ECサイトのクレジットカードの不正利用を防止する「EMV3-Dセキュア(S)」の導入義務化の期限である2025年3月末まで、1年を切った。経済産業省では、2024年4月時点で、「具体的な(導入済みのサイトの)数は把握していない」としている。ある決済代行会社によると、EC加盟店の4月時点の「EMV3-DS」の導入状況は、「業界全体で20〜30%ではないか」と話している。別のリピートカートシステムベンダーでは、カート導入企業の対応率は10%にも満たないとしている。すでに、「EMV3-DS」の導入に向けたサイトの改修を委託・発注しているケースでも、開発ベンダーに依頼が集中している。開発に時間がかかるケースもありそうだ。

 
<原則すべてのEC加盟店に義務付け>
経済産業省・日本クレジット協会が3月15日に公開した「クレジットカード・セキュリティガイドライン5.0」では、「2025年3月末までに、原則、全てのEC加盟店のEMV3-DSの導入」することを求めている。「EMV3-DS」を導入しないことによる法的な罰則などはない。ただ、期限を過ぎても導入に着手しない場合、カード会社が契約を見直す可能性があるという。

日本クレジット協会の資料によると、すでに不正が発生しているEC加盟店など、導入の優先順位が高い加盟店のおよそ8割に対して、各カード会社や決済代行会社が、導入を働きかけるアプローチを済ませているとしている。

ただ、「EMV3-DS」の導入を実際に完了しているというケースは、決して多いとは言えないようだ。

EC決済代行大手のDGフィナンシャルテクノロジー(DGFT)によると、同社のEC加盟店の中で、「EMV3-DS」をすでに導入済みの加盟店は、20〜30%だという。「業界全体としても、概ねその程度ではないか」(酒井好孝執行役員SEVP)としている。



▲DGフィナンシャルテクノロジー 酒井義孝執行役員SEVP

別の決済代行会社A社にも取材したところ、A社の加盟店の約4割強が、「EMV3-DS」を導入済みだと話す。リピートカートシステムを提供しているB社では、「当社のカートシステムを利用するEC企業のうち、『EMV3-DS』を導入しているケースは1割にも満たない」と話す。

前出のDGFTの酒井執行役員は、「実情として、すでに導入済みの加盟店は30%程度だが、導入に向けたサイトの改修に着手・発注済みまで含めると、もっと多くのEC加盟店が対応している」と言う。「ECサイトの規模によって開発の工数も異なる。繁忙期の開発は避けたいというEC加盟店も少なくない。結果的に、導入が年末ごろになってしまうというケースもある」とも話している。

「EMV3-DS」の導入には、ECサイトの規模によって異なるが、少なくとも数十万円のコストが必要になるという声もある。「EMV3-DS」を導入する理由によって、一定程度のかご落ちが発生するとも言われている。こうした要因が、EC事業者の対応の足を鈍らせているようだ。

ただ、「EMV3-DS」の導入については、「原則すべてのEC加盟店が対象」と規定されている。クレジットカード決済を導入していない一部の事業者を除いて、必ず導入しなければならないということになる。

今後、EC事業者の、「EMV3-DS」の導入ラッシュが始まるとみられる。駆け込みの導入が少なからず発生することを織り込んで、EC事業者は、早目に導入準備に取り掛かる必要がありそうだ。


<つづく>