決済は、どこで何を販売していても、ショッピング体験の重要な部分です。特にオンラインでは、信頼と安全性が最も重要です。
欧州経済領域(EEA)で事業を行っている場合、改訂版決済サービス指令(PSD2)について耳にしたことがあるかもしれません。これは、強固な顧客認証(SCA)を含む規制であり、オンラインショッピングを詐欺から守ることを目的としています。これは、EEA内のビジネスに影響を与えます。
この記事では、販売の困難を乗り越え、ビジネスの運営と成長に集中できるようにする方法を学びます。また、PSD2や顧客認証などに関する疑問にお答えします。
強固な顧客認証とは?
強固な顧客認証(SCA)は、EEAにおけるセキュリティポリシーで、詐欺を減少させ、決済をより安全にするためのものです。これは改訂版決済サービス指令の一部です。
顧客認証は、多くの人が2段階認証と呼ぶものに似ています。顧客がデビットカードやクレジットカードを使ってオンラインで購入する際、顧客認証は2段階の認証手段を要求することがあります。
例えば、PINコードやパスワードを入力する代わりに、顧客認証は顧客にSMSで送信されたコードを入力するよう促すことがあります。これにより、詐欺的な取引が難しくなります。
顧客認証はまた、1つの認証手段の侵害が他の認証手段を危険にさらさないようにすることで、顧客の情報の全体的なセキュリティを向上させます。
改訂版決済サービス指令とは?
改訂版決済サービス指令は、欧州連合内で行われる電子決済を規制します。最初の決済サービス指令は2007年に施行され、改訂版のPSD2は2019年末に発表されましたが、完全に実施されたのは2020年末です。
この改訂によってもたらされた主な要素の一つは、デビットカードやクレジットカードを使用してオンラインで買い物をする顧客に対する保護が強化されたことです。これは、あなたのECビジネスにも保護を提供します。
これらの規制に準拠するためには、強固な顧客認証を確保し、欧州の購入者から受け取る決済に対するカード詐欺を軽減する必要があります。
顧客認証の例
強固な顧客認証には、以下の3つの要素のうち2つを含める必要があります:知っていること、所有しているもの、生体情報。
知っていること
知っていることとは、顧客だけが知る情報を指します。これには以下のような例があります:
- パスワード
- パスフレーズ
- 秘密の質問
- PINコード
- シークエンス
- 知っていることに基づく質問
所有しているもの
所有しているものとは、顧客が物理的に所有するアイテムを指します。これには以下のようなものが含まれます:
- スマートフォン
- タブレット
- ウェアラブル技術
- ハードウェアトークン
- スマートカード
- バッジ
生体情報
生体情報とは、顧客自身に固有のもので、他の誰もが持つことのできない個人的かつ物理的な識別子を指します。これは「顧客が『存在する』もの」と呼ばれます。例としては:
- 指紋
- 顔認証
- 音声認証
- 虹彩認証
- 網膜スキャン
- DNAサイン
顧客認証はどのように機能するのか?
以前は、アカウントへのアクセスや決済の承認は「顧客が知っている何か」、例えばPINコードで行うことができました。顧客認証はそれ以上のものを要求し、より良いセキュリティを確保します。
パスワードは漏洩したり、ハッキングされたりする可能性があります。クレジットカードやデビットカードは紛失したり、盗まれたりすることがあります。
しかし、特定のデバイスからパスワードを入力することや、クレジットカードのPINコードとともに指紋スキャンを提供することが求められる場合、全体のプロセスははるかに安全になります。
顧客認証は、3Dセキュアというプロトコルを通じて行われます。これはほとんどの欧州カードでサポートされている技術です。このプロトコルは、顧客がチェックアウト時に自分自身を認証するために入力する必要がある追加のセキュリティを要求します。
顧客は、注文に3Dセキュアの案内が表示され、さらに多要素認証プロセスで自分自身を認証するよう促されます。
これには以下のようなものが含まれます:
- 顧客のスマートフォンに送信されるワンタイムパスワード
- 銀行アプリを通じた指紋認証
- スマートフォンを通じた顔認証
多くのスマートデバイスがこれらの固有認証に対応しているため、顧客の安全な購入が容易に担保されます。
この顧客認証ステップが完了すると、詐欺的なチャージバックは銀行の問題となります。あなたの問題ではありません。
顧客認証に準拠する方法
あなたのビジネスがEEA内で運営されている場合、PSD2および顧客認証に準拠している必要があります。そうでないと、銀行は購入を拒否する可能性があります。しかし、準拠を確保するのは難しくありません。以下の2つのうち1つ(または両方)を行うだけです:
- クレジットカードおよびデビットカードの決済に3Dセキュアを適用する
- ShopifyペイメントやApple Payなど、PSD2の顧客認証準拠に自動的に最適化された決済ポータルを使用する
Shopifyストアを持っていると、準拠が簡単になります。追加できる決済オプションの数が多いため、EEA内で行われる購入に自動的に3Dセキュアを適用できます。
ユーザーは、Shopifyの注文ページ内で顧客認証を使用して処理された注文を確認できます。3Dセキュアを通じて処理されたデビットカードやクレジットカードで支払われた注文には、注文タイムラインの横に3Dセキュア(3DS)が記載されます。
これは、顧客の身元がカードを発行した銀行によって確認され、取引が低リスクとして認識されることを意味します。これらの取引に関しては、マーチャントが注文ページで何らかのアクションを取る必要はありません。
いつ顧客認証が適用されるのか?
顧客認証は、欧州連合内で行われるすべてのオンライン決済に適用されます。つまり、顧客がEU内に居住し、EU内で事業を行っている企業から購入する場合です。
しかし、ますます多くの国が詐欺を防ぎ、マーチャントや決済プロバイダーを保護するために、類似の指針に向かっています。
顧客認証の例外
すべての電子決済やEC取引が顧客認証の対象となるわけではありません。以下は、顧客認証が必要ない場合のいくつかの例です。
低リスク取引
低リスク取引は、取引リスク分析(TRA)を通じて特定されます。決済プロバイダーは、リアルタイムでリスク分析を行い、顧客認証が適用される必要があるかどうかを判断します。
このリスクは、決済プロバイダーの詐欺率によって決定されます。詐欺率が以下の閾値を下回る場合、例外が認められることがあります:
- €100(約16,000円)までの取引の場合は0.13%
- €250(約40,000円)までの取引の場合は0.06%
- €500(約81,000円)までの取引の場合は0.01%
決済プロバイダーは、その後、顧客認証を使用する必要がない「TRA例外」を要求することができます。
低価値取引
低価値取引、つまりあまり高額でない取引も顧客認証の対象外となる場合があります。規制では、€30(約5,000円)以下の取引は低価値取引と見なされることが定められています。
ただし、発行銀行やカードプロバイダーは、この例外が使用された回数を追跡します。詐欺者がPSD2規制を回避できないようにするため、5回の低価値取引ごとに顧客認証が必要となります。
定期取引
定期取引、つまり固定額のサブスクリプションも例外です。最初の決済には顧客認証が必要ですが、サブスクリプションの後続の自動決済はこれらのセキュリティ要件から免除されます。
マーチャント主導の取引
マーチャント主導の取引(MIT)は、例外ではなく「範囲外」と見なされます。しかし、取引をMITとしてマーケティングすることは通常、例外を要求するのと似たプロセスです。
このタイプの決済は、すでにファイルに登録されているカードを使用します。定期取引と同様に、最初の決済は強固な顧客認証を通過する必要があります。ただし、追加の決済は通常、顧客が契約や他のポリシーを通じて取引が確認されているため、必要ありません。
MOTO取引
MOTO取引、つまり郵便注文や電話注文の取引も範囲外と見なされます。これらの決済は電子的またはオンラインの決済とは見なされないため、顧客認証の要件には該当しません。
法人取引
法人取引またはB2B取引は、二つの法人間で行われる取引です。この決済が法人取引専用のカードで行われる場合、これらの決済も顧客認証の要件から免除されます。
地域間取引
地域間取引は、PSD2規制の範囲内に居住していない消費者によって行われる取引であり、したがって顧客認証の要件から外れています。
例えば、あなたのビジネスがEU内にあっても、アメリカからの購入者がいる場合、その取引は顧客認証の範囲外となります。
信頼できる受益人
最後に、顧客自身が定期的に取引を行う企業や信頼する企業をホワイトリストに登録することができます。これにより、その顧客の決済は認証を必要としなくなります。消費者の銀行は、この「信頼できる受益人」のリストを追跡し、消費者が顧客認証プロセスをスキップできるようにします。
PSD2がShopifyのマーチャントにとって意味するもの
ドイツ、デンマーク、アイルランド、オランダ、オーストリア、ベルギー、スウェーデン、スペイン、またはイギリスでクレジットカードやデビットカードを処理するためにShopifyペイメントを使用している場合、何もする必要はありません。自動的に準拠しています。
Shopifyペイメントは3Dセキュアの使用を最小限に抑えるよう最適化されています。取引が承認されるために発行銀行によって絶対に必要とされる場合にのみ、3Dセキュアを使用します。
Stripeを使用してクレジットカードやデビットカードを処理している場合も、PSD2に完全に準拠しており、顧客認証を提供できます。
iDealやKlarnaなどの決済方法、Google Pay、Apple Pay、PayPal Expressなどのウォレットは、すでに規制に準拠しており、何のアクションも必要ありません。
サードパーティのゲートウェイを使用しているマーチャントは、PSD2に自動的に準拠しているわけではありません。
準拠するためには、Shopifyが承認した顧客認証ゲートウェイを使用し、Cardinal Commerceとの接続の作成をおすすめします。Shopifyの管理画面の設定から決済を選択し、Cardinal Commerceが利用可能であることが表示されます。
EEAまたはEU内の国で運営している場合、あなたと顧客の両方の利益のために、準拠を確保し、3Dセキュアオプションを提供するか、決済方法が顧客認証から免除されていることの確認が重要です。
強固な顧客認証に関するよくある質問
強固な顧客認証はいつ必要ですか?
強固な顧客認証(SCA)は、欧州経済領域(EEA)に居住する消費者が決済を行うたびに必要です。例外はありますが、EEA内で運営するビジネスは、準拠していることを確認する必要があります。
顧客認証に準拠していない場合はどうなりますか?
これらの法律は銀行に適用されます。つまり、銀行は顧客認証セキュリティを通過しない取引を承認することはできず、また承認すべきではありません。
これは、あなたが顧客認証に準拠していない場合、銀行が取引を拒否する可能性が高く、EEA内に居住する消費者があなたのビジネスで買い物できなくなることを意味します。これは売上に悪影響を及ぼす可能性があるため、準拠を確保することが最善の利益となります。
強固な顧客認証の責任機関は何ですか?
欧州連合(EU)内の欧州銀行当局(EBA)が顧客認証の施行を担当しています。イギリスでは、PSD2 顧客認証規制は金融行動監視機構(FCA)によって施行されています。
PSD2ライセンスとは何ですか?また、どのように取得しますか?
PSD2ライセンスは、EU内の決済機関に必要です。これにはStripe、PayPal、Square、Apple Pay、Google Payなどが含まれます。これらの企業は、PSD2ガイドラインに準拠した決済サービスを提供するためのライセンスを持っています。
