はじめに：555億円の被害が示す現実

2024年、クレジットカード不正利用の被害額は555億円と過去最悪を更新しました。さらに、その9割以上（513.5億円、全体の約92%）は、ECを主戦場とする「番号盗用」による被害です。この数字が示すのは、「セキュリティの話」ではありません。日本のECでは、不正対策が売上・利益・ブランド信頼を左右する経営課題として、すでに前面に出ています。

2026年、ここに正面から向き合う企業と、従来の「セキュリティはコスト」「後付けでよい」という発想に留まる企業の間で、競争力に決定的な差が生まれます。

不正の進化：「対象の拡大」と「手口の分業化」

近年の不正利用の特徴は、狙われる対象が広がっていることです。従来、不正の標的は換金性の高い高額商材（家電、ブランド品、貴金属など）に偏りがちでした。ところが現在は、ふるさと納税の返礼品や、サブスクリプション型レンタルの高額品など、より多様な商材・サービスへ波及しています。

もう一つの大きな変化は、不正が分業化している点です。カード情報を入手する側と、それを使って不正注文を行う側、配送先の受け取りや転売に関与する側が分かれ、サプライチェーンのように機能するケースが増えています。この構造変化は、「決済の瞬間だけ守ればよい」という発想を通用しにくくします。攻撃は、ログイン・商品選択・注文・決済・配送まで、購入体験の各所に分散して仕掛けられるからです。

EMV 3-Dセキュア導入後の現実：セキュリティと購買体験のジレンマ

経済産業省は2025年3月5日に「クレジットカード・セキュリティガイドライン【6.0版】」の改訂を公表しました。これにより、EC加盟店は2025年3月末（3月31日）までの対応が強く求められ、2025年4月1日から原則施行という実務運用に入っています。ここで中核となるのが、**EMV 3-Dセキュア（3Dセキュア2.0）**の導入です。

EMV 3-Dセキュアは、カード会社による本人認証を通じて、番号盗用型不正を抑止する仕組みです。導入効果を示す事例として、メルカリはEMV 3-Dセキュア導入後に、不正利用額を約9割削減できたと説明しています。さらに、導入後の離脱は2%前後に抑えられたとされています。つまり、「3Dセキュア＝必ず大きくカゴ落ちする」という固定観念は、運用設計次第で必ずしも成り立ちません。

一方で、導入初期に「認証フロー」「エラー要因」「決済承認率」が揺れることも現実です。複数事例の報告では、3Dセキュア導入後に3D特有のエラー増加が原因となり、決済承認率が低下する傾向が観測されています。平均的に17.75%程度の承認率低下が確認された、という整理もあります。さらに、個別事例では10〜15%程度の低下が見られたものの、最適化と運用改善により数か月で回復したケースも報告されています。ここに、2026年の競争の本質があります。導入の是非ではなく、導入後に承認率と体験を回復・改善できるかが差になります。

リスクベース認証：セキュリティと利便性を両立する中核

このジレンマを解決する鍵が、3Dセキュア2.0で採用される**リスクベース認証（Risk-Based Authentication：RBA）**です。取引ごとのリスクを判定し、リスクが低い場合は追加認証を最小化し、リスクが高い場合のみ追加認証を求めます。

• フリクションレス・フロー：低リスク判定時、追加認証を最小化して決済を完了

• チャレンジ・フロー：高リスク判定時のみ、ワンタイムパスワードや生体認証など追加認証を要求

重要なのは、RBAは「強い本人認証を常に要求する」ための仕組みではなく、必要な時だけ強くするための仕組みだという点です。2026年の実務では、RBAの最適化こそが「不正抑止」と「売上防衛」を同時に成立させる前提になります。

本人認証だけでは止められない不正：不正検知システム（FDS）の必須化

ただし、本人認証だけで不正が消えるわけではありません。近年増えているのが、アカウント乗っ取り等を通じて、あたかも本人の操作のように見える形で購入される不正です。この場合、本人認証をすり抜けるケースも起こり得ます。

そこで必須になるのが、**不正検知システム（FDS：Fraud Detection System）**です。機械学習を用いたFDSは、概ね次のように機能します。

1. 通常行動の学習：取引データから「正常な購入パターン」を学習し基準を作る

2. 異常検知：時間帯、地域、デバイス、決済挙動、配送先などの逸脱を検知する

3. 制御：疑わしい取引を保留・追加確認・拒否などで制御する

ルールベースの対策は「既知のパターン」には強い一方、新しい手口への追随には限界があります。機械学習型は、未知の手口でも「通常からの逸脱」として検知できる可能性が高く、2026年の実務では標準装備に近づいていきます。

チャージバックと加盟店審査：セキュリティが「取引継続条件」になる

不正利用が増えるほど、チャージバック（会員が不正利用等を理由に支払いを取り消し、売上が否認される仕組み）は増えやすくなります。このとき重要なのが、**ライアビリティシフト（責任移転）**の考え方です。一般に、3Dセキュア2.0に対応し、適切な認証が行われた取引では、一定の条件下で加盟店負担が軽減される一方、未対応・不備のある取引では加盟店側の負担が重くなり得ます。

その結果、カード会社・PSPは、チャージバック率が高い加盟店や、対策が不十分な加盟店に対して、審査や契約条件を厳格化しやすくなります。つまり、セキュリティ対策は「守り」だけではなく、カード決済を安定運用するための取引条件そのものになっていきます。

2026年以降の標準：「段階的リスク認証」と多層防御

2026年以降、セキュリティと購買体験を両立させる実装思想は、より明確に「段階化」されます。取引リスクに応じて、対策強度を切り替える考え方です。

• 低リスク：フリクションレス中心（追加認証を最小化）

• 中リスク：ワンタイムパスワード等の追加認証

• 高リスク：強固な追加認証（生体要素・デバイス要素等の組み合わせ）＋配送・取引制御

この発想が成立するのは、3Dセキュアだけでなく、FDS、ログイン対策、配送制御を含む多層防御が前提になるからです。

海外メーカーに限らず、全EC事業者が直面する「セキュリティ構造の複雑さ」

日本のカード決済は、イシュア（発行会社）、アクワイアラ（加盟店契約会社）、PSP（決済代行）、EC事業者が層状に関与し、それぞれ異なる基準と責任分界を持ちます。この中で、国内外を問わずEC事業者が整えるべき対策は、概ね次の4層です。

1. 自社システムの脆弱性対策PCI DSSの観点、Webアプリ脆弱性診断、マルウェア対策など

2. 決済前の不正ログイン対策多要素認証、デバイス識別、アクセス制限、BOT対策など

3. 決済時の本人認証EMV 3-Dセキュア導入、RBA運用最適化

4. 決済後の監視と制御FDS、配送先制御、保留審査、ブラックリスト運用など

「決済前→決済時→決済後」を線でつなぐ設計が、2026年の標準です。

2026年実装に必要な3段階セキュリティ戦略（現実的ロードマップ）

ここでは、海外メーカーを含むEC事業者が日本で実装を進める際の、現実的なロードマップを提示します。費用は規模や体制、外部委託範囲により大きく変動するため、あくまで目安として整理します。

第1段階（1月〜3月）：脆弱性対策と基本セキュリティの整備

• 外部専門家による脆弱性診断の実施と是正

• 管理画面のアクセス制限、ID/パスワード管理体制の整備

• TLS設定、ログ管理、マルウェア対策の運用整備

• 社内教育・インシデント対応手順の整備

第2段階（2月〜4月）：EMV 3-Dセキュア2.0導入と本人認証運用の最適化

• 3Dセキュア2.0対応のPSP選定・実装

• RBA前提での運用設計（フリクションレスとチャレンジの設計最適化）

• 不正ログイン対策（多要素認証等）の導入・強化

第3段階（3月〜6月）：不正検知（FDS）導入と継続的最適化

• 機械学習型FDSの導入・学習

• 取引保留・配送制御・本人確認等の運用フロー整備

• 決済承認率と不正指標の両面から、月次でPDCAを回す

期待できる成果は「不正被害の抑止」だけではありません。承認率や体験を守ることで、広告・販促で獲得した顧客を取りこぼさず、さらに「この企業は安全に買える」という信頼を積み上げます。

セキュリティが「競争優位」になる理由

ここで極めて重要な点を指摘します。2026年、不正対策とセキュリティ強化は「リスク管理」から「売上防衛・成長戦略」へ移行します。

日本の消費者は、購入先を選ぶ際に安心感を重視しやすく、決済やログインで不安を感じた瞬間に離脱します。だからこそ、セキュリティ投資は、不正を減らすだけでなく、ブランド信頼という無形資産を生みます。これが、広告や値引きより長く効く競争力になります。

結論：セキュリティは「経営戦略」そのもの

2026年の日本EC市場では、不正対策は技術部門だけの課題ではありません。555億円という被害規模、番号盗用がECに集中している現実、ガイドラインの強化、加盟店審査の厳格化——これらはすべて、セキュリティに投資する企業と、投資しない企業の間に、売上・利益・取引継続性の差を生みます。

海外メーカーが日本市場で成長を狙うなら、セキュリティを「後付けの技術」ではなく、「事業戦略の中核」として設計し、2026年前半から優先的に実装することが、最重要の経営判断になります。

1. https://ascii.jp/elem/000/004/325/4325864/

2. https://pcireadycloud.com/blog/2025/10/02/6296/

3. https://www.excite.co.jp/news/article/Scannetsecurity_53746/

4. https://ja.komoju.com/blog/credit-card-settlements/security-guidelines/

5. https://www.dnp.co.jp/biz/column/detail/20172100_4969.html

6. https://sift.dgbt.jp/blog/how-to-use-ai-in-fraud-detection/

7. https://recruit.group.gmo/engineer/jisedai/blog/ml-fraud-detection/

8. https://sift.dgbt.jp/blog/how-to-prevent-e-commerce-fraud-with-intelligent-automation/

9. https://ecmarketing.co.jp/contents/archives/5224_nya

10. https://www.oracle.com/jp/financial-services/aml-ai/

11. https://ecnomikata.com/blog/45183/

12. https://akuru-inc.com/latestupdates-on-misuse-and-securitythreats-2025-07-09

13. https://www.ey.com/content/dam/ey-unified-site/ey-com/ja-jp/technical/info-sensor/2019/pdf/info-sensor-2019-03-04.pdf

14. https://www.j-credit.or.jp/download/news20250307_a1.pdf

15. https://www.mbsd.jp/solutions/security_force/transaction/

16. https://ec-force.com/blog/d2c_no334

17. https://news.web.nhk/newsweb/na/na-k10014764751000

18. https://www.ibm.com/jp-ja/think/topics/transaction-monitoring

19. https://www.nikkei.com/article/DGXZQOUE112V60R10C25A3000000/

20. https://www.optimax.co.jp/ai-information/finance/transaction-monitoring-ai/