📖用語集 💰ポイント経済圏 💳国際ブランド 🕵️‍♀️審査・クレヒス 🔰安全ガイド ✈️マイルと保険 👑ゴールドの価値 👜2枚持ち戦略
ホーム > クレジットカード > 3Dセキュアとは
クレジットカード用語解説

3Dセキュアとは?本人認証の仕組み・1.0と2.0の違い・エラー時の対処法を図解で解説

ヒナコ

ヒナコ

ネットショッピングでカード番号を入力したあとに、パスワードやSMSのコードを求められることがあるんですけど、あれは何ですか?

トシ

トシ

それが3Dセキュアだ。カード番号・有効期限・セキュリティコードだけでは「カードを持っている人」が本人かどうかわからない。3Dセキュアは追加の認証ステップを挟むことで「この決済は本当にカード名義人が行っているか」を確認する仕組みだ

ヒナコ

ヒナコ

確かに、カード番号だけだと誰でも使えてしまいますもんね。でも毎回パスワードを入力するのは面倒じゃないですか?

トシ

トシ

その「面倒」を解消したのが3Dセキュア2.0だ。旧バージョンの1.0は毎回パスワード入力が必要だったが、2.0ではAIがリスクを判定し、不審な取引のときだけ認証を要求する「リスクベース認証」が導入された。普段の買い物はほぼノーストレスで通過し、異常なパターンのときだけブロックする。利便性と安全性を両立した設計だ

3Dセキュアの仕組み──ネット決済の「本人確認」

3Dセキュア(3-D Secure)は、Visa Internationalが開発したオンライン決済の本人認証プロトコルだ。現在はVisa以外の国際ブランド(Mastercard・JCB・American Express)も採用しており、ネット決済のセキュリティ標準として世界中で利用されている。

「3D」の名称は3つのドメイン(領域)に由来する。カードを発行する会社(Issuer Domain)、加盟店の決済を処理する会社(Acquirer Domain)、そして国際ブランドが運営する認証基盤(Interoperability Domain)。この3者が連携して「この決済はカード名義人本人が行っているか」を認証する仕組みだ。

通常のオンラインカード決済では、カード番号・有効期限・セキュリティコード(CVV/CVC)の3つで決済が完了する。しかしこの3つは「カード情報を知っている人」であれば誰でも入力できてしまう。カード情報がフィッシング詐欺やデータ漏洩で流出した場合、第三者がそのまま不正利用できる。

3Dセキュアはこの弱点を補うために、カード情報の入力後に追加の認証ステップを挿入する。認証方式はカード会社によって異なり、事前登録したパスワードの入力、SMSやメールで送信されるワンタイムパスワード、カード会社アプリでの承認操作、スマートフォンの生体認証(指紋・顔認証)などがある。

3Dセキュアに対応していないECサイトでは、この追加認証なしで決済が完了する。対応サイトでのみ認証画面が表示される仕組みだ。

3Dセキュアの認証フロー Step 1 ECサイトで カード情報入力 Step 2 カード会社の 認証画面に遷移 Step 3 パスワード/OTP を入力 Step 4 認証OK 決済完了 ▲ この部分が3Dセキュア(追加の認証レイヤー) 「3D」= 3つのドメインが連携 Issuer Domain カード発行会社 Acquirer Domain 加盟店の決済処理会社 Interoperability Domain 国際ブランドの認証基盤 ※OTP=ワンタイムパスワード

1.0と2.0の違い──リスクベース認証の導入

3Dセキュア1.0(旧バージョン)

3Dセキュア1.0は2001年にVisaが導入した初代の本人認証規格だ。約20年にわたりオンライン決済の標準として使われてきた。

認証方式は「事前に登録した固定パスワードを毎回入力する」というシンプルなものだった。しかしこの方式には2つの大きな問題があった。第一に、パスワードを忘れて決済を途中で諦めるユーザーが続出した(いわゆる「カゴ落ち」)。EC事業者にとっては売上の機会損失であり、3Dセキュアの導入をためらう原因になっていた。

第二に、固定パスワードはフィッシング詐欺で盗まれるリスクがあった。カード情報と一緒にパスワードも盗まれてしまえば、3Dセキュアの認証を突破されてしまう。セキュリティの仕組みそのものが攻撃対象になっていた。

2022年10月にVisa・Mastercardが1.0のサポートを正式に終了し、1.0は役目を終えた。

3Dセキュア2.0(EMV 3-D Secure)

2016年にEMVCo(国際ブランド6社の合弁組織)が策定し、2019年頃から各カード会社が順次導入を開始した。

最大の進化はリスクベース認証の導入だ。カード会社がAIで取引のリスクレベルをリアルタイムに判定し、低リスクと判断された取引は追加認証なしで通過させる(フリクションレス認証)。高リスクと判断された取引のみ、ワンタイムパスワード・アプリ承認・生体認証などの追加認証を要求する。

リスク判定に使われる情報は多岐にわたる。デバイスの種類・OS、IPアドレスと地域情報、過去の購入パターンとの一致度、取引金額、取引の時間帯、配送先住所の変更有無などをAIが総合的に評価する。普段使っているスマートフォンからいつもの金額帯で買い物をしていれば低リスクと判定され、認証画面は表示されない。

結果として、ユーザーの利便性を維持しながら不正利用を検知する精度が大幅に向上した。カゴ落ち率の改善とセキュリティ強化を同時に実現した設計と言える。

1.0→2.0で変わったこと

認証方式は固定パスワードからワンタイムパスワード・生体認証に進化した。認証のタイミングは毎回実行からリスクベースで必要な時だけに変わった。対応デバイスもPC中心からスマートフォン・アプリに最適化された。1.0の「面倒で突破もされやすい」という二重の欠点を、2.0が根本から解決した形だ。

3Dセキュア 1.0 vs 2.0 1.0(旧バージョン) 認証方式 固定パスワード 認証頻度 毎回入力が必要 対応デバイス PCのみ最適化 パスワード忘れ → カゴ落ち多発 固定パスワード → 盗難リスク 2022年10月 サポート終了 進化 2.0(EMV 3-D Secure) 認証方式 OTP・生体認証 認証頻度 リスクベース(必要時のみ) 対応デバイス スマホ・アプリ最適化 低リスク → 認証なしで通過 高リスク → 追加認証を要求 利便性 + セキュリティの両立 2.0により「面倒で突破もされやすい」という二重の欠点が解消された

各ブランドの名称と登録方法

国際ブランドごとの名称

3Dセキュアは国際ブランドごとに独自の名称で提供されている。仕組み自体は同じだが、カード会社やECサイトの画面に表示される名前が異なるため、混乱しやすい。

VisaはVisa Secure(旧称:VISA認証サービス / Verified by Visa)。MastercardはMastercard Identity Check(旧称:Mastercard SecureCode)。JCBはJ/Secure。American ExpressはAmerican Express SafeKey。いずれも3Dセキュア2.0の規格に準拠しており、技術的な仕組みは共通だ。名称だけがブランドごとに異なる。

登録方法(一般的な手順)

多くのカード会社では、3Dセキュア2.0は自動で有効化されている。カードが届いた時点で追加の登録手続きなしに利用可能な場合が大半だ。

ただし、ワンタイムパスワードの送信先(SMS番号・メールアドレス)がカード会社に正しく登録されている必要がある。機種変更やメールアドレス変更後に更新を忘れていると、認証コードが届かずエラーになる。

一部のカード会社では、会員専用サイト(マイページ)から「本人認証サービス」の設定をONにする必要がある。設定状況はマイページの「セキュリティ設定」や「カード情報」の項目で確認できる。自分のカードが3Dセキュアに対応しているか不明な場合は、カード裏面のコールセンターに問い合わせれば確認してもらえる。

国際ブランド別 3Dセキュアの名称 国際ブランド 3Dセキュアの名称 旧称 Visa Visa Secure Verified by Visa Mastercard Mastercard Identity Check SecureCode JCB J/Secure American Express American Express SafeKey 名称は異なるが仕組みは同じ(3Dセキュア2.0準拠)

3Dセキュア2.0の義務化と背景

経産省の要請──2025年3月末を期限とした導入推進

経済産業省は2024年、EC事業者に対して2025年3月末までに3Dセキュア2.0の導入を要請した。これはクレジットカードの不正利用被害額が過去最高を更新し続けている状況を受けた対応だ。日本クレジット協会の発表によれば、不正利用被害は年々増加傾向にある。

割賦販売法の改正により、EC事業者はカード情報の適切な管理とセキュリティ対策の義務を負う。経産省の「クレジットカード・セキュリティガイドライン」では、EC事業者が講じるべきセキュリティ対策として3Dセキュア2.0の導入が明記されている。

なぜ導入推進が必要になったのか

ネットショッピングの急増に伴い、オンラインでのカード不正利用が急拡大した。特にフィッシング詐欺で盗まれたカード情報がECサイトで不正利用されるケースが増加している。3Dセキュア2.0が導入されていないECサイトでは「認証なし」で決済が完了するため、盗まれたカード情報の不正利用先として狙われやすかった。

1.0時代には「カゴ落ち率の上昇」を懸念してEC事業者が導入を見送るケースが多かったが、2.0のリスクベース認証によってカゴ落ちの問題は大幅に改善されている。導入を見送る合理的な理由がなくなったことも、推進の背景にある。

消費者側の影響

3Dセキュア2.0対応サイトが増えることで、今後はワンタイムパスワードの入力を求められる場面が増える可能性がある。SMS受信やアプリ承認に対応できるよう、カード会社に登録している電話番号・メールアドレスが最新であることを確認しておくこと。

3Dセキュア非対応のECサイトでは、万が一の不正利用時にチャージバック(売上取消)の責任が加盟店側に移る。長期的には非対応サイトは淘汰されていく可能性が高い。チャージバックの仕組みはチャージバックとは?で解説している。

3Dセキュア2.0 導入推進の背景 カード不正利用被害の増加 フィッシング詐欺で盗まれたカード情報 → ECサイトで不正決済 → 被害額が過去最高を更新 経産省:EC事業者に3Dセキュア2.0の導入を要請 クレジットカード・セキュリティガイドラインに明記(2025年3月末を期限) 消費者への影響 認証場面の増加 → SMS・アプリの登録情報を最新に保つことが重要 ※出典:日本クレジット協会「クレジットカード不正利用被害の集計結果」
ヒナコ

ヒナコ

ネットショッピングで3Dセキュアの認証画面が出てきてエラーになったことがあるんですけど、どうすればよかったんですか?

トシ

トシ

エラーの原因はいくつかある。ワンタイムパスワードの送信先が古い電話番号やメールアドレスのまま、カード会社に登録されているケースが最も多い

ヒナコ

ヒナコ

登録情報を更新すれば直るんですか?

トシ

トシ

大半はそれで解決する。カード会社のマイページでSMS送信先の電話番号とメールアドレスを確認し、最新の情報に更新する。それでもエラーが出る場合はブラウザのCookieやキャッシュを削除するか、別のブラウザで試す。カード会社のコールセンターに問い合わせれば、3Dセキュアの設定状況を確認してもらえる

エラーが出た場合の対処法

よくあるエラーの原因と対処

原因1:SMS送信先が古い──カード会社に登録されている電話番号が現在使用していない番号になっているケース。機種変更やMNP(携帯電話番号ポータビリティ)後に更新を忘れていることが多い。カード会社のマイページで電話番号を最新に更新する。

原因2:メールアドレスが古い──メール認証の場合、登録メールアドレスが古いままだとコードが届かない。フリーメール(Gmail等)の場合、ワンタイムパスワードのメールが迷惑メールフォルダに振り分けられている可能性もある。迷惑メールフォルダを確認し、カード会社のドメインを受信許可に設定する。

原因3:ワンタイムパスワードの有効期限切れ──ワンタイムパスワードは発行後5〜10分で失効するものが多い。SMSやメールを受信したら、即座に入力する。時間が経過してしまった場合は「再送信」ボタンで新しいパスワードを取得する。

原因4:ブラウザの問題──Cookieの無効化、ポップアップブロック、プライベートブラウジング(シークレットモード)は認証画面の遷移を阻害することがある。ブラウザのCookieとキャッシュを削除するか、通常モードの別のブラウザで決済をやり直す。

原因5:カード自体に制限がかかっている──利用停止中のカード、限度額を超過しているカード、不正利用検知による一時ロックがかかっているカードでは、3Dセキュア以前の段階でエラーになる。カード会社に連絡して利用状況を確認する。

それでも解決しない場合

カード会社のコールセンターに「3Dセキュアの認証エラーが発生する」と伝え、本人認証サービスの設定リセットや再登録を依頼する。カード裏面に記載されている電話番号から連絡できる。

急ぎの決済であれば、別のカードで支払うことで一時的に回避できる。ただし根本原因を放置すると同じエラーが繰り返されるため、カード会社への連絡は必ず行うこと。

3Dセキュア エラー時のトラブルシューティング 認証エラー発生 SMS / メールが届かない? YES → 登録情報を更新 NO ▼ コードを入力してもエラー? YES → Cookie/キャッシュ 削除・別ブラウザ NO ▼ カードに制限がかかっている? YES → カード会社に 連絡して確認 上記で解決しない → コールセンターに 「3Dセキュア認証エラー」と伝えて設定リセットを依頼 ※急ぎの場合は別のカードで決済(一時的な回避策)

【プロの視点】3Dセキュアは「面倒」ではなく「盾」だ

3Dセキュアの認証画面が表示されたとき、「面倒だな」と感じる人は多い。実際、1.0時代は毎回パスワード入力が必要で、それが原因で買い物を途中でやめる人も少なくなかった。

しかし現在の2.0は、不審な取引のときだけ認証を要求する設計に進化している。普段の買い物で認証画面が表示されたなら、それは「あなたの取引パターンと異なる何かが検知された」ということだ。表示されたこと自体が、セキュリティが機能している証拠と言える。

クレジットカードの不正利用は年々巧妙化している。フィッシング詐欺やスキミングでカード情報が盗まれても、3Dセキュアが設定されていれば追加認証をクリアしなければ決済が完了しない。つまり3Dセキュアは、カード情報が漏洩した場合の「最後の砦」として機能する。

自分のカードで3Dセキュアが有効になっているか、SMS送信先の電話番号が最新か、この2点を今すぐ確認することを勧める。確認に1分、設定更新に5分。この6分間の手間が、数万円の不正利用を防ぐ盾になる。

次に読むべきページ

3Dセキュアの仕組みを把握したら、関連するセキュリティ知識を補強して理解を深めよう。

まとめ

3Dセキュアはネット決済時にカード名義人の本人確認を行うセキュリティ技術だ。カード番号やセキュリティコードだけでは防げない不正利用を、追加の認証レイヤーでブロックする。

旧バージョン1.0は毎回パスワード入力が必要だったが、2.0ではAIによるリスクベース認証が導入され、不審な取引のときだけ認証を要求する設計に進化した。2025年にはEC事業者への導入が要請され、対応サイトは急速に拡大している。

エラーが出た場合はカード会社に登録しているSMS送信先の電話番号・メールアドレスが最新かを確認する。3Dセキュアはカード情報が漏洩した場合の「最後の砦」であり、設定を有効にしておくことを強く推奨する。

よくある質問

3Dセキュアは自分で設定しないと使えない?

カード会社によって異なる。多くのカードでは3Dセキュア2.0が自動で有効化されており、追加の登録手続きは不要だ。ただし一部のカード会社では会員専用サイトから「本人認証サービス」の設定をONにする必要がある。設定状況はマイページで確認できる。

3Dセキュアに対応していないECサイトではどうなる?

3Dセキュアの追加認証なしで決済が完了する。そのため、不正利用のリスクは対応サイトより高くなる。3Dセキュア非対応サイトで不正利用が発生した場合、チャージバック(売上取消)の責任は原則として加盟店側が負う。

ワンタイムパスワードが届かない場合の対処法は?

まずカード会社に登録しているSMS送信先の電話番号が現在使用中の番号かを確認する。機種変更やMNP(番号移行)後に更新を忘れているケースが多い。メール認証の場合は迷惑メールフォルダに振り分けられていないか確認する。

3Dセキュア2.0のリスクベース認証はどのように判定している?

カード会社がAIを用いて複数の情報を総合的に判定している。判定に使われる情報にはデバイスの種類、IPアドレス、購入履歴のパターン、位置情報、取引金額、時間帯などが含まれる。普段と異なるパターンが検知されると追加認証が発動する仕組みだ。

3Dセキュアを設定するとカード利用に制限がかかる?

通常の利用に制限がかかることはない。リスクベース認証により、普段どおりの買い物ではほぼ認証なしで通過する。追加認証が表示されるのは「普段と異なる取引パターン」が検知された場合だけだ。むしろ設定することで不正利用を防げるため、利便性を損なうことなく安全性が向上する。

出典・参考情報

リスクに関する重要事項:クレジットカードの利用は信用取引であり、支払いの遅延は信用情報機関に記録され将来の審査に影響する。3Dセキュアの認証方式・設定方法はカード会社により異なる。利用前に会員規約を確認すること。本記事は特定のカード会社の推奨やセキュリティの保証を目的としたものではない。

🛠 クレカ便利ツール

あわせて読みたい

関連ランキング クレジットカードおすすめランキング 関連ガイド オーソリゼーションとは?信用照会の仕組み おすすめ記事 スキミングとは?手口と磁気・ICの安全性