日本の 3D セキュア必須化の例外
例外を利用して、対象の取引でカード保有者の手間を省きます。
日本の業界ガイドラインは、2025 年 3 月末までにオンラインビジネスに 3D セキュア (3DS) を使用することを義務付けています。ガイドラインについて詳しくは、Stripe のサポート記事をご覧ください。
ガイドラインで例外が認められている場合、Stripe は支払いに 3DS を強制しません。
一般に、Stripe は、カードの保存時または最初の使用時のいずれかで、すべてのカードに対して少なくとも 1 回は 3DS 認証を適用します。Stripe では、すでに 3DS 認証済みのカードを使用して行われる支払いには 3DS を要求しません。
注
例外を使用して 3DS なしで支払いが行われたとき、不正利用による支払いに対するライアビリティシフトは適用されません。3DS が免除される支払いに 3DS のライアビリティシフトを適用するには、PaymentIntent または SetupIntent で request_three_d_secure を any に設定して、3DS を要求する必要があります。
| カテゴリー | 説明 |
|---|
| 既存のカード | 2025 年 4 月 1 日より前に入力されたカード、または他の決済代行業者から Stripe に移行されたカードは、以前に 3DS で認証されたものとして扱われます。 |
3DS が適用できない場合 | 下記の取引では、Stripe は 3DS を自動的には使用しません。 - デビットカードおよびプリペイドカード
- Apple Pay および Google Pay
お客様の実装システムが下記のケースのいずれかに該当する場合は、Stripe サポートにお問い合わせください。 - Stripe の顧客オブジェクトを使用していない場合(例えば、カード番号をそのまま使用して決済を行う場合)、
- カードが Stripe 以外で事前に承認されている場合。
- MOTO 決済を処理する場合。
- ゲーム機、スマートスピーカー、その他 3DS をサポートしていないデバイスからの支払いを処理している場合。
|
顧客起点の取引 (CIT) (後で購入するために E コマース ウェブサイトにカードを保存するなど) | usage=on_session を指定して SetupIntent を作成することでカードを保存すると、要求しない限り 3DS は使用されません。- カードが保存された時点で 3DS が実行されていない場合、最初の支払い時に3DSが要求されます。
- 保存されたカードが 3DS で認証されると、Stripe はカードを例外として扱い、そのカードを使用したその後の支払いでは 3DS を強制しません。ただし、後続の各支払い時にリスク分析を実装システムで実施し、その分析によって適切であると判断された場合には 3DS を要求する必要があります。リスク分析の実施には、Stripe Radar を使用できます。
- 次の 5 つのクレジット取引セキュリティ対策協議会のセキュリティチェックリストの要件のうち、少なくとも 2 つを満たすように、顧客のログインプロセスを設計します。満たさない場合は、request_three_d_secure を
any に設定して、支払いごとに 3DS を手動でリクエストする必要があります。- 海外からの攻撃に対応するために、不審な IP アドレスからのアクセスを制限する。
- アカウントのパスワードのクラッキングに対応するために、ログインの試行回数を制限する。
- 不正なログイン試行についてユーザーに知らせるために、2 段階認証または同様の手段によってユーザーを認証する。
- ログイン時に、メールや SMS 通知を送信する、試行を抑制する、または他の同様の措置を講じる。
- 「指紋認証」または同様の手段を使用する。
|
| 加盟店起点の取引 (MIT) (Stripe Billing を含む) | usage=off_session を指定して SetupIntent を作成することでカードを保存するには、3DS が必要です。- カードを保存するときに 3DS で認証済みの場合、そのカードを使用する支払いに 3DS は必要ありません。
- 契約、サービス、または商品の変更に顧客の承認が必要な場合、関連付ける支払いは顧客によって開始される必要があり (CIT)、3DS を明示的に要求する必要があります。
|