3D Secure 2.0 Authentication API Spec

3D Secure 2.0 Authentication API Specとは、オンライン決済におけるカード所有者認証を行うためのAPI仕様書である。

概要

3D Secure 2.0 Authentication API Specは、国際的なカード決済規格である3D Secure（3DS）の第2世代に対応したAPI仕様である。従来の3DSは、認証ページへのリダイレクトを前提としていたが、API SpecはRESTfulなエンドポイントを提供し、モバイルアプリやウェブサービスに組み込みやすい設計となっている。仕様は、カード発行銀行と決済サービスプロバイダー（Acquirer）間で標準化されたメッセージフォーマット（JSON）と認証フローを定義し、決済処理の安全性とユーザー体験の向上を図る。

役割と機能

API Specは、オンライン取引におけるカード所有者の本人確認を自動化し、リスクベースの認証（RBA）を実現する。主な機能は以下の通りである。
1. 認証リクエスト送信 – 決済処理前にカード情報と取引情報を送信し、認証サーバーからの応答を受け取る。
2. 認証結果受領 – 「認証成功」「認証失敗」「追加認証必要」などのステータスを返却し、決済フローを分岐させる。
3. トークン化サポート – カード番号をトークンに置き換えて送信し、PCI DSS の要件を満たす。
4. マルチデバイス対応 – モバイル、デスクトップ、IoT デバイスからの呼び出しを統一的に扱う。
5. 統計情報の提供 – 取引ごとのリスクスコアや認証経路を取得し、AML/KYC の監査に活用できる。

これらの機能により、決済サービスプロバイダーは、カード決済のセキュリティを強化しつつ、ユーザーが不要な認証プロンプトに煩わされることなくスムーズに決済を完了できるようになる。

特徴

• RESTful API：HTTP/HTTPS を利用したエンドポイントで、JSON 形式のペイロードを送受信する。
• リスクベース認証（RBA）：取引リスクに応じて認証の厳格さを調整できる。
• シームレス統合：既存の決済ゲートウェイやモバイル SDK と連携しやすい設計。
• 多言語・多通貨対応：国際決済に対応し、ローカル言語での認証メッセージを提供。
• 拡張性：追加認証手段（生体認証、ワンタイムパスワードなど）をプラグイン形式で拡張可能。

これらの特徴は、従来の3DSのリダイレクト方式に比べ、開発コストの削減とユーザー体験の向上を実現している。

現在の位置づけ

近年のデジタル決済市場では、モバイルウォレットやQRコード決済、BaaS プラットフォームが急速に普及している。3D Secure 2.0 Authentication API Specは、これらのサービスがPCI DSS や PSD2 などの規制要件を満たすための重要な技術基盤となっている。特に、オープンバンキングの進展に伴い、銀行と決済サービスプロバイダー間でのAPI連携が必須となり、3DS2 API Spec はその標準化されたインタフェースとして広く採用されている。さらに、AI を活用したリスク評価モデルと組み合わせることで、リアルタイムの不正検知が可能となり、チャージバックリスクの低減に寄与している。今後も、デジタル決済の安全性を高めるために、3D Secure 2.0 Authentication API Spec は継続的に更新・拡張される見込みである。