不払い認証とはどういう意味か？

このコンセプトを理解するためには、オリジナルの3DSプロトコルの仕組みの基本を見ておく価値がある。

3DS バージョン 1 では、取引を完了する前に、カード所有者（オンライン決済を行う人）が 発行銀行に対して本人であることを証明するよう求めている。これは、決済の実際のチェックアウト段階で、ポップアップウィンドウまたはインラインフレームを通じて行われる。

そのため、認証プロセスは常に実際の支払い中に行われた。その結果、2つの問題が発生した。

第一に、ユーザーがポップアップウィンドウの真偽を識別できるとは限らない。第二に、3DSプロトコルはモバイルペイメントが利用可能になる数年前に導入されたため、モバイルブラウザで認証プロセスを実行する際に互換性の問題があることが判明した。

3Dセキュア2.0は、互換性の問題に対処し、モバイルデバイス上でより摩擦のない体験を提供するようになったが、特定のケースでは、加盟店は認証プロセスを実際の支払いから切り離すこともできる。

これは、ユーザーの離脱や顧客体験に直接的な結果をもたらす。

なぜですか？

詐欺師がデビットカードやクレジットカードの情報に不正にアクセスする巧妙な方法を考え出す中、私たちはオンライン決済の潜在的な危険性を十分に認識しています。

そのため、オンライン・チェックアウトのプロセスはストレスに満ちた状況になりかねない。それゆえ、個人情報の入力を求める "未知の "ポップアップ・ウィンドウに直面すると、人々は簡単に立ち去ってしまうのだ。

3Dセキュアの認証を実際の支払いからストレスの少ない環境、つまり非決済認証に移すことで、買い物客の疑念を減らし、その結果取引の放棄を減らすことができる。

モバイル・アプリケーションにおける非決済認証

私たちは、加盟店が新しいプロトコルを既存のモバイルアプリケーションに簡単に統合できるようにするモバイルSDKの導入など、3DS 2.0がモバイル決済業界にどのような影響を与えるかを見てきた。

また、認証プロセス全体を改善し、未払い認証にも対応する。

そのようなアプリケーションのひとつがモバイルウォレットである。

近年、モバイル・ペイメントの人気が高まるにつれ、モバイル・ウォレット（またはイーウォレット）の利用も増加している。お金を安全に保管し、オンライン決済を迅速に処理できる便利なプラットフォームを提供している。

マスターカードが行った調査によると、モニターされたソーシャルメディア上の会話の75%で、デジタルウォレットが何らかの形で言及されている。Pointsが実施した別の調査によると、ほぼ100％の消費者が、何らかのロイヤリティ特典があれば、おサイフケータイをより頻繁に利用すると回答している。

モバイル・ウォレットの大きなプラス要素は、ユーザーがクレジットカードやデビットカードの詳細をアプリケーションに保存できることだ。そのため、支払いのたびにカード情報を入力することなく、プラットフォームを通じて取引を完了することができる。

そこで、3DS 2.0 の追加機能が活躍する。3DS 2.0は、加盟店のモバイル・アプリケーションで認証プロセスを行うことを可能にし、ユーザが後で使用するためにカード情報をプラットフォームに入力する時点で、追加のセキュリティ・レイヤーを提供します。

これは、認証プロセスが、決済環境から発行者承認の非決済環境に移行したことを意味する。

また、認証プロセスは他のアプリ内エクスペリエンスと一貫性があり、ユーザーにとって不安の少ないものとなる。

モバイルウォレットプロバイダーは、承認されたベンダーのモバイルSDKと組み合わせて3DSサーバーを使用し、ディレクトリサーバーへの簡単な接続を介して発行銀行からインテリジェンスを借りることにより、ユーザーの信頼性を検証することができます。

非決済認証とPSD2

PSD2（欧州連合による第二次支払サービス指令）の開発では、特にTFA（二要素認証）やOTP（ワンタイムパスワード）を含むSCA（強力な顧客認証）に関しては、新しい3Dセキュア2.0プロトコルの特定の機能と強い重複が見られた。

PSD2に基づく新規則では、一定額（10ユーロ程度）を超える電子決済にはSCAが要求されるとしている。SCAの定義は、"知識（利用者のみが知っていること）、所有（利用者のみが所有していること）、継承（利用者が存在すること）に分類される2つ以上の要素を使用することで、1つの違反が他の要素の信頼性を損なわない独立したもの "としている。

これは基本的にMFA（多要素認証）のことで、OTP、指紋や顔認識などの生体認証、モバイル・アプリケーションでスキャンできるQRコードなどが含まれる。

新しい決済指令が導入されると、銀行やその他の金融機関はSCAの規制に従わなければならなくなる。

したがって、加盟店が、取引履歴のないユーザーが新しいカードをシステム上で使用したことを検出した場合、リスクが高いと判断され、認証プロセスが必要となる可能性が高い。

加盟店や発行体にとって朗報なのは、この非決済認証プロセスは 3DS 2.0 ですでに要求されており、したがって PSD2 で確立された原則に完全に合致していることである。

加盟店のプラットフォームで3DS 2.0プロトコルがすでに採用されている場合、カスタマイズをほとんど、あるいはゼロにすることで、PDS2への容易な準拠を可能にし、関係者全員による不正行為との闘いを容易に継続することができる。

銀行がSCA管理で使用しているのと同じACSサーバーを、3Dセキュア認証を必要とするオンライン決済で使用することができる。銀行が3Dセキュア2.0 ACSサーバーに移行することは、理にかなっているとさえ言えるかもしれない。

結論

EMVCo理事会のジョナサン・メイン議長は、「セキュリティの他に、消費者体験がEMVCoの活動の中心である」と述べた。

3DS2.0は、発行者が承認した非決済認証のオプションを提供することで、加盟店と発行者は、摩擦のない顧客体験の実現にまた一歩近づきました。

さらに、加盟店は、ブラウザベースの取引以外にも、より多様なチャネルを通じたオンライン決済に対して、より一層のセキュリティを提供することができる。

そして最後に、3DS 2.0の非決済認証は、加盟店がPSD2のような決済ガバナンスに難なく準拠するのを助けるだけでなく、実際に規制当局と連携して、顧客にとってさらに安全なオンライン環境を構築する。