Payment Services Directive 2（PSD2）および本人による確実な認証（Strong Customer Authentication）に関するFAQ

PSD2 は 2018 年 1 月 13 日に発効しました。これは、ヨーロッパでの決済を管理する欧州委員会による規制条件の拡大に伴うものであり、各 EU 加盟国によって各国の法律に組み込まれています。

PSD2 の諸規定は 2019 年 9 月 14 日に施行されます。

主な目的の一つとして、オンライン決済を顧客にとってより安全なものにすることが挙げられます。この目的に向けての中核となる要素は、本人による確実な認証（Strong Customer Authentication）の強制的な利用です。これは、銀行を介するオンライン決済（クレジットカード決済、オンライン送金など）が行われる前に実施されなければなりません。

ほとんどの銀行は、取引条件に対して近々なされる変更および修正について、ここ数ヵ月の間に、顧客にすでに通知しています。

近い将来、オンライン決済を実行する前に顧客に関する以下の 3 つの基準のうち 2 つを検証することが、銀行に求められます:

• 本人が所有しているもの（クレジットカード、スマートフォンなど）
• 本人が知っていること（PIN 番号など）
• 本人の身体的特徴（指紋、顔など）

これはつまり、本人による確実な認証（Strong Customer Authentication）の要件を満たすため、顧客は決済を承認するにあたり、スマートフォンを使用して指紋を提出することを求められる可能性があるということです。

このような生体認証により、本人認証がより簡単になります。顧客は常に携帯しているスマートフォンを使い、常に自分の指についている指紋を提出するだけでよいからです。

固定のパスワードは、今では十分安全とは言えません。

クレジットカード決済の場合、本人による確実な認証（Strong Customer Authentication）を顧客に要求するよう、銀行が業者に求める必要があります。そのため業者は、自社のウェブサイトに銀行のページを表示することが求められます。これにより、顧客は確実に認証を行うことができます。これにより、権限のない人による銀行口座へのアクセスや顧客の名前での決済の実行を確実に防ぐことができます。

ドイツにおける SOFORT やオランダの iDeal のように、第三者によって行われる送金支払いでも、同じように本人による確実な認証（Strong Customer Authentication）が求められます。

いいえ。PSD2 では、本人による確実な認証（Strong Customer Authentication）の使用について、一定の例外事項を定めています。
本人による確実な認証（Strong Customer Authentication）は、次に当てはまる場合、必ずしも必須ではありません:

• 顧客の銀行が、決済が顧客ではなく権限のない第三者によって行われるリスクは無視できるほど小さい、と見なす場合。
• 決済額が 30 ユーロ以下の場合。注記: ただし、最後の認証後、5 件の決済が行われた場合、もしくは、最終の認証後に、決済の合計金額が 100 ユーロを超えた場合、銀行は本人による確実な認証（Strong Customer Authentication）を必ず要求する必要があります。
• 顧客が信頼できる受益者として銀行にホワイトリスト登録している業者に支払う場合。顧客は通常、この登録手続きを認証手続き中に行うことができます。

重要:
これらの例外事項に関わらず、顧客の銀行は、本人による確実な認証（Strong Customer Authentication）をいつでも要求することができます。本人による確実な認証（Strong Customer Authentication）が求められることはないという保証はありません。

次の条件の場合、本人による確実な認証（Strong Customer Authentication）が求められることは絶対にありません:

• 顧客が業者に決済の実行を委託している場合。これは、顧客が業者のサービスに登録している場合に起こります。顧客が決済に必要な認証情報および本人による確実な認証（Strong Customer Authentication）を業者に提供していることが条件です。
• 決済がサブスクリプションの支払いのために行われる場合。この条件の場合、顧客は本人による確実な認証（Strong Customer Authentication）を、申込み時のみ求められます。

最終的に、本人による確実な認証（Strong Customer Authentication）のどの方法を提供するかは、顧客の銀行が決めます。業者はこの件に関して、発言権がありません。

同様に、業者は、顧客がどの本人による確実な認証（Strong Customer Authentication）方法を選択し、どのような情報を提出したかについて、知ることはありません。

これは、インラインフレームを使用して、本人による確実な認証（Strong Customer Authentication）ページを、銀行や第三者の決済業者（iDeal など）によって提供されたままの状態で表示することにより、保証されます。

サイトに表示されるインラインフレームの内容に業者がアクセスしたり、内容を変えたりすることはできません。

業者が顧客を決済業者のサイト（SOFORT など）に移動させる場合の決済方法でも同様に、どの認証方法が利用可能で、顧客がどれを選択したかを業者が知ることはありません。

一般的に、3D Secure はオンラインでのクレジットカード決済にセキュリティを講じるために構築されたプロセスです。顧客が本人確認をコードまたはパスワードで行うことで、不正行為によるリスクを削減することを目的としています。

3D Secure 2.0 はこのプロセスの改訂版であり、PSD2 の要求事項中でも、特に本人による確実な認証（Strong Customer Authentication）の要件に適合しています。

今後、クレジットカードによる決済においても、3D Secure 2.0 を利用した本人による確実な認証（Strong Customer Authentication）が求められます。

本人による確実な認証（Strong Customer Authentication）は、たとえば、顧客の銀行が提供するアプリケーションを使用して 3D Secure 2.0 によって確実に行われます。業者のサイトに表示される銀行のページは、顧客にスマートフォンでアプリケーションを開くよう要求します。アプリケーションの認証方法によっては、スマートフォンでお客様の指紋を要求する場合もあります。

銀行によっては、顧客が選択できるよう、複数の認証方法が利用できる場合もあります。

その他の利用可能な認証方法として、専用のアプリケーションに表示されるワンタイムパスワードまたは顧客の銀行取引用アプリケーションを介した顔認証が挙げられます。

SOFORT、iDeal、Multibanco、Przelewy24 のような決済サービス事業者によるオンライン送金においても、今後、本人による確実な認証（Strong Customer Authentication）をさせることが求められます。

多くの業者および銀行では、2019 年 9 月 14 日までに本人による確実な認証（Strong Customer Authentication）に要件どおり対応することはできないとみられます。

そのため、2019 年 6 月 21 日、European Banking Authority（EBA）は、EU 諸国、および PSD2 の実施状況を監視する立場にある金融機構に、そういった業者や銀行に実施時期の延長を認めるよう勧告しました。

その結果、一部の国では期限どおりに実施される一方、その他の国では銀行に実施時期の延長が認められます。
とはいうものの、実施時期の延長が認められた国においても、一部の銀行は 2019 年 9 月 14 日から本人による確実な認証（Strong Customer Authentication）の利用を開始します。

本人による確実な認証（Strong Customer Authentication）がご利用の銀行でいつどのように必須となるかについては、ご利用の銀行にお問合せください。