最終更新 2024 年 10 月 29 日
2024 年 3 月 15 日にクレジットカード取引に関わる事業者が実施するべきセキュリティ対策を定めた「クレジットカード・セキュリティガイドライン」が改訂されました (クレジットカード・セキュリティガイドライン【5.0版】)。
クレジットカード・セキュリティガイドラインは、不正対策の一環として、原則、オンライン販売を行い、クレジットカード決済を受け付ける全ての加盟店 (Stripe ユーザ) は、2025 年 3 月末までに 3D セキュアの導入を完了する必要があると記載しています。
3D セキュア (3DS) とは、クレジットカード取引に追加の認証レイヤーを提供し、不正使用によるカード支払いに対する賠償責任からビジネスを保護する仕組みです。
Stripe は 2025 年 3 月 31 日から全ての対象取引に 3D セキュアを適用します。一部例外となるケース、3D セキュアを適用するかどうかを判断できる場合もあります。
Stripe では、2025 年 1 月より 3D セキュア要件の適用条件を満たす取引に対して、段階的な 3D セキュアの認証の適用を始め、2025 年 3 月 31 日に 100% の取引に拡大します。そのため、加盟店において決済の取引失敗を避けるために、2024 年末までに必要な実装を行う必要があります。詳細は本記事を参照ください。
3D セキュアへの対応準備が 2024 年 12 月までに間に合わない場合、2025 年 1 月からの段階的な適用から除外を申請することができます。除外申請を行ったとしても、2025 年 3 月 31 日から該当するすべての取引に対して、3D セキュアが必要となることをご留意ください。
3D セキュアをサポートしていない API (Charges API および Orders API) でのクレジットカード決済は、2025 年 4 月から3D セキュアが必要となり、結果として失敗するようになります。2025 年 6 月 30 日までに、これらの API を使用するすべてのクレジットカード決済が失敗するようになります。
3D セキュアの必須化対象外となる決済取引があります。ただし、例外や対象外となった取引は、3D セキュアを申請しない限り、免責 (ライアビリティシフト) の対象外です。Stripe の対象外取引の対応についての確認は、資料をご参照ください。
すでに Stripe での決済を実装済みの場合、ご利用中の API によってはお客様にて開発の対応が必要となります。
3D セキュアの導入が完了しているか確認するため、実装をテストカードで試すことをお勧めします。テストの方法に関する詳細なガイダンスは資料をご参考ください。
Charges API と Orders API は 3D セキュア 2 をサポートしておりません。Charges API を使用している場合、クレジットカードの支払いは失敗します。支払い拒否の増加を避けるため、早めに Payment Intents API に移行することを強くお勧めします。
Payment Intents API では 3D セキュアを通して支払いを受け付けることができます。顧客に支払いの認証を促すため、requires_action の状態の支払いに対して処理ができることを確認してください。カード認証時に発生するリクエストを処理できるように実装を変更する必要がございます。
また、サーバー側で決済を確定している場合は、クライアント側で 3D セキュア認証を完了させるために追加の処理を行う必要があります。詳しくはこちらのガイドをご参考ください。
APIのバージョンを 2019-03-14 以降にアップグレードするか、このガイドで説明されている payment_behavior パラメータを使用して、顧客のサブスクリプションの初回支払いが確実に認証されるようにする必要があります。
サードパーティやプラットフォームを通して Stripe を実装されている場合、仕様はサードパーティやプラットフォームに依拠しているため直接サードパーティやプラットフォームへご確認ください。
3D セキュアに関する、お客様からの問い合わせ対応への準備が必要となります。必要に応じて、お客様向けのカスタマーサポートへの対応や記事等に、3D セキュアについての説明が含まれていることを確認してください。
Stripe では、世界中の 100 万社以上の決済データを分析した機械学習を活用し、不正利用を検出、ブロックする Radar という不正対策のプロダクトを提供しています。カードの種類や利用国、デバイスや行動などの数百を超えるシグナルをもとに、機械学習によるリスク判定を行います。 3D セキュアを動的にリクエストする次の 3 種類のデフォルトの Radar ルールを提供しています。これらのルールをダッシュボードで設定することで、顧客のカード発行会社が 3D セキュアを要求するときに、顧客の追加認証をリクエストするようにできます。
また、固有のルールを設定可能な Radar for Teams では、3D セキュアと組み合わせることで、事業の顧客特性に合わせた独自のリスクをカスタマイズすることが可能です。リスクレベルや特定のメタデータに基づいて 3D セキュアをリクエストできます。これにより正当な支払いの過度なブロックや、決済承認率の低下と売上の減少を防ぎ、収益の最大化につなげることができます。
リスク判定によって 3D セキュアを動的にリクエストすることにより、不正対策を実施しつつ、カゴ落ちの可能性・頻度を抑えることが期待できます。
物理的カードを使用する対面取引は、3D セキュアの導入基準の対象ではありません。
罰金等の罰則規定はありませんが、加盟店のセキュリティ対策措置(クレジットカード番号等の適切な管理、不正利用の防止)が不十分な加盟店については、契約先のカード会社等による加盟店調査を通じて、必要なセキュリティ対策措置を早急に講じるよう指導等が行われることになります。なお、このような 指導にもかかわらず、必要なセキュリティ対策が講じられない場合には、加盟店契約が解除される場合がございます。
一般的に、3D セキュア認証によって手数料は発生しません。しかし、アカウントにカスタム料金体系が設定されている場合、3D セキュア認証の試行ごとに手数料が課される場合がございます。
サードパーティ/プラグインを通してStripeをご利用いただいている場合でも、今回の 3DS セキュアに伴い変更が必要になる可能性がございます。最終的には、サードパーティ側の開発に依存します。つきましてはお手数ではございますが、できるだけ迅速にご利用のサードパーティ/プラグインへ直接ご連絡いただき、これらの規制に向けて準備/更新を行っていることを確認することをお勧めいたします。