PSD2における強力な顧客認証（SCA）とは

欧州経済地域（EEA = EU加盟国およびアイスランド、リヒテンシュタイン、ノルウェー）でビジネスをしている人は、改訂版決済サービス指令（PSD2）という規制について知っておく必要があります。

ここでいう「EEAでビジネスをしている」とは、現地に拠点がある場合だけでなく、越境ECで日本からEEAに商品を発送している場合や、デジタルコンテンツを販売している場合も含まれます。

PSD2は、オンライン決済をより安全にし、カードの不正利用や詐欺を防ぐために作られたルールです。そして、その中でも特に重要なのが「強固な顧客認証（Strong Customer Authentication=SCA）」と呼ばれる仕組みです。

EEAでのビジネスでは、SCAに準拠していることが必須です。また、EEAでビジネスをしていない場合であっても、SCAに対応するセキュリティを確保できると、不正利用によるチャージバックや支払い拒否のリスクを減らせます。安心して買い物できる環境はカゴ落ち率の低下にもつながり、リピーターの獲得にも有効です。

この記事では、EEAでビジネスを行っている方に向けて、PSD2とSCAの基本、SCAが必要になるケースと免除されるケース、そしてShopifyでの対応方法をわかりやすくまとめました。

改訂版決済サービス指令（PSD2）とは？

改訂版決済サービス指令（PSD2）とは、EUでオンライン決済の安全性向上と競争促進を目的に制定された法律です。2016年1月に施行され、その中の重要な要素であるSCA（強固な顧客認証）は2019年9月に施行されました。

PSD2によって、事業者は銀行や決済サービスと連携しやすくなり、利用者は安全かつ便利にオンライン取引を行えるようになりました。

強固な顧客認証（SCA）とは？

強固な顧客認証（SCA）は、PSD2で規定されている、オンライン決済のセキュリティに関する規制です。EEAでオンライン決済を受け付けるすべての事業者は、SCAに準拠した決済プロセスを導入する必要があります。SCAに準拠していない場合、たとえ顧客から注文が入っても、銀行やカード会社が決済を承認せず、取引が成立しないことがあります。

SCAは、多くの人が「二段階認証」や「二要素認証」と呼ぶ仕組みに似ています。

従来は、顧客がクレジットカードやデビットカードでオンライン決済をする場合、カード番号とPINコードを入力すれば支払いが完了しましたが、SCAではそれに加えてスマホに送られたワンタイムコードや指紋認証など、もう一段階の認証が必要になります。

二段階で認証が求められるため、従来のシステムよりも強固な安全性が確保されます。パスワードが漏れても認証に使うスマートフォンや指紋情報がなければ決済はできません。また、スマートフォンが盗まれても、パスワードや顔認証がなければ支払いは成立しません。

SCAで使われる3つの要素

SCAでは、本人確認の方法として、次の3つの要素から2つ以上を組み合わせる必要があります。複数の認証方法を組み合わせることで、不正利用を防ぎやすくなるのです。

1. 本人のみが知っている情報

顧客だけが知っている情報です。例としては以下があります。

パスワード
暗証番号（PINコード）
秘密の質問の答え
合言葉や特定の順番（シークエンス）

2. 本人のみが保有しているデバイス

顧客が物理的に所持しているアイテムです。例としては以下があります。

スマートフォン
タブレット
スマートウォッチなどのウェアラブル端末
銀行やカード会社から発行されるトークン

3. 本人の生体情報

顧客本人の生体情報です。例としては以下があります。

指紋認証
顔認証
音声認証

例えば、顧客が事前に設定しておいたパスワード（本人のみが知っている情報）と、顧客の所持するスマートフォンに送られるワンタイムパスワード（本人のみが保有しているデバイス）を組み合わせるといった方法で、安全性を高めています。

SCAの仕組み

SCAでは、3Dセキュアと呼ばれる本人確認の方法が使われています。3Dセキュアでは、カードでの支払いを確定する前に、パスワードやワンタイムコード、指紋認証などで追加の本人確認を行います。顧客・店舗・カード会社の三者が相互に情報をやり取りして安全性を確認することから、「3Dセキュア」と呼ばれています。

通常、次のような流れで決済が行われます。

顧客が商品をカートに入れて、カード決済を選択する
注文を確定する前に、カード会社が追加の本人確認を求める
顧客が、本人確認を行う（例：スマホに届いたワンタイムコードの入力、銀行アプリ上での顔認証など）
認証が通り、支払いが承認され、注文が確定する

こうした流れによって、決済の安全性が高まり、不正利用のリスクを大きく減らすことができます。

自分のECサイトをSCAに対応させるには

EEAでビジネスをしており、オンライン決済を受け付ける場合は、必ずSCAに準拠した決済方法に対応する必要があります。対応していないと、銀行やカード会社が決済を承認せず、取引が成立しないことがあります。

EEAでビジネスをしている、またはこれからビジネスを始めたい場合は、自分のECサイトがSCAに対応しているか確認しましょう。対応していない場合は、SCAに対応している決済サービスへ切り替える必要があります。

SCA対応は、多くの場合3Dセキュアを使って行われるため、以下の方法で対応可能です。

クレジットカードおよびデビットカードの決済に3Dセキュアを適用する
PSD2の顧客認証要件に自動的に最適化された決済ポータルを使用する

Shopifyペイメントを使用している場合、特別な設定をしなくても、SCA対応が自動で行われます。Shopify ペイメントは、取引が正常に承認されるためにカード発行元銀行が要求した場合にのみ3Dセキュアを使用します。

Shopifyでは、管理画面の注文ページで、3Dセキュアを通じて処理された注文を確認できます。3Dセキュアを通して支払われた注文には、注文タイムラインの横に3Dセキュア（3DS）と記載されます。

SCAの適用除外となるケース

SCAは原則すべてのオンライン決済で必要ですが、一定の条件を満たす場合には適用除外となることがあります。主なケースは以下の通りです。

低額取引

オンラインでの30ユーロ未満の少額決済や、店舗でのタッチ決済（非接触決済）などは例外となる場合があります。タッチ決済の場合は、1回あたり50ユーロ以下で、さらに最後にPINコードなどで認証してからの合計額が150ユーロを超えないことが条件です。

サブスクリプション

サブスクリプションなど、一定金額が繰り返し請求される定期課金で、同じ金額・同じ受取人の場合は、初回のみの認証で、その後は免除される場合があります。ただし、金額が変わるタイプのサブスクリプションや、不定期な課金にはSCAが適用されることがあります。

信頼できる事業者

顧客が販売者を「信頼できる事業者」としてホワイトリストに登録している場合、その事業者への支払いは認証が省略されることがあります。ただし、すべての銀行がこの機能を提供しているわけではありません。

取引リスク分析（TRA）による免除

決済事業者がリアルタイムでリスク評価を行い、不正の可能性が非常に低いと判断された場合、SCAを適用せずに安全と判断されるケースがあります。

法人取引

法人カードによる決済など、特定の安全性が確保された支払いは規制の対象とならないことがあります。

どういったケースが規制の適用除外となるかの判断は、使用する決済サービスや銀行によって変わります。基本的には発行銀行や決済事業者の判断によるため、マーチャント側が自動的に認証を省略できるわけではありません。

Shopifyペイメントなど、PSD2に準拠した決済ポータルを利用していれば、多くのケースで自動的に例外と判定され、適用除外となります。

越境ECで使えるPSD2準拠の決済サービス

Shopifyペイメント：Shopify公式の決済サービスです。PSD2とSCAに自動対応しており、追加設定なしで3Dセキュアを適用します。
Stripe（ストライプ）：開発者にも人気の高いオンライン決済サービスです。PSD2の規制に対応しており、APIを使って柔軟に導入できます。
Adyen（アディエン）：世界規模で展開する大手決済プラットフォームです。PSD2の規制に対応した高度なリスク分析や免除判定機能を備えています。
Klarna（クラーナ）：後払い決済で有名なサービスです。PSD2に準拠しており、3Dセキュア2.0などで本人確認を行います。
Apple Pay：iPhoneやApple Watchから使える非接触・オンライン決済です。EEAでの利用時もPSD2に準拠しています。
Google Pay：Android端末やChromeブラウザから利用できる決済サービスです。最新APIにより、SCAの要件を満たした決済承認方法が導入できます。
PayPal（欧州アカウント対応）：世界的に利用されているオンライン決済サービスです。EEAからの注文には3Dセキュア2.0を用いており、SCAの要件を満たしています。

まとめ

PSD2における強固な顧客認証（SCA）は、EEAでオンライン決済を安全に行うための必須ルールです。パスワードやカード情報だけでなく、端末や生体認証など複数の要素を組み合わせることで、不正利用のリスクを大幅に減らすことができます。

EEA向けに商品やデジタルコンテンツを販売している場合は、必ず自社の決済がSCA対応かどうか確認し、未対応なら早急に対応を進めてください。ShopifyペイメントなどPSD2準拠の決済サービスを利用すれば、最新の認証要件や例外判定にも自動で対応でき、取引を安全かつスムーズに行うことができます。

国内のみで取引を行う場合であっても、安心して買い物できる環境を整えればカゴ落ち率の低下につながり、リピーターの獲得にも有効です。さらにチャージバックなどのリスク対策にもなります。売上と顧客満足度を守るためにも、ECサイトのセキュリティ対策として、SCA対応を検討してみましょう。

よくある質問

EEAにはどの国が含まれますか？

EEAには次の30カ国が含まれます。

アイスランド、アイルランド、イタリア、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア、ルクセンブルク

EEAの顧客から注文があって、ECサイトがSCAに対応していないとどうなる？

EEAの顧客からの注文があったものの、ECサイトがSCAに対応していない場合、銀行やカード会社が支払いを承認せず、取引が成立しない可能性があります。そのため、EEA向けに販売する場合は必ずSCA対応済みの決済サービスを導入することが重要です。

利用している決済サービスがSCAに準拠しているか確認する方法は？

利用している決済サービスの公式ページやサポートに問い合わせるのが確実です。Shopifyペイメント、PayPal、Stripeなどは公式にPSD2準拠とSCA対応を明言しています。

日本国内だけで販売している場合もSCA対応は必要？

日本国内だけで取引が完結する場合、PSD2は適用されませんので、SCA対応は不要です。ただし、EUやEEAに住む顧客に向けて商品を販売する場合は、SCA対応が必要です。

文：Taeko Adachi