Shopifyで3Dセキュアを設定する方法とは？1.0と2.0の違いは？

ECサイトにおけるクレジットカード決済は、売り上げを支える重要な要素である一方、不正利用やチャージバックといったリスクとも常に隣り合わせです。こうした課題への対策として、近年導入が進んでいるのが本人認証を強化する「3Dセキュア」です。

特に最新の3Dセキュア2.0では、セキュリティを高めながらもユーザー体験を損なわない設計が採用されており、2025年には実質的な義務化も進んでいます。しかし、「どのような仕組みなのか」「Shopifyでどう対応すべきか」といった点で迷う方も多いのが実情です。

本記事では、3Dセキュアの基本から仕組み、導入方法、メリット・注意点までを体系的に解説します。EC事業者として押さえておくべきセキュリティ対策を、実務に即した形で理解できる内容になっています。

Shopifyの配送料を安くしたい方へ

国内三大宅配会社と個別契約なしで、特別価格で利用できる！

Shopifyアプリを見る 資料ダウンロード

目次

• 3Dセキュアについて

  • 3Dセキュアとは

  • 3Dセキュア2.0の特徴

  • 3Dセキュア2.0の義務化

  • 3Dセキュア2.0の認証の流れ

• Shopifyで3Dセキュアを導入する方法

  • Shopify Payment

  • Stripe

  • KOMOJU（コモジュ）

  • SBペイメントサービス

  • 独自決済の導入

• 3Dセキュアを導入するメリット

  • チャージバックによる金銭的被害の回避

  • 快適な購入体験と「カゴ落ち」の防止

  • ショップの健全性とユーザーからの信頼構築

• 3Dセキュアを導入する際の注意点

  • わずかながら発生する「カゴ落ち」のリスク

  • 決済手数料やシステム利用料のコスト確認

  • 全ての不正利用が完全に防げるわけではない

• 3Dセキュアに関するQ&A

  • 3Dセキュアに対応していないクレジットカードは使えますか？

  • 全ての決済で必ず3Dセキュア認証は行われますか？

  • 海外ユーザーの決済でも3Dセキュアは有効ですか？

  • 3Dセキュアの認証に失敗した場合はどうなりますか？

  • 3Dセキュアの導入に費用はかかりますか？

  • 3Dセキュアは全ての国で同じように使えますか？

  • 3Dセキュアはデビットカードやプリペイドカードでも使えますか？

3Dセキュアについて

まず、3Dセキュアの基礎知識について解説します。

3Dセキュアとは

3Dセキュアとは、クレジットカード決済時にカード保有者本人であることを確認するための認証仕組みです。オンライン決済ではカード番号や有効期限などの情報のみで決済が成立するケースも多く、不正利用のリスクが課題となっていました。

3Dセキュアを導入することで、カード発行会社（イシュア）が追加の本人確認を行い、不正取引を未然に防ぐことが可能になります。

従来の仕組みでは、決済時に専用画面へ遷移し、事前に登録したパスワードを入力することで認証を行っていましたが、ユーザーの手間が増えることによる離脱や、セキュリティ面での課題も指摘されていました。

3Dセキュア 2.0の特徴

3Dセキュア2.0（EMV 3-D Secure）は、従来の課題を改善した次世代の認証方式です。最大の特徴は「リスクベース認証」によって、セキュリティとユーザー体験を両立している点にあります。

決済時には、デバイス情報（端末・ブラウザ）、位置情報、過去の購買履歴、利用状況など多くのデータが自動的に連携され、取引のリスクがリアルタイムで評価されます。その結果、リスクが低いと判断された場合は追加認証なしで決済が完了し（フリクションレス認証）、ユーザーの操作負担を最小限に抑えられます。

一方で、不審な取引と判定された場合のみ、ワンタイムパスワードや生体認証などの追加認証が求められるため、セキュリティレベルを維持しながらスムーズな決済体験を実現します。また、スマートフォンやアプリ環境にも最適化されており、現代のECに適した仕様となっています。

現在、バージョンは2.2、2.3と進化を続けています。

3Dセキュア2.0の義務化

2025年3月末（※一部は4月以降）までに、全てのEC事業者に対して「EMV 3-Dセキュア（3Dセキュア2.0）」の導入が実質的に義務化されます。これは、クレジットカードの不正利用対策を強化するため、日本クレジット協会が中心となって策定したセキュリティガイドラインに基づく対応です。

近年、EC市場の拡大に伴いカード不正利用の被害が増加しており、従来の対策だけでは十分とは言えない状況が続いています。こうした背景から、本人認証を強化できる3Dセキュア2.0の導入が業界全体で求められるようになりました。

この義務化は法律による直接的な強制ではありませんが、カード会社や決済代行会社のルールとして適用されるため、未対応の場合はクレジットカード決済の利用制限や契約条件の見直しといった影響を受ける可能性があります。

3Dセキュア2.0の認証の流れ

3Dセキュア2.0の認証の流れは次のとおりです。

• ①ユーザーがECサイトで商品を購入し、クレジットカード情報を入力して決済を実行

• ②決済時に、端末情報・ブラウザ情報・位置情報・過去の利用履歴などのデータがカード発行会社へ送信される

• ③カード発行会社がこれらの情報を基にリスク評価を実施し、取引の安全性を判定

• ④リスクが低い場合は「フリクションレス認証」となり、追加認証なしで決済がそのまま承認される

• ⑤リスクが高いと判断された場合は「ステップアップ認証」に移行

• ⑥ワンタイムパスワードやアプリ認証、生体認証（指紋・顔認証など）による本人確認を実施

• ⑦認証が正常に完了すると、決済が最終的に承認される

Shopifyで3Dセキュアを導入する方法

Shopifyに3Dセキュアを導入する方法を解説します。

Shopify Payment

Shopify標準の決済である「Shopify Payments」を利用する場合、3Dセキュア（3Dセキュア2.0）はすでに自動で導入されています。ストア側で個別に設定する必要はなく、有効・無効の切り替えもできません。

また、取引ごとにリスク判定が行われ、必要な場合のみ3Dセキュア認証が発動する仕組み（リスクベース認証）になっています。

Shopify Paymentsを有効化する方法は、Shopifyの管理画面の左サイドバーの一番下に位置する「設定」＞「決済」＞「Shopifyペイメント」で「Shopifyペイメントを有効にする」をクリックするだけです。

特別な理由がない限り、Shopify事業者はまずShopify Paymentsを利用することをおすすめします。

Stripe

Stripeは本来、3Dセキュア（3Dセキュア2.0）に対応している決済サービスです。
ただし、Shopifyにおいては現在、Stripeを単体の決済ゲートウェイとして新規導入することはできません。

Shopify内部ではStripe技術が利用されていますが、ユーザーが直接Stripeアカウントを接続して使う形は基本的に不可となっています（＝Shopify Payments経由で利用される形）。

KOMOJU（コモジュ）

日本国内向けに広く使われている決済代行サービスで、Shopifyとも公式連携されています。

クレジットカード決済において3Dセキュアに対応しており、コンビニ決済や銀行振込などもまとめて扱えます。

ただし、KOMOJUを利用するには、専用アカウントの作成とShopifyアプリとの接続が必要です。

SBペイメントサービス

SBペイメントサービスは、ソフトバンクグループが提供する国内決済サービスです。国内特化型の決済環境を構築したい事業者に適しています。

クレジットカード決済で、EMV 3Dセキュア（3Dセキュア2.0）に対応しています。

クレジットカードに加え、キャリア決済・QR決済などもまとめて導入できるのが特徴です。

独自決済の導入

Shopifyの最上位プランである「Shopify Plus」であれば、独自の決済方法をゼロから開発することで、3Dセキュアを組み込んだ高度な決済システムを導入することが可能です。

既存の外部サービスを利用するのではなく、自社の社内システムや特殊な業務要件に完全に合致した形で、強固な本人認証フローを構築できるのが大きな強みです。ただし、この方法は高度な専門スキルと多額の開発コスト、そして長期の準備期間を要するため、大規模なプロジェクトにおける戦略的な選択肢となります。

3Dセキュアを導入するメリット

3Dセキュアを導入するメリットは次のとおりです。

• チャージバックによる金銭的被害の回避

• 快適な購入体験と「カゴ落ち」の防止

• ショップの健全性とユーザーからの信頼構築

それぞれを分かりやすく解説します。

チャージバックによる金銭的被害の回避

EC運営者にとって最も恐ろしいリスクの一つが「チャージバック」です。これは、第三者によるカードの不正利用が発生した際、カード保有者が支払いを拒絶することで、ショップ側の売り上げが強制的に取り消される仕組みを指します。この場合、商品はすでに発送していても、その代金を回収することはできません。

しかし、3Dセキュアを導入していれば、万が一不正利用が発生したとしても「ライアビリティ・シフト（責任転嫁）」というルールが適用されます。これにより、不正による損失の責任はショップ側ではなくカード発行会社が負うことになるため、店舗の利益を守り、予期せぬ大きな損失を未然に防げます。

快適な購入体験と「カゴ落ち」の防止

従来の3Dセキュア1.0は、決済のたびに必ずパスワード入力を求める仕様だったため、パスワード忘れや入力の手間によって購入を断念する、いわゆる「カゴ落ち」を招くことが課題でした。対して、最新の3Dセキュア2.0では「リスクベース認証」という高度な仕組みが採用されています。

これは、カード会社がデバイス情報や過去の行動パターンをリアルタイムで分析し、安全だと判断された取引では追加認証を自動的にスキップするものです。実際に、多くの決済がパスワード入力なしで完了するため、強固なセキュリティを保ちながらも、ユーザーにストレスを感じさせないスムーズな購入体験を提供できるようになりました。

ショップの健全性とユーザーからの信頼構築

近年、オンライン上での不正利用被害が増加していることもあり、消費者のセキュリティに対する意識は非常に高まっています。3Dセキュアを導入し、適切に運用していることは、そのショップが「お客様の決済情報を大切に扱っている」という何よりの証明になります。

また、日本国内では2025年3月までに全ECサイトでの導入が原則義務化されたという背景もあります。この業界標準をクリアしていることは、法令順守の姿勢を示すことになり、初めてサイトを訪れる新規顧客に対しても「このショップなら安心してカードを使える」という強力な安心感を与え、リピーターの獲得やブランド価値の向上に直結します。

3Dセキュアを導入する際の注意点

3Dセキュアを導入する際の注意点は次のとおりです。

• わずかながら発生する「カゴ落ち」のリスク

• 決済手数料やシステム利用料のコスト確認

• 全ての不正利用が完全に防げるわけではない

それぞれを詳しく解説します。

わずかながら発生する「カゴ落ち」のリスク

3Dセキュア2.0では、リスクベース認証によって多くの場合で入力が免除されますが、追加認証（チャレンジ・フロー）が必要と判断された場合には、依然として離脱のリスクが残ります。

特に、ユーザーがカード会社のマイページでパスワードや連絡先を最新の状態に更新していない場合、認証コードが届かなかったり、認証に失敗したりして決済が完了できないケースが発生します。これにより、購入意欲の高い顧客を逃してしまう可能性があるため、サイト内のFAQやガイドラインで「本人認証サービスの設定確認」をユーザーに促しておくなどの配慮が求められます。

決済手数料やシステム利用料のコスト確認

3Dセキュアの導入には、利用する決済代行会社によって追加のコストが発生する場合があります。月額のシステム利用料に組み込まれているケースもあれば、1件の認証ごとに数円程度の「認証事務手数料」が発生するケースもあります。

また、Shopifyなどのプラットフォームにおいて、Shopifyペイメント以外の外部決済ゲートウェイ（KOMOJUやSBペイメントサービスなど）を導入する場合は、決済代行会社への手数料とは別に、Shopify側へ支払う「外部決済手数料（プランにより0.6%〜2.0%）」が上乗せされる点にも注意が必要です。セキュリティ向上による利益保護と、これらのランニングコストのバランスを事前にシミュレーションしておくことが重要です。

全ての不正利用が完全に防げるわけではない

3Dセキュアは非常に強力な防壁ですが、残念ながら「導入すれば不正利用が100%ゼロになる」という魔法の杖ではありません。例えば、フィッシング詐欺によってワンタイムパスワードそのものがリアルタイムで盗まれたり、認証を突破する高度な手口が使われたりする可能性はゼロではありません。

また、カード会社側が3Dセキュアによる認証を「成功」と判断した取引以外（認証エラーを無視して決済を通した場合など）については、先述した「ライアビリティ・シフト（カード会社による補償）」の対象外となることがあります。システムを導入して安心するだけでなく、不自然に大量の注文が入っていないかなど、日々の受注管理における目視チェックや、不正検知システムの併用といった多層的な対策を継続することが求められます。

3Dセキュアに関するQ&A

最後に、3Dセキュアに関するよくある質問とその回答を紹介します。

3Dセキュアに対応していないクレジットカードは使えますか？

一部のカードや発行会社によっては3Dセキュアに未対応、または設定が有効化されていない場合があります。その場合、ECサイト側の設定によっては決済が拒否される可能性があります。

特に3Dセキュア必須の運用にしている場合は、ユーザーに対して事前に「本人認証サービスの登録が必要」である旨を案内しておくことが望ましいでしょう。

全ての決済で必ず3Dセキュア認証は行われますか？

3Dセキュア2.0では、全ての取引で認証が行われるわけではありません。リスクが低いと判断された取引では追加認証なしで決済が完了する「フリクションレス認証」が適用されます。

一方で、不審な取引や高リスクと判定された場合のみ、ワンタイムパスワードや生体認証などの追加認証が実施されます。

海外ユーザーの決済でも3Dセキュアは有効ですか？

3Dセキュアは国際ブランド（Visa、Mastercardなど）が提供する共通の認証基盤のため、海外ユーザーの決済にも有効です。ただし、カード発行会社や国によって認証方法や対応状況に違いがあるため、認証フローが異なる場合があります。

越境ECを行う場合は、海外カードでの決済テストやエラー時の対応フローもあらかじめ確認しておくと安心です。

3Dセキュアの認証に失敗した場合はどうなりますか？

認証に失敗した場合、その決済は基本的に承認されず、購入は完了しません。原因としては、ワンタイムパスワードの入力ミスや有効期限切れ、認証アプリの未設定などが考えられます。

ユーザー側で再度認証をやり直すか、別のカードを利用することで解決できるケースが多いため、エラー時の案内を分かりやすく表示することが重要です。

3Dセキュアの導入に費用はかかりますか？

導入費用は利用する決済サービスによって異なります。Shopify Paymentsのように標準機能として提供されている場合は追加費用なしで利用できるケースが多いですが、外部の決済代行サービスを利用する場合は初期費用や手数料が発生することがあります。

契約前に料金体系を確認しておくことが重要です。

3Dセキュアは全ての国で同じように使えますか？

基本的な仕組みは国際標準として共通ですが、対応状況や認証方法は国やカード会社によって異なります。特に一部の国では3Dセキュアの普及率が低い場合もあり、認証フローが発生しないケースもあります。越境ECでは、主要ターゲット国ごとの対応状況を把握しておくことが重要です。

3Dセキュアはデビットカードやプリペイドカードでも使えますか？

カード発行会社が対応していれば、デビットカードやプリペイドカードでも利用可能です。ただし、全てのカードが対応しているわけではなく、特に一部のプリペイドカードでは3Dセキュアに非対応の場合もあります。利用可否はカード会社ごとの仕様に依存するため、事前に確認しておく必要があります。