クレジットカードの不正利用防止対策の一環として、経済産業省の検討会は、2025年4月からEMV-3Dセキュア(以下3DS 2.0)を導入することを義務化することを取りまとめ、これに対応してセキュリティ対策義務の実務的指針である「クレジットカード・セキュリティガイドライン」が改訂されました(最新版はこちら)。
これに伴い、ペイパルにおいても皆さまにご利用いただくサービスについて3DS 2.0の導入を順次行っています。ペイパルのクレジットカード決済サービスを導入している 加盟店様は、最新の「クレジットカード・セキュリティガイドライン」に沿って3DS 2.0導入および実装テストのご対応をお願いいたします。
対応方法について
現在すでにペイパルのクレジットカード決済サービスをご利用中の加盟店様は以下の対応が必要です。
最新のアドバンストクレジットカード決済サービスをご利用の場合
アドバンストクレジットカード決済サービスを導入している場合は、3DS 2.0のカード認証を処理できるようシステムの更新をお願いいたします。詳しくはこちら(英語)をご参照ください。また3DS 2.0の導入が完了しているか確認するため、実装テストを行うことを推奨します。
ウェブペイメントプラスをご利用の場合
ウェブペイメントプラス(英語)は旧サービスのため3DS 2.0に対応していません。このため、可能な限り速やかに最新のペイパルのサービス(アドバンストクレジットカード決済サービス(英語)やスタンダード決済サービス(英語)等)への移行をお願いいたします。
その他ペイパルのサービスについてはペイパルの開発者向けサイト(英語)をご参照ください。
3DS 2.0運用方法について
最新の「クレジットカード・セキュリティガイドライン」には、セキュリティ対策状況や取引内容に応じて具体的な運用パターンが規定されています。運用パターンによっては認証実施の判断を加盟店様に委ねられているものもありますが、原則全ての利用シーンにおいて3DS 2.0を導入いただくことが前提となっています。
パターン① 加盟店様の判断により3DS認証を実施
3DS認証は必要と判断された時のみ実施するが、属性・行動分析によるリスク判断機能、専門組織体制の整備、およびカード会社(アクワイアラー)の了承などが必要。
パターン② クレジットカード登録時は3DS認証を必須とする
クレジットカード登録時には必ず3DS認証を行うが、決済時はリスク判断を行い、必要と判断されたときのみ実施。厳格なアカウント管理や不正ログイン対策が前提とされ、また属性・行動分析によるリスク判断機能が必要。
パターン③ 決済の都度3DS認証を実施
決済ごとに毎回3DS認証を実施。クレジットカード登録時の3DS認証実施も推奨される。
すべての加盟店は3DS 2.0導入後は上記の①から③のいずれかのパターンで認証を行っていただくことが求められています。詳細は「クレジットカード・セキュリティガイドライン」をご参照ください。
お問い合わせ
現在ご利用中のサービスがわからない場合、または3DS 2.0に関しての一般的なお問い合わせはお客様サポートまでお問い合わせください。
システム更新やテスト、サービス移管についての技術的なご相談はテクニカルサポートまでお問い合わせください。
よくあるご質問
EMV-3Dセキュア(3DS 2.0)とは何ですか?
オンライン決済時にクレジットカード番号等の情報の盗用による不正利用を防ぎ、安全にクレジットカード決済を行うために国際ブランドが推奨する本人認証サービスです。
従来の3Dセキュア1.0と何が違うのですか?
リスクベース認証の有無、ワンタイムパスワードなどの認証方法の種類の追加、およびスマートフォンなど対応媒体/サービスの種類が追加されました。
なぜ3DS 2.0の導入が義務化されたのですか?
非対面取引でのクレジットカード利用が拡大する中、増加しているなりすましなどの第三者の不正利用を防止し、より安心に利用することができるために経済産業省により義務化が決定されました。
誰が3DS 2.0を導入しなければなりませんか?
ペイパルのクレジットカード決済サービスをご利用いただいている全ての加盟店様(インターネットを利用して注文する電子商取引の加盟店)において3DS 2.0導入が必須となります。
いつまでに3DS 2.0を導入しなければなりませんか?
原則すべての加盟店は2025年3月までに3DS 2.0の導入が求められています。
3DS 2.0を導入するために何をする必要がありますか?
最新の「クレジットカード・セキュリティガイドライン」に沿って3DS 2.0導入のご対応および実装テストをお願いいたします。またペイパルの旧サービスをご利用頂いている一部の加盟店様は3DS 2.0対応のためサービスを移行していただく必要がある場合があります。
「クレジットカード・セキュリティガイドライン」はどこで見つけられますか?
最新のガイドラインは日本クレジット協会のウェブサイトにてご確認ください(https://www.j-credit.or.jp/security/document/index.html)。
どのような場合にサービス移行が必要になりますか?
ウェブペイメントプラス等の3DSに対応していないペイパルの旧サービスをご利用中の加盟店様は、最新のペイパル決済サービスに移行していただく必要があります。
期限までに3DS 2.0を導入しないとどうなりますか?
2025年3月末の導入期限までに3DS 2.0を導入されなかった場合、以下のようなリスクが挙げられます。
・チャージバック発生時に加え、国際ブランドより罰則金を請求される可能性
・カード会社(アクワイアラー)によるクレジットカード利用の停止
・不正利用のリスクにさらされる可能性
なお、「不正利用額が3ヶ月連続50万円以上に該当する加盟店」は即時導入が、「不正が5件以上または累計で10万円以上発生した加盟店・高リスク商材取扱加盟店」は早期導入が求められており、該当の加盟店様にはペイパルより個別に連絡しております。
3DS2.0導入にあたり、個人情報提供に関する同意取得が必要と聞きました。
3DS2.0では、加盟店からカード発行会社への個人情報の移転にかかる同意取得が必要となります。日本クレジット協会「EMV 3-Dセキュア導入ガイド(5. EMV 3-D セキュア導入加盟店における個人情報保護法の遵守に関する留意点 <P37~P39>)」を参考に対応をお願いいたします。
カゴ落ちによるビジネスへの影響が気になるのですが
3DS 2.0の導入は「クレジットカード・ガイドライン」に沿って原則全ての加盟店で導入が求められています。従来の3DS 1.0では決済のたびに追加認証が発生しており、これがカゴ落ちの主な要因とされていましたが、3DS 2.0ではリスクベース認証により大幅に顧客体験が改善されています。また加盟店様での対応策として、3DS認証時の画面操作について案内ページを設置することなどが推奨されます。