エンジニアさん向けの記事(メモ)ではないです。
非エンジニアの方で、そういった案件に直面しているときに基礎知識になるかもしれないと思い、書いています。(社外秘な情報はないです。)
以下、3Dセキュア導入を検討したときの予備知識的なメモです。
誤解、修正があれば、”きわめてやさしく”コメント欄にてお教えください。
まず、3Dセキュア対応すると、ユーザーは今まではECサイトでカード番号、有効期限、所有者名、裏面のセキュリティコードなどを入力して決済ボタンを押し、問題が無ければ完了画面に遷移するが、3Dセキュアの場合はそのあと各カード会社のページに遷移し、パスワードを入力させられ、それが承認されてやっと完了画面に戻ることになる。
言葉として「3Dセキュア」とは?
Wikipediaによると、
3Dとは3つのドメインのことでイシュアドメインがカード会社を、アクワイアラドメインが加盟店を認証し、相互運用ドメインが取り引きを仲介する
イシュアとかアクワイアラとか、その業界の人ならともかくも一般人にはなじみは薄い。
解りやすく例を出して書くと・・・
我々に請求書をくれるカード発行会社がイシュア(Visa、MasterCard、JCB、Amex、Dinersなどのブランドでカードを発行する会社)。
そのカードの加盟店を管理しているのがアクワイアラ。
ややこしいのは、日本では(株)ジェーシービー、三井住友カード(株)、三菱UFJニコス(株)などイシュアとアクワイアラを兼任しているケースが多い。
それらイシュアが発行しているカードは、すべてが3Dセキュアに対応しているかというと、そうではない。
2019年4月現在、VISA、MasterCard、JCB、Amexは3Dセキュアに対応しているがDinersは2019年夏ごろ対応を予定している(らしい)。
よって上位互換というか、3Dセキュア対応カードには3Dセキュアで、そうでないカードはそれなりに(今までどおり)の決済フローとなる。
さてさて、ECサイトでは通常、決済代行会社を使って通販の決済をしている。
その決済は、入力されたカード情報が決済代行会社を通じて各社カード会社と接続しオーソリ(与信枠の確保=仮売上)で完了するか、又はオーソリから引き続いて決済(実売上)を行う。
オーソリ(仮売上)は通常では注文を仮売上で受けて、その後商品を発送して実売上化するといったケースが多いが、その他にも確定していない商品(オーダーメイドの商品とか、催行が決定していない旅行など)の予約などで利用され、購入者のカードの与信限度額からその代金の金額を(言葉が悪いが)差し押さえるときに使われる。
ただしずっと差し押さえられているわけではなく、仮売上の有効期限は90日。
90日経ってもECサイト側で実売上化されなければそこで解除(取消)となり、販売者が実売上しようとしてもエラーとなる。
なお、上記は国内発行のクレジットカードのことであり、海外発行のクレジットカードやデビットカードは、いったん引き落とされ、90日経っても実売上化されなければそこで返金されると某社のQ&Aにあった。
実売上は注文と同時か、仮売上した注文の確定時に使われ、購入者のカードにて決済が完了する。
はじめにも書いたが、一般的な(3Dセキュアではない)通販では、ユーザーはカード情報を入力するだけで、各カード会社の画面にてパスワードを入力する行程はないが、3Dセキュアの決済は裏で決済代行会社を経由して、各カード会社の画面にてパスワードの入力を求められる。
なお、3Dセキュア(パスワード入力による決済)は決済時のみである。
また、仮売上となっている決済をECサイト側で実売上化する際は、本人が注文した時点で3Dのパスワード認証済みのため、再度求められることはない。販売者は顧客のパスワードを知らないので当然といえば当然である。
3Dセキュアでパスワードが必要なのは、あくまで本人によるオーソリ(仮売上)や実売上の決済の時だけであり、ECサイトのMyページなどで購入前のカードの事前登録するケースはあるが「決済」ではないのでパスワード入力には至らない(3Dではない)。
ちなみに何度も同じサイトで買い物をする場合はそのサイトでカードを登録(記録)して、それを次の購入時に使うことは多いが、ECサイトがカード情報を保存していると思っているユーザーが多い。
しかしそれは誤解で、そのECサイトではカード情報を保存することはなく、ECサイトで使っている決済代行会社がECサイトとユーザーIDと紐づけて保存しているということになる。
ただしわかっていても少なからず抵抗感を持つユーザーは多い。私もその1人。
なお、3Dセキュアではない決済は、第三者によるなりすまし等で不正利用が発覚した際、販売者はカード会社から売上を取り消し(チャージバック)されるが、3Dセキュアに対応していれば(多発しない限り)売上は取り消されない。
ただし、一般的な話ではあるが、パスワード(暗証番号ではない)を登録していないか、忘れているユーザーも多いため、3Dセキュアを導入すると売上は(確固とした根拠はないが)15%前後落ちるという話をどこかのサイトで見たが、実際に決済代行業者に聞くと必須(パスワードが登録されたカードのみ決済可能)ではなくて、パスワードが登録されたカードは3D、登録されていなければパスワード入力はスルーで決済可能とのこと。
その場合、ECサイトは決済システムに3Dセキュアを導入したうえで、「3Dで決済して」と決済会社に電文投げたわけですから、あとはパスワードを登録していないカードを含め、なにかカード不正が発生してもカード会社が補償するという対象となるという話でした。
会員にパスワードを登録させるのはカード会社の「努力」であってECサイトには関係がないから、らしい。
以上