3Dセキュア（本人認証サービス）

3Dセキュアとは、
ネットショッピングのクレジットカード決済時に用いられる本人認証サービスの総称です。
クレジットカードの国際ブランドによって以下のように呼称されています。

国際ブランド	呼称
VISA	VISA認証サービス
MasterCard	MasterCard SecureCode
JCB	J/Secure
三菱UFJニコス	NICOS認証サービス
American Express	American Express SafeKey

私は、不要な浪費をせぬようこれまでクレジットカードを持っていませんでしたが、ネットのクレジットカード決済しか販路がない商品(某携帯キャリアのSIMカード)を購入するため、つい最近クレジットカードを持ちました。
私が初めてクレジットカードで買い物をしたショッピングサイトでは、氏名、住所といった個人情報の入力後、以下の情報を入力しただけで決済ができました。

・カード番号
・カードの有効期限
・カード名義人(クレジットカードに刻印されているローマ字)
・セキュリティコード(クレジットカードの裏面に表記されている数字)

クレジットカードを使い初めて日の浅い私は、決済に必要な情報がいずれもクレジットカードを見ればわかるもので、クレジットカードの利用者を認証する仕組みがまるでないことに驚きました。
しかし、ネットショッピングをするうちに、クレジットカードの情報に加え3Dセキュアによる本人認証を求められるサイトもあることを知ったので、それについて述べたいと思います。

●クレジットカードのアクター

3Dセキュアの説明の前にクレジットカードに関係するアクターを以下に整理します。

アクター	役割
国際ブランド	世界各地にブランド加盟店を持ち、クレジットカード決済の仕組みを提供する。
イシュアー（Issuer）：カード発行会社	カード会員を募集し、カードの発行を行う。カード会員に対し、代金の引き落とし、利用明細の発行、カードの特典（ポイントサービス等）の提供を行う。
アクワイアラ（Acquirer）：カード加盟店契約会社	加盟店の開拓、管理を行う。加盟店から売上データを受け取り、代金をイシュアーから徴収し、加盟店に入金する。
加盟店（Merchant）	カード会員にクレジットカード決済で商品、サービスを提供する。
カードホルダー（Cardholder）：カード会員	カード発行会社と契約を結び、加盟店で決済した商品、サービスの代金を返済する。

※備考
・日本ではイシュアーとアクワイアラは、同一の会社が行っている場合がほとんど
・UCカードのように、(株)クレディセゾンがイシュアー業務、ユーシーカード(株)がアクアワイアラ業務を行っているケースもある
・JCBは自身が国際ブランドの一つでありながら、イシュアー、アクワイアラの業務も行っている

図 1 クレジットカードのアクター

カード会員がクレジットカード決済で買い物をした後、イシュアーがカード会員の口座からその代金を引き落とします。
イシュアーが引き落とした代金は、アクワイアラを経由して加盟店に入金されます。

●3Dセキュアの認証情報の登録

3Dセキュアが導入されたサイトでクレジットカード決済を行うには、あらかじめカード発行会社に本人確認のための認証情報を登録する必要があります。
私の場合、某家電量販店で作ったクレジットカードであったため、以下の会員登録を経て3Dセキュアの認証情報を登録しました。

① 家電量販店のショッピングサイトの会員登録

以下の項目を登録。

項目	備考
会員ID	メールアドレス
パスワード
会員情報	氏名、郵便番号、住所、電話番号、生年月日、性別

② カード発行会社のインターネット会員登録

以下の項目を登録。
登録には家電量販店のショッピングサイトの会員ID、パスワードでカード発行会社のサイトにログインが必要。

項目	備考
お客様ID	クレジットカードに刻印されているID。カード番号とは別の数字列。
初期パスワード	クレジットカード発行時から1か月間有効。この間にインターネット会員登録を行わないと、初期パスワードの再発行が必要。初期パスワードの再発行はWebで依頼し、郵送で送られてくる。

③ VISA認証サービスの登録

以下の項目を登録。登録には家電量販店のショッピングサイトの会員ID、パスワードでカード発行会社のサイトにログインし、カード発行会社のインターネット会員のお客様IDの入力が必要。

登録項目	備考
パーソナルメッセージ	認証画面で表示される本人確認のためのメッセージ
パスワード

●3Dセキュアによる本人認証

3Dセキュアが導入されているサイトでクレジットカードの情報（カード番号、カードの有効期限、セキュリティコード）を入力し決済を行おうとすると、以下のような認証ページが表示され、カード発行会社の認証サービスに登録したパスワードの入力を求められます。
(以下の図は、私が買い物したときに表示されたWebページ。カード発行会社ロゴ、カード番号末尾、パーソナルメッセージは黒塗りしている）

図 2 3Dセキュアによる認証画面

3Dセキュアの「3D」とは以下3つのドメインとなっています。

・Issuer Domain(イシュアードメイン)

イシュアー（カード発行会社）がカード会員を認証する

・Acquirer Domain(アクワイアラドメイン)

アクワイアラ（カード加盟店契約会社）が加盟店を認証する

・Interoperability Domain(相互運用ドメイン)

取引データの受け渡しを行う。カードスキーム、3-Dセキュアプロトコルをサポートするインフラ

図 3 3Dセキュアの流れ
https://en.wikipedia.org/wiki/File:3D_Secure_Flow.pngより引用

カード会員(Cardholder)が加盟店(Merchant)のショッピングサイトでクレジットカード決済を行おうとすると、加盟店からカード発行会社(Issuer)のACS(Access Control Server)にリダイレクトされ、パスワードの入力を求められます。
正しいパスワードを入力しなければ決済はされません。加盟店はカード会員が登録したパスワードを知る必要はなく、本人認証はカード会員とカード発行会社との間で行われます。

3Dセキュアが導入されているサイトは、クレジットカード情報を入力しただけで決済ができるサイトに比べると、セキュリティに守られていると感じます。
ただ、図2のパスワード入力を求めてくるWebサイトのドメインは、加盟店でもカード発行会社でも国際ブランド(VISA)でもない企業のものなので、少々戸惑いを感じました。カード発行会社はシステム運用を第三者に委託しているため、ACSのドメインがカード発行会社と異なっていました。
知らないWebサイトが認証情報を求めてくることはフィッシングの始まりを懸念させますが、以下の状況から信頼できるWebサイトであると判断し、パスワードを入力し購入手続きを完了しました。

・Webブラウザのアドレスバーの表示がEV証明書であること
・ドメイン(cafis-paynet.jp)を調べると、よく知られているドメインであること
・自分とカード発行会社以外が知らないパーソナルメッセージが正しく表示されていること

なお、認証画面でパーソナルメッセージが事前に登録したものと異なる場合、なりすましサイトの疑いがあるため、決済をやめ認証情報を確認した方がよいです。

●終わりに

3Dセキュアが導入されているサイトでは、カード発行会社に認証情報を登録しないとクレジットカード決済ができないことがあります。
私が買い物をした書店のサイトでは、3Dセキュア導入に伴いVISA、Master、JCB以外のクレジットカードによる決済不可、加えてフィーチャーフォンからのクレジット決済不可となっていました。
現在の3Dセキュアは決済時にパスワード入力が必要となっていますが、リスクベース認証の導入によって決済の大多数でパスワードを求めないようにし、カード会員の利便性を向上させる動きがあるようです。
セキュリティ向上の観点から3Dセキュアを導入するサイトが今後増えるのではないかと個人的には思います。
ネットショッピングでクレジットカードをよく使う方でまだ認証設定をしていない方は、認証設定をしておくとよいと思います。