# フランス中央銀行が不正利用対策のための新たな要件を導入

フランス中央銀行は、2024 年 6 月 10 日から不正利用対策のプランを導入しており、その一環として、[PSD2](https://stripe.com/resources/more/what-is-psd2-here-is-what-businesses-need-to-know) の対象となるヨーロッパの事業者における、下記に記載する特定の基準を満たす取引の支払いを拒否するようフランスのイシュアーに勧告しています。対象となるのは、加盟店の開始した取引 (off_session)、購入者の開始した取引 (on_session)、通信販売および電話販売による取引 ([MOTO](https://stripe.com/resources/more/moto-payments-101#:~:text=MOTO%20payments%20are%20transactions%20where,card%20is%20not%20physically%20present.)) です。
この結果、フランスで販売を行うヨーロッパの事業者の取引は、[支払い拒否コード](https://docs.stripe.com/declines/codes) `authentication_required` で支払いが拒否される可能性があります。支払い拒否コード authentication_required の詳細をご確認ください。
### **事業者にはどのような影響が予想されますか？**
事業者への影響は、各事業者の構成、ビジネスモデル、活動、さらには各カード発行会社の対応方法によって異なります。たとえば、MOTO 決済を使用していなければ、利用している場合に比べて影響は小さくなります。
**この変更による影響を最小限に抑えるには**
* **強力な顧客認証 (SCA) に対応した Stripe の実装を利用する**: 不正利用を防ぎながら新しい要件に対応し購入完了率を最適化するには、最新の [SCA 対応の実装](https://docs.stripe.com/strong-customer-authentication/migration)を使用することを強くお勧めします。
* **他の決済手段を利用できない場合にのみ MOTO とオフセッションの決済を使用する:** Stripe を利用している事業者は、MOTO またはオフセッションとして送信された支払いが、その取引の種類として扱われるための適用条件を満たすようにする責任があります。オフセッションの決済の場合は購入者から[適宜同意書](https://docs.stripe.com/payments/setup-intents#mandates)を得る必要があります。
### **フランス中央銀行によるイシュアーへの勧告**
[フランス中央銀行のサイト](https://www.banque-france.fr/fr/strategie-monetaire/moyens-de-paiement/osmp/activites-osmp)から、「Plan de sécurisation des paiements par carte à distance」の全文をご覧いただけます。以下はその要約です。
フランスのカードイシュアーは、以下のガイドラインに従って支払いを拒否することが推奨されます。この取り組みは[強力な顧客認証 (SCA)](https://stripe.com/guides/strong-customer-authentication) の規制に従うものです。
* イシュアーは、[3D セキュア](https://docs.stripe.com/payments/3d-secure) (3DS) を利用せずに処理されたオンライン決済の Velocity が規定のしきい値を上回った場合、その企業の取引を支払い拒否することができます (Velocity = 24 時間あたりの、事業者ごとのカード取引の累計取引額)。Velocity は以下のように計算されます。
  * 一部の 加盟店カテゴリーコード (MCC コード) は除外される
  * 低額の取引 (30 EUR 未満) は除外される
  * MOTO と on_session/off_session は別個に取扱われる
  * Velocity のしきい値は徐々に下がります。
    * 最初は 500 EUR (2024 年 6 月 10 日 ～ 9 月 9 日)
    * 次は 250 EUR (2024 年 9 月 9 日 ～ 10 月 14 日)
    * その次は 100 EUR (2024 年 10 月 14 日以降)
    * 50 EUR (2025 年 2 月 10 日以降)
    * 30 EUR (2025 年 3 月 10 日以降)
    * 10 EUR (2025 年 4 月 10 日以降)
    * 1.01 EUR (2025 年 5 月 12 日以降)
    * 0.01 EUR (2026 年 1 月 1 日以降)
適用される Velocity は、発行会社ごとに異なる場合があります。「事業者ごと」とは `merchant_ID` ごとという意味です。
### **on\_session**
(購入者の開始した取引 (CIT) とも呼ばれる)
* Velocity の上限に達すると、[3DS](https://docs.stripe.com/payments/3d-secure) を利用していない取引は [`authentication_required`](https://docs.stripe.com/declines/codes) により拒否されます
* 3D セキュアを利用していない CIT 取引でも、すでに SCA が適用されているウォレット (Apple Pay や Google Pay など) で支払う場合は拒否されません
**例**: しきい値が 500 EUR である場合:あるイシュアーが、事業者 Business.com から、同じカードによる 300 EUR の CIT 取引を 2 時間のうちに 2 件受け付けました。3D セキュアは利用されていません。600 EUR はしきい値を上回るため、このカード発行会社は以後 24 時間は Business.com の取引に対して、強力な認証を利用するよう求めることができます。
### off_session
(加盟店の開始した取引(MIT) とも呼ばれる)
* [3DS](https://docs.stripe.com/payments/3d-secure) の利用がない場合、連鎖参照なし、または[連鎖参照](/questions/banque-de-france-enforces-new-requirements-to-combat-fraud#:~:text=What%20is%20a%20chaining%20reference%3F)に誤りがある MIT 取引はすべて、Velocity の上限に達すると [authentication_required](https://docs.stripe.com/declines/codes) により支払いが拒否されます。
**例**: しきい値が 500 EUR である場合:あるイシュアーが、事業者 Business.com から、同じカードによる 300 EUR の MIT 取引を 2 時間のうちに 2 件受け付け、これらの取引に連鎖参照がないこと気付きました。また、3D セキュアの利用もありません。このカード発行会社は以後 24 時間は Business.com の取引を支払い拒否することができます。
連鎖参照とは何ですか？
加盟店がオフセッション取引を実行するには、初回の on_session 取引時 (サブスクリプションの開始時など) にカード保有者の認証を完了している必要があります。加盟店が、後で[再利用](https://docs.stripe.com/payments/save-and-reuse)できるように支払いデータを[収集](https://docs.stripe.com/payments/save-during-payment)します。その取引は、連鎖参照を設定して Stripe に記録され、この参照が後続の off_session 取引で使用されます。
### 通信販売 / 電話販売 (MOTO)
* Velocity の上限に達すると、3DS を利用した電話注文取引以外の MOTO 取引は [authentication_required](https://docs.stripe.com/declines/codes) によって支払いが拒否されます。
* MOTO の場合、他に通知がない限り、免除対象ではない業種に対しても Velocity のしきい値が 500 EUR に保持されます。
* 以下の MCC コードには例外が適用されます。1771、2741、3000 ～ 3299、3350 ～ 3449、3500 ～ 3999、4011、4112、4411、4511、4722、4814、4900、5965、6010、6012、6300、6513、7011、7032、7033、7322、7512、8111、8220、8398、9405
**例: しきい値が 500 EUR である場合:** あるイシュアーが、同じカードによる 300 EUR の MOTO 取引を 2 時間のうちに 2 件受け付けました。3D セキュアは利用されていません。このカード発行会社は、Business.com の次回以降の取引を支払い拒否することができます。
### 一時的な免除プロセス
今回の勧告の実施後に支払い成功率が大幅に悪化した加盟店は、Velocity の上限の仕組みの一時的な免除を申請することができます。申請を直接提出するか、アクワイアリング PSP またはフランス中央銀行の運営委員会の他の委員を通して提出してください。この免除を要請するための資格要件は、[フランス中央銀行のサイト](https://www.banque-france.fr/fr/strategie-monetaire/moyens-de-paiement/osmp/activites-osmp)の **Plan de sécurisation des paiements par carte à distance** 付録 3 に記載されています。