日本ではいよいよ、原則EMV 3-Dセキュアの義務化対応の期日である2025年3月末を迎えようとしています。

過去に数回紹介していますが、先行してEMV 3-Dセキュア（強固な本人認証）が義務化されたヨーロッパの事例から、義務化後の国内カード決済事情を推察していきます。

EMV 3-Dセキュア義務化がもたらした各ステークホルダーへの影響

ヨーロッパではすでにEMV 3-Dセキュアが義務化されており、この規制は消費者保護や不正防止に寄与しています。その一方で、課題も生じています。ここでは、カードホルダーである消費者（ECサービス利用者）、EC加盟店への影響の2つの観点から紹介します。

カードホルダーへの影響

EMV 3-Dセキュアによる本人認証は、カードホルダーにとって利便性の低下をもたらす側面があることが指摘されています。従来のシンプルなカード情報入力だけでは決済が完了せず、追加の認証ステップ（ワンタイムパスワードや生体認証）が求められるため、手続きが煩雑になり、購入意欲を阻害されるということです。

結果として、決済トランザクション完了率の低下、カートからの離脱率の増加が報告されています。特に高齢者や技術に不慣れなユーザー層にとっては、本人認証が大きな障壁となりえます。

これは次のEC加盟店への影響にも繋がりますが、EMV 3-Dセキュアの手続きに失敗した場合、カードホルダーは購入を取りやめるか、他の決済手段を選ぶ必要がありますが、この手続きの失敗はすなわちEC加盟店にとっては売上機会の損失につながるリスクとなります。

EC加盟店への影響

本人認証が義務化されたことにより、不正の抑止効果は実効性が認められるものとしている一方、決済・認証プロセスが煩雑化することで、ユーザー体験の質が低下し、結果として売上減少につながることが懸念される、としています。

この点、日本のEC加盟店各社にとっても参考事例となるため、ここで詳しく解説していきます。

各国のEMV 3-Dセキュアによる「離脱率」

EMV 3-Dセキュアによる本人認証は、決済プロセスを複雑にし、利用者にとってのストレス増加が課題である、これは日本においても議論されている課題の一つです。

ヨーロッパの事例を見た時に、複数の国・地域、それぞれの文化が存在するため、決済・本人認証プロセスにおける「フリクション」の増加はとりわけ一部の国でコンバージョン率低下を生じさせている、として報告されています。

平均25%がヨーロッパにおけるカード決済の離脱率である、と推定したデータがあります。これは2021年6月に公開されたものであり、ヨーロッパでのEMV 3-Dセキュア義務化後の数字となります。主な原因はEMV 3-Dセキュアのパフォーマンス不良が影響しているものとしています。

さらに、この平均25%とするヨーロッパ平均を上回る離脱率が報告されている国は、ベルギー（38%）、ドイツ（33%）、イタリア（29%）であるとしています。

金融・決済サービスにおける二要素認証がすでに普及していたスウェーデンやオランダなどの国では、上記のような減少は見られず、比較的普及していなかったフランス、ドイツ、スペインでは離脱の割合が増加した傾向があるようです。

では現状、日本ではどうなのかという点も触れたいと思います。

2024年に本人認証を導入したある物販ECのカード加盟店では、EMV 3-Dセキュアによる離脱率は約20%ほどでした。EMV 3-Dセキュア本人認証に進んだ件数を母数とし認証成功とされた件数の比率を計測しており、対象期間は1ヶ月間として取得した実績値になります。

また、別のECカード加盟店でも同様に、離脱率は20%ほどという結果になりました。取扱商材はサービス商材ですが、同じくEMV 3-Dセキュアを2024年に導入したカード加盟店での事例です。

このEC加盟店では興味深いデータがありました。上記の離脱20%を細分化し分析したところ、ある特定の券種のクレジットカードに限定すると、離脱率が80%弱であり、全体の離脱率の平均を押し上げていることも見えてきたのです。

なお、上記の国内事例の離脱には、不正利用をしかるべき形で制限した件数も含まれる数字であることをここに補記しておきます。

EMV 3-Dセキュアの煩雑さを受けた利用者の行動の変化

ドイツで実施されたものですが、決済・本人認証の煩雑さが消費者に与えた影響に関しての調査結果があります。

調査の回答者の69%が、決済体験を効率化するため、普段利用する決済を特定のサービスに絞る、またはいくつかに集約した、と回答しています。回答者の35%は、本人認証の煩わしさを理由に、特定の決済手段を避けている、ということです。

この調査では、強固な本人認証の義務化が、利用者側の離脱率・複雑性を増大させ、ECカード加盟店・カード発行会社である銀行の売上にも悪影響を及ぼしたことも指摘しています。

本人認証で求められる二要素認証を実行するために必要なスマートフォンを必ずしも持ち歩いているとは限らず、購入を断念するケースも発生しています。

決済や本人認証の権限、EC加盟店側にまったくないことを課題視する声も

他の研究では、カード決済・本人認証における「フリクション」が増加し、結果として商品・サービスの販売を阻害してしまうことが、本人認証の義務化の取り組みの最も重要な問題であると指摘するものもあります。

加えて、「EC加盟店は本人認証が適用されるかどうかを制御する権限を持たないことが問題である」と指摘しています。

EC加盟店は利用者からの決済を受け付ける際、追加の認証を要求するかどうか、一定の裁量権を持っていました。現行法では、本人認証の免除規定が7種あるものの、この免除が適用されるかどうかの判断権限はカード発行会社に100%委ねられています。

本人認証済の取引が不正であった場合の債務責任はカード発行会社が負うため、認証や取引の制御権を持っています。カード発行会社には決済そのものを拒否する権限もあります。EC加盟店はカード発行会社である銀行判断に完全に依存することになり、EC加盟店の自由意志だけでは決済・取引を完了できなくなります。

こうしたヨーロッパの事例を見ると、EMV 3-Dセキュアによる本人認証は業界全体のセキュリティ向上を実現するものですが、不正発生時の債務責任をEC加盟店が負うこと、大前提である不正対策の実施・継続を条件とし、「必要な場合にのみ本人認証を実施する」ことを規定した EMV 3-Dセキュアの運用パターンが整備されたことは、日本のEC加盟店にとって非常に歓迎すべき点だと言えます。

クロスボーダー取引における課題

国や地域ごとに、これらの規制の不整合もEC加盟店にとって大きな課題です。特にクロスボーダーECを運営するEC加盟店では、各国・各地域ごとに異なる規制に対応するため、技術面・運用面の課題に直面しており、これが取引コストの増加と業務の複雑化を引き起こすことになります。このような状況では、特定国・特定地域向けの取引コストが個別に上昇し、クロスボーダー取引を抑制する結果となり得ます。

今後の課題

EMV 3-Dセキュアによる本人認証の強化により、不正行為の防止効果は一定の成果を挙げています。特にカード情報の盗用による不正が減少したという報告も当然存在します。

しかし、新たな不正手法も出現しており、セキュリティ対策は依然として進化が求められています。

加えて、前述のとおりEC加盟店やカード発行会社における売上・収益への影響、消費者であるECサービスの決済にかかる行動の変容とそのEC加盟店による対応が、今後EMV 3-Dセキュアが義務化されて以降の課題になる可能性があると予想します。

特に、EC加盟店ではハイブリッドなEMV 3-Dセキュアの適用方式、すでに運用パターンと条件がガイダンスとして定められていますが、これをいかにして実現していくかを模索することがテーマになりえます。

こうした課題に対して当社では各種サービスを取り揃えており、すでに対応しているEC加盟店の事例もありますので、是非ご相談いただけたらと思います。

*文中データ出典：A study on the application and impact of Directive (EU) 2015/2366 on Payment Services (PSD2) FISMA/2021/OP/0002