PSD2と強力な顧客認証ガイド

PSD2は、SCA要件が義務化されたことでヨーロッパの決済を根本的に変革しました。ヨーロッパで決済を受け付けるすべての事業者にとって、これらの要件を理解することは不可欠です。

強力な顧客認証（SCA）は、3つのカテゴリから2つの独立した認証要素を要求します：

• 知識：パスワード、PIN、秘密の質問
• 所有：スマートフォン、ハードウェアトークン、スマートカード
• 固有性：指紋、顔認証、行動バイオメトリクス

各要素は独立していなければなりません。一方が侵害されても、もう一方は侵害されないことが条件です。スマートフォンに保存されたパスワードは、2要素とはみなされません。

SCAは、欧州経済領域（EEA）内の顧客が開始する電子決済に対して要求されます。

SCAが必要な取引：

• オンラインカード決済（eコマース）
• オンラインで開始した銀行振込
• 新しい支払い方法の追加
• 定期シリーズの初回支払い
• 決済口座情報へのアクセス

SCAが不要な取引：

• 加盟店が開始する取引（初回設定後）
• 郵便注文・電話注文（MOTO）
• 片足取引（支払人または受取人がEEA外）
• 150ユーロ未満の匿名プリペイドカード
• 交通・駐車場向け無人端末

適用範囲を理解することで、SCAフローが必要な取引とそうでない取引を把握できます。

免除規定により、低リスク決済での摩擦を軽減しながらSCAなしで取引を処理できます。

少額取引：

• 1取引あたり30ユーロ未満
• 累計上限：前回SCA以降100ユーロまたは5取引
• 上限超過の場合、発行会社が拒否する場合あり

定期支払い：

• 同一加盟店への同額支払い
• 初回設定時にSCAが必要
• 以降の支払いは免除

信頼済み受取人：

• 顧客が特定の加盟店をホワイトリスト登録
• ホワイトリスト追加時にSCAが必要
• ホワイトリスト済み加盟店への将来の支払いは免除

低リスク取引（取引リスク分析）：

• 加盟店の不正利用率が閾値以下
• 免除金額：100ユーロ（不正率0.13%）、250ユーロ（0.06%）、500ユーロ（0.01%）
• リアルタイムの不正分析が必要

法人決済：

• 専用コーポレートカードを使用したB2B決済
• セキュアな法人決済プロセス

決済プロバイダーを通じて免除を申請してください。発行銀行が免除を認めるかどうかの最終判断を行います。

3D Secure 2（3DS2）は、カード決済におけるSCAを実装するための主要プロトコルです。

3DS2の仕組み：

1. 加盟店が拡充されたデータとともに決済を送信
2. カードネットワークが発行会社のACSにルーティング
3. 発行会社が提供データを用いてリスク評価
4. 低リスク：フリクションレス承認
5. 高リスク：チャレンジ（OTP、生体認証など）

フリクションレスフローとチャレンジフロー：

• フリクションレス：顧客操作なし、即時承認
• チャレンジ：顧客が認証ステップを完了

フリクションレス率を向上させるデータ：

• 請求先住所と一致する配送先住所
• デバイスフィンガープリントと行動データ
• 過去の取引履歴
• アカウント年齢と購入パターン

実装アプローチ：

• リダイレクト：顧客を発行会社の認証ページに転送
• 組み込み：加盟店のチェックアウト内で認証
• ネイティブ（モバイル）：アプリ内SDK認証

決済プロバイダー（Stripe、Adyen）は3DS2を自動で処理します。フリクションレス承認を最大化するために、豊富な取引データの提供に注力してください。

SCAコンプライアンスは、加盟店と発行会社間の不正損失に関する責任配分に影響します。

従来の責任（SCAなし）： 加盟店が不正取引の責任を負います。チャージバックは加盟店の収益から差し引かれます。

SCA成功時： 責任は発行会社に移転します。認証済み取引で不正が発生した場合、加盟店ではなく発行会社が損失を負担します。

免除時の責任： 加盟店が免除を申請し不正が発生した場合、加盟店が責任を負う可能性があります。コンバージョン改善と不正リスクのバランスを慎重に判断してください。

実装上の推奨事項：

• 初めての顧客には必ずSCAを試みる
• リピーター顧客には免除を適切に活用する
• 免除種別ごとに不正率を監視する
• 実際の不正経験に基づいて戦略を調整する

目標は、チェックアウトの摩擦（完了率の低下）と不正保護（責任移転）のトレードオフを最適化することです。