV 3-Dセキュア)の仕組みを使っている点では同じです。名前が違うので別のサービスに見えますが、根っこにある認証の仕組みは共通だと理解しておくと迷いにくいです。
認証に失敗するのはなぜ?
「3Dセキュア認証に失敗しました」と表示されてパニックになった、という声もよく聞きます。わたし自身、初めて見たときはカードが止まったのかと焦りました。
多い原因は次のあたりです。
- そもそも3Dセキュアへの登録が済んでいない
- カードが3Dセキュアに対応していない
- パスワードや個人情報の入力ミス
- 不正利用の疑いでカード会社側がブロック
最初の確認ポイントは「登録がそもそも完了しているか」です。カード会社の会員ページにログインして、本人認証サービスの設定画面を一度確認してみるのが手っ取り早いです。
2025年から義務化されたってどういうこと?
2025年3月末を目処に、クレジットカードを扱う全ECサイトへの3Dセキュア2.0の導入が、業界ガイドラインとして原則必須とされました。これはカード会社・国際ブランドが主導するセキュリティガイドラインによるもので、ネットショッピングでの不正利用を業界全体で減らす目的があります。
利用者の立場では「なぜ最近ネット決済で認証が増えたの?」と感じている方もいると思います。義務化の流れが進んだことで、3Dセキュア2.0に対応するECサイトが増えた結果、認証画面が表示される機会も増えているんですね。
ちなみに、2.0のリスクベース認証が機能していれば、普段の買い物では認証がスキップされる場面も多くなるので、毎回パスワードを求められるわけでもありません。
「本人認証サービス」と呼ばれることもある
カード会社のサイトや登録画面では「本人認証サービス」「ネットショッピング認証サービス」といった名前で案内されていることが多く、「3Dセキュア」という言葉自体が見えないこともあります。
楽天カードなら「本人認証サービス(3Dセキュア)」、三井住友カードなら「ネットショッピング認証サービス(EMV 3-Dセキュア)」というように、表記はカード会社ごとに少しずつ違います。でも、どれも3Dセキュアの話をしているので、設定画面でこうした言葉が出てきたら同じものだと思っておいて大丈夫です。
- 3Dセキュア
-
ネット決済時にカード会社が行う本人認証の仕組み。3つの領域(カード会社・国際ブランド・加盟店)が連携する
3Dセキュアを知っておくと何が変わるか
3Dセキュアは、ネット決済の「本人確認の仕組み」です。名前の「3D」は立体ではなく3つの領域を指し、カード会社・国際ブランド・加盟店が連携して認証を行います。バージョンが1.0から2.0へ進化し、毎回パスワードを求めるのではなく、リスクに応じて認証の有無を判断するようになっています。
VISAの「Visa Secure」やJCBの「J/Secure」も、名称は違いますがどれも同じ3Dセキュアの仕組みです。カード会社によって表記が変わるので混乱しやすいですが、「ネット決済で本人確認を重ねる仕組み」だと覚えておけば、どの画面でも迷わなくなります。
認証に失敗したときは焦らず、まずカード会社の会員ページで本人認証サービスの設定が完了しているかを確認してみてください。そこがスタート地点です。
