セキュリティガイドライン【6.0版】の改訂ポイントを探る

ただし、新GLはEMV3DSの「運用」に関する項を設け、例外を認めている。

「加盟店がEMV 3.D セキュア以外に講じる不正利用対策の内容や抑止効果に応じて、カード番号の登録時にEMV 3.D セキュアによる認証を行う運用や加盟店のリスク判断によりEMV 3.D セキュアによる認証を行う運用も認められる。

また、EMV 3.D セキュアの未導入が認められる取引についても別途定めている」（38ページ）と柔軟な枠組みを提示した。

詳しくは、附属文書14の「EMV 3.D セキュア導入ガイド2.0版」に定められており、附属文書14（21ページ）には図表2が示されている。

例えば、パターン①はEC加盟店が必要だと判断した場合に、カード番号登録時や決済の都度EMV3DSによる認証を行う方式だ。言い換えれば、EC加盟店が不要だと判断した取引については、EMV3DSによる認証を行わないことも認められる。

ただし、EC加盟店が網羅的に行う不正利用対策がEMV3DSと同等以上の不正抑止効果があることが前提だ。

「網羅的」というのは、カード決済前・決済時・決済後の全ての場面で「線」としての不正対策を講じていることを意味している。自社のアクセス履歴・購買履歴等を軸にした属性・行動分析による不正リスク判断を行っていることも、パターン①の運用が求められる要件になっている。

パターン①の運用を行うには、加盟店と契約する全てのアクワイアラー等（PSPを含む）の了解が必要だ。

パターン②はカード番号登録時には必ずEMV3DSによる認証を行う方式。決済の都度EMV3DSによる認証を実施するかどうかはEC加盟店の判断で、必要と判断される取引については、EMV3DSをリクエストすることになる。

この運用が認められるには、EC加盟店がアカウント等を厳格に管理し、不正ログイン対策を講じた上で、ログインが行われる際にアカウント等の利用者であることの確認を行う必要がある。

パターン③はパターン①②に該当しないEC加盟店の場合で、決済の都度、EMV3DSによる認証を行うことになる。カード番号登録時については、加盟店の任意となるが、EMV3DSによる認証を行うことが推奨されている。

パターン③はEC加盟店が不正利用の発生状況に応じて、その他の対策を行っていることが必要だ。

このほか、継続課金（リカーリング取引）やチャージ（入金）型決済手段におけるオートチャージ、商品の一部返金による金額変更など加盟店が再オーソリを行う場合など、顧客からカード番号の通知が行われない取引（初回決済時・カード番号登録時等は通知を行う）、いわゆる「加盟店起点の取引における例外」も認められた。この場合は、初回決済時・カード番号登録時等はEMV3DSによる認証を行う。

ただし、顧客が購入商品・サービスの追加等を行い顧客接点が生じた場合は認証を行う。