3Dセキュア2.0の導入が義務化！ECサイトへの導入方法や罰則も

2025年3月12日トレンド

3Dセキュア（3D Secure）とは、オンライン決済のセキュリティを強化するための本人認証システムです。

経済産業省は、2025年3月末までに3Dセキュア2.0の導入を義務化すると発表しており、EC事業者は対応が必要です。

本記事では、3Dセキュア2.0の導入義務化の詳細を解説していきます。

また、ECサイトへの導入方法や未対応の場合の罰則についても紹介するので、3Dセキュア2.0の導入を検討している方はぜひ参考にしてください。

サイトの信頼性を高めるなら、3Dセキュア2.0対応と独自ドメインが必須です。

バリュードメインなら、3Dセキュア2.0対応済みの安全な決済と、スムーズなドメイン管理を実現できます。 また、コアサーバーV2なら、バリュードメインとセットで利用することで、独自ドメインが永久無料に！月額390円～安全でコストパフォーマンスの高いECサイト運営が可能です。

3Dセキュアとは

3Dセキュア（3D Secure）とは、オンライン決済のセキュリティを強化するための本人認証システムです。

クレジットカードを利用したオンライン決済時に、不正利用を防ぐために追加の認証を求める仕組みです。

かつては、利用者が事前に設定したパスワードを入力する方式の「3Dセキュア1.0」が主流でしたが、現在は「3Dセキュア2.0（EMV 3Dセキュア）」が主流となり、ワンタイムパスワードの入力や指紋認証、顔認証を用いる方式となっています。

オンライン決済が主流となった現代では、3Dセキュア技術はセキュリティ強化のために不可欠といえるでしょう。

3Dセキュア2.0の義務化はいつから？

3Dセキュア2.0の導入は、2025年3月末までにすべてのEC加盟店に義務付けられる予定です。

経済産業省が打ち出している「クレジットカード・セキュリティガイドライン【4.0版】」では、以下のような内容が発表されています。

原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。

経済産業省

近年、オンライン決済における不正利用被害が急増しており、その増加を抑えるために3Dセキュア2.0の導入義務化が進められています。

一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は年々増え続けており、2023年には540億円を超えて過去最高を記録しました。

一般社団法人日本クレジット協会

※上記グラフの2024年データは、1～3月までの被害額です。

従来のクレジットカードは、「カード番号」「有効期限」「セキュリティコード」だけで決済が可能であるため、不正利用が容易でした。

3Dセキュア2.0を導入すれば、ワンタイムパスワードや生体認証を利用しなければ決済ができないため、不正利用による被害を抑制できると考えられます。

もし2025年3月末までに3Dセキュア2.0に対応しないECサイトは、クレジットカード決済が利用できなくなる可能性があるため、注意が必要です。

「3Dセキュア1.0」と「3Dセキュア2.0」の違い

「3Dセキュア1.0」と「3Dセキュア2.0」の特徴の違いについて、下記の比較表にまとめました。

従来の3Dセキュア1.0は、事前に設定したIDやパスワードを使って本人確認を行う方式です。

パスワードを忘れたり、入力を誤ったりすると決済が完了しないというデメリットがあったため、3Dセキュア2.0ではワンタイムパスワードや生体認証を利用する方式が採用されています。

従来の3Dセキュア1.0では、すべてのオンライン決済で認証が必要でしたが、3Dセキュア2.0では高リスク取引のみ追加認証が求められる仕組みになっています。

また、3Dセキュア1.0は主にブラウザ向けに限定されていましたが、3Dセキュア2.0ではモバイルアプリにも対応し、デバイスを限らずスムーズな認証が可能になりました。

3Dセキュア2.0は、1.0の課題を克服し、安全かつスムーズな決済を実現できるのがメリットだといえるでしょう。

3Dセキュア2.0の義務化を無視した際の罰則

3Dセキュア2.0の義務化を無視した際の罰則は、以下のとおりです。

罰金などの罰則規定はないものの、3Dセキュア2.0の導入を行わないと上記のリスクが考えられるため、特にEC事業者の方は注意してください。

ここからそれぞれの罰則について、1つずつ詳しく解説していきます。

決済が通らない

3Dセキュア2.0の義務化を無視した場合、最も直接的な影響として、決済が通らなくなる可能性があります。

3Dセキュア2.0に対応していない加盟店の決済では、カード発行会社が取引を拒否することも想定されるでしょう。

例えば、ヨーロッパではすでに3Dセキュア2.0が義務化されており、未対応のECサイトでは決済離脱率が平均25%に達したというデータが報告されています。

出典：A study on the application and impact of Directive (EU) 2015/2366 on Payment Services (PSD2)

3Dセキュア2.0の義務化を無視すると、決済ができず、売上の損失につながるおそれがあります。早めの対応が必要です。

不正利用の補償負担が発生する

3Dセキュア2.0を導入しないと、クレジットカードの不正利用が発生した際に、加盟店側に補償責任が発生する可能性があります。

クレジットカードには「チャージバック」という制度があり、顧客が取引を不正利用だと判断した場合、カード発行会社に異議を申し立てることができます。

このとき、3Dセキュア2.0を導入していないと、カード発行会社ではなく加盟店側が不正利用の補償責任を負う可能性があります。

売上が直接失われたり、カードブランドや決済代行会社からのペナルティ措置を受けることも考えられるでしょう。

ビジネスへの悪影響を防ぐためにも、早めの導入を検討すべきでしょう。

カード会社や決済代行会社との契約停止

3Dセキュア2.0の導入が義務化されているにもかかわらず、加盟店が対応しない場合、カード会社や決済代行会社との契約が停止される可能性があります。

3Dセキュア2.0は、不正利用防止のためにVisaやMastercardなどのカードブランドが義務付けているセキュリティ対策の一つです。

加盟店側で3Dセキュア2.0を導入しないと、不正利用のリスクが高まり、チャージバック（顧客の異議申し立てによる返金請求）の発生件数が増える可能性があります。

カード会社や決済代行会社は、一定のチャージバック率を超えた加盟店をリスクとみなし、改善が見られなければ契約が停止されるおそれがあります。

また、一度契約が停止されると、その履歴がカード会社や決済代行会社のブラックリストに登録され、新規契約が難しくなる可能性があります。

ビジネスの売上と信用を守るためにも、早急に3Dセキュア2.0の導入を進めることが重要です。

顧客離れに伴う売上の減少

3Dセキュア2.0の導入が義務化されているにもかかわらず、加盟店が導入しない場合、顧客離れによって売上が減少するリスクが高まります。

近年は消費者のセキュリティ意識が向上しており、3Dセキュア2.0を導入していない店舗での決済は、安心できずに敬遠される傾向が強まるでしょう。

特に高額な商品やサービスの購入時には、セキュリティの信頼性が購買の決定要因となることも少なくありません。

また、カード会社や決済代行会社が3Dセキュア2.0に未対応の加盟店での取引を制限するケースもあります。

その結果、カード決済ができず、顧客が購入を断念し、売上の減少につながる可能性があります。

3Dセキュア2.0を導入しないことで、事業の売上が大幅に減少するおそれがあります。

ECサイトに3Dセキュア2.0を導入する方法

ECサイトに3Dセキュア2.0を導入する方法は、以下のとおりです。

これから3Dセキュア2.0の導入を検討している方は、上記の流れで進めていきましょう。

ここからそれぞれのポイントについて、1つずつ詳しく解説していきます。

使用する決済代行会社を確認する

まずは、利用中の決済代行会社が3Dセキュア2.0に対応しているかどうか確認しましょう。

決済代行会社によって3Dセキュア2.0の対応状況が異なるため、利用中の決済代行会社の対応状況を確認する必要があります。

利用中の決済代行会社が3Dセキュア2.0に対応していれば、設定変更やAPIのアップデートを行うだけで導入しやすいでしょう。

一方、決済代行会社が3Dセキュア2.0に対応していない場合は、別の決済代行会社への乗り換えも検討しましょう。

3Dセキュア2.0対応の決済代行会社を選ぶ

もし利用中の決済代行会社が3Dセキュア2.0に対応していない場合、3Dセキュア2.0対応の決済代行会社へ乗り換える必要があります。

以下に、主要な決済代行会社の3Dセキュア2.0対応状況を一覧にしました。

表は横スクロールできます→

すでに決済代行会社を利用している場合は、新たに選択する決済代行会社との互換性を確認しておきましょう。

また、3Dセキュア2.0の導入時には不明点が生じる可能性が高いため、サポート体制についても事前に確認しておくとよいでしょう。

APIの実装・設定を行う

決済代行会社を選んだら、各社が提供するAPIを実装し、設定を行います。

主要な決済代行会社のAPIドキュメントについて、以下に一覧にしました。

決済代行会社が提供する3Dセキュア2.0 APIを利用し、実際にリクエストを送信する部分を実装します。

const stripe = require('stripe')('your_secret_key');

// 1. カード決済リクエストを送信
async function createPaymentIntent() {
    const paymentIntent = await stripe.paymentIntents.create({
        amount: 5000, // 価格（例：5000円）
        currency: 'jpy',
        payment_method_types: ['card'],
        payment_method_options: {
            card: {
                request_three_d_secure: 'any' // 3DS2.0を必須に設定
            }
        }
    });

    return paymentIntent.client_secret;
}

// 2. 3DS2.0認証結果を受け取る
async function confirmPayment(paymentIntentId, paymentMethodId) {
    const paymentIntent = await stripe.paymentIntents.confirm(paymentIntentId, {
        payment_method: paymentMethodId
    });

    return paymentIntent.status; // "succeeded" or "requires_action"
}

UI・UX対応を行う

3Dセキュア2.0を導入する際には、UI（ユーザーインターフェース）・UX（ユーザーエクスペリエンス）を適切に設計する必要があります。

決済時のUIデザインが適切でないと、顧客が認証手続きを完了できず、決済に失敗する可能性があります。

クレジットカード発行会社は、発行会社ごとにUI・UXの最適化に取り組んでおり、セキュリティの強化とユーザーエクスペリエンスの向上の両立を目指しています。

以下に各社の3Dセキュア2.0のUI・UX事例を紹介します。

上記の事例を参考にし、UI・UXを適切に設計してください。

テスト環境で動作確認後、本番環境で運用を開始する

3Dセキュア2.0を導入する前に、テスト環境での動作確認を実施してください。

テスト環境で動作確認を行わないと、本番環境で決済ができない、またはセキュリティ上の問題が発生する可能性があるためです。

多くの決済代行会社では、動作確認を行うためのテスト環境が用意されています。

ただし、決済代行会社ごとにテスト環境の仕様が異なるため、各社の公式ドキュメントを確認する必要があります。

テスト環境で決済が正常に動作することを確認し、本番環境へ移行して運用を開始しましょう。

本番運用開始後も、認証成功率やエラーを監視し、ユーザー体験が最適化されるように調整を行いましょう。

3Dセキュア2.0の導入にかかる費用

3Dセキュア2.0の導入にかかる費用は、ECサイトの規模やシステム構成、契約している決済代行会社によって異なります。

主に以下の要因によって、費用が決まります。

• 初期導入費用
  初期設定やシステム連携にかかる費用が発生します。
• 月額利用料金
  サービス利用に伴う定額の月額料金が発生します。
• トランザクション手数料
  各取引ごとに手数料が課される場合があります。

主要な決済代行会社の3Dセキュア2.0導入費用について、以下に一覧にしました。

表はスクロールできます→

各決済代行会社によって導入費用が異なるため、自社のビジネスモデルや取引量に合わせて最適なサービスを選択しましょう。

3Dセキュア2.0の義務化に関するQ＆A

3Dセキュア2.0の義務化に関する、よくある疑問は以下のとおりです。

ここからそれぞれの疑問について、1つずつ詳しく解説します。

3Dセキュア2.0義務化の対象外・例外になる事業者は？

3Dセキュア2.0の義務化の対象外、または例外として、実店舗など対面取引を行う事業者が該当します。

経済産業省の公式発表は以下のとおりです。これにより、EC以外の対面取引を行う事業者は対象外とされています。

原則、全てのEC加盟店は、2025年3月末までにEMV3-Dセキュアの導入を求める。

経済産業省

ただし、実店舗に加えてEC事業を行う事業者は、3Dセキュア2.0の義務化の対象となるため、注意が必要です。

サブスクリプション決済の場合、3Dセキュア2.0義務化は対象？

サブスクリプション決済（定期課金）に関しては、初回決済時やカード情報登録時に3Dセキュア2.0認証を実施することが推奨されています。

オンライン決済サービスであるPAY.JPのヘルプページでも、以下のように記載されています。

定期課金サービスを提供されている場合は、顧客接点発生時の認証が求められており、大まかに下記の対応が必要となります。

カード番号の登録時や初回課金時に3Dセキュア認証を実施する
契約内容の更新があった際にも3Dセキュア認証を実施する

PAY.JP ヘルプ

サブスクリプション決済を提供する事業者も、初回決済時やカード情報登録時に3Dセキュア2.0の導入が推奨されています。

3Dセキュア2.0義務化に対応が間に合わないときの対処法は？

3Dセキュア2.0の導入が義務化される中、期限までに対応が間に合わない場合は、以下の対処法を検討しましょう。

• 決済代行会社の支援サービスを利用する
• 外部パートナーと連携する
• 一時的な代替策を検討する

多くの決済代行会社では、3Dセキュア2.0の導入を支援するサービスを提供しているため、利用を検討しましょう。

また、自社でのシステム開発が必要な場合は、外部パートナーと連携することで対応時間を短縮できる可能性があります。

さらに、一時的に不正検知サービスを導入や、取引金額の上限設定を検討することも有効な対策となります。

最終的には、2025年3月末までに導入を完了する必要があるため、早急に対応し、今すぐ実行に移しましょう。

まとめ：3Dセキュア2.0の義務化に対応しましょう

本記事では、3Dセキュア2.0の義務化について、ECサイトへの導入方法や罰則を含めて詳しく解説しました。

3Dセキュア2.0とは？
3Dセキュア2.0は、オンライン決済のセキュリティを強化するための本人認証システムです。

EC事業者は、2025年3月末までに最新の方式である3Dセキュア2.0を導入することが義務付けられています。
もし3Dセキュア2.0を導入しない場合、クレジットカード決済が通らなくなる、またはカード会社や決済代行会社との契約が停止される可能性があります。

事業の売上と信用を守るためにも、早急かつ計画的に3Dセキュア2.0の導入を進めましょう。

ECサイトのセキュリティ強化も必須に！
3Dセキュア2.0の導入に伴い、ECサイト全体のセキュリティ対策も重要になります。

バリュードメインの「ネットde診断 byGMO」なら、以下の機能で安全対策を強化できます。

• 自動スキャンで脆弱性を発見
• 専門的な診断で安心
• 脆弱性検出時にメール通知
• 具体的な対策を提示
• サイトシールで信頼性アップ

さらに、コアサーバーV2プランならWAFや無料SSLを標準搭載し、より安全なWeb運営が可能です！

「ネットde診断 byGMO」とコアサーバーを活用し、強固なセキュリティ対策を実現しましょう！