PHPから考える クレジットカードにおける3Dセキュア決済

Transcript

1. PHPから考える 
 クレジットカードにおける 
 3Dセキュア決済 
 PHPerKaigi 2025
 2025.03.22
 よしだ


2. ❏ よしだ ( :@theyoshida3)
 
 ❏ GMOクリエイターズネットワーク株式会社
 ❏ 事業戦略部 /

   新規開発グループ
 
 ❏ PHP界隈に稀に出没
 
 ❏ メガジョッキハイボールが好き
 2
 自己紹介


3. 概要
 今日話すこと
 • 3Dセキュアの概要
 • Laravelでの簡単な実装例
 • 考慮しておくと良さそうなこと
 3


4. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


   ➢ 考慮すること
 4


5. 3Dセキュアとは
 3Dセキュアは本人認証の仕組み
 正式名称はEMV 3-Dセキュア (3Dセキュア2.0)
 本人認証をすることで、不正利用を防止
 5
 購入


6. 3Dセキュアとは
 メリット
 • 不正利用防止
 • チャージバック防止
 デメリット
 • カゴ落ち
 •

   利用料金
 6


7. 3Dセキュアとは
 2025年3月末までに導入義務化
 
 
 
 
 
 
 7
 経済産業省.

   「「クレジットカード・セキュリティガイドライン」が改訂されました」. https://www.meti.go.jp/press/2023/03/20240315002/20240315002.html

8. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


   ➢ 考慮すること
 8


9. メンバー紹介
 9
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


   カード利用契約
 アライアンス契約
 アライアンス契約
 包括加盟店契約
 店子加盟店契約


10. カード会員
 10
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 カード会員は私達
 イシュアと契約してクレジットカード を発行してもらう
 クレジットカードを使って加盟店で決 済する
 


11. イシュア(カード発行会社)
 11
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 イシュアはカードの審査・発行を行 う
 私達へ利用代金を請求してくれる
 代表的なイシュア
 • 三井住友カード株式会社
 • 三菱UFJニコス株式会社
 • 株式会社クレディセゾン


12. 加盟店
 12
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 加盟店は店舗やECサイトなど
 クレジットカード決済で商品やサー ビスを提供
 


13. 決済代行会社
 13
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 決済代行会社は、加盟店とアクワイ アラーの間に立ち、便利にしてくれ ている
 代表的な決済代行会社
 • Stripe Japan
 • GMOペイメントゲートウェイ株式 会社


14. アクワイアラー(加盟店契約会社)
 14
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 アクワイアラーは、加盟店の審査・ 管理を行う
 加盟店や決済代行会社はアクワイ アラーに料金の請求を行う
 代表的なアクワイアラー
 • 三井住友カード株式会社
 • 三菱UFJニコス株式会社
 • 株式会社クレディセゾン


15. 国際ブランド
 15
 イシュア
 (カード発行会社) 
 カード会員
 加盟店
 国際ブランド
 アクワイアラー
 (加盟店契約会社)

    
 決済代行会社
 決済システムネットワークを提供
 イシュア・アクワイアラーは国際ブラ ンドを介して繋がる
 5大国際ブランド
 • VISA
 • Mastercard
 • JCB
 • American Express
 • Diners Club


16. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


    ➢ 考慮すること
 16


17. カード決済の流れ
 17
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    購入


18. カード決済の流れ(Authorization)
 18
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    購入
 認証リクエスト
 カードの有効性確認
 利用可能枠仮押さえ


19. カード決済の流れ(Authorization)
 19
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    認証結果返却


20. カード決済の流れ(Capture)
 20
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    決済実行リクエスト
 決済実行


21. カード決済の流れ(Capture)
 21
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    決済結果返却
 購入完了処理


22. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


    ➢ 考慮すること
 22


23. 3Dセキュアの流れ
 23
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    購入
 認証リクエスト


24. 3Dセキュアの流れ
 イシュアはデバイスや個人情報をもとにリスクを判断(リスクベース認証)
 リスクベース認証の結果下記に分かれる
 • 認証成功
 • チャレンジ認証
 • 認証失敗
 24


25. 3Dセキュアの流れ
 認証成功の場合
 • 認証結果返却
 • 加盟店は認証成功時の処理を実施
 25


26. 3Dセキュアの流れ(認証成功)
 26
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    認証結果返却


27. 3Dセキュアの流れ
 チャレンジ認証の場合
 • 認証結果返却(チャレンジ認証のリクエスト)
 ◦ リダイレクトURLなど
 • 加盟店はチャレンジ認証時の処理を実施
 27


28. 3Dセキュアの流れ(チャレンジ認証)
 28
 イシュア
 (カード発行会社)
 国際ブランド
 決済代行会社
 カード会員
 加盟店
 アクワイアラー
 (加盟店契約会社)


    チャレンジ認証URLへ
 リダイレクト
 認証結果返却


29. 3Dセキュアの流れ
 リダイレクト後は本人認証を実施
 • ワンタイムパスワード
 • 生体認証
 • アプリ認証
 
 29


30. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


    ➢ 考慮すること
 30


31. Laravelでの実装例
 Checkout 
 stripeの提供する支払い画面で決済を実施
 ローコードで決済が行える
 Checkoutセッションの作成、成功後の処理を実装するだけ
 今回は使わない
 
 stripe DOCS.

    「Checoutの仕組み」. https://docs.stripe.com/payments/checkout/how-checkout-works?locale=ja-JP
 31


32. Laravelでの実装例
 Payment Intent + Payment Element 
 LaravelでPayment Intentを作成
 支払画面はPayment

    Elementを使いサイト内に実装
 
 
 stripe DOCS. 「Payment Intents API」. https://docs.stripe.com/payments/payment-intents
 stripe DOCS. 「インテントを作成する前に支払いの詳細を収集する」. https://docs.stripe.com/payments/accept-a-payment-deferred?type=payment
 32


33. Laravelでの実装例
 Laravel Cashier
 stripeの仕組みを理解すれば簡単に実装可能
 33
 composer require laravel/cashier php artisan

    vendor:publish --tag="cashier-migrations" php artisan migrate Readouble. 「Laravel 11.x Laravel Cashier (Stripe)」. https://readouble.com/laravel/11.x/ja/billing.html


34. Laravelでの実装例
 PaymentIntentを作成する処理
 34
 public function createPaymentIntent(Request $request) { Stripe::setApiKey(config('stripe.secret')); $paymentIntent

    = PaymentIntent::create([ 'amount' => 5000, 'currency' => 'jpy', 'payment_method_types' => ['card'], ]); return response()->json([ 'clientSecret' => $paymentIntent->client_secret, ]); }

35. Laravelでの実装例
 認証後の処理
 35
 public function completePayment(Request $request) { $payment_intent_id =

    $request->input('payment_intent'); $redirect_status = $request->input('redirect_status'); // redirect_statusの確認 // paymentIntentの取得 }

36. Laravelでの実装例
 今回、Payment Elementはvanilla JSで実装
 React Stripe.jsも存在する
 36
 <form id="payment-form"> <div

    id="payment-element"></div> <div id="error-message"></div> </form>

37. Laravelでの実装例
 37
 <script src="https://js.stripe.com/v3/"></script> <script> const stripe = Stripe('{{ config('stripe.public')

    }}'); const elements = stripe.elements({ mode: 'payment', amount: 5000, currency: 'jpy', paymentMethodCreation: 'manual', }); const paymentElement = elements.create('payment', { layout: 'accordion', }); paymentElement.mount('#payment-element');

38. Laravelでの実装例
 38
 // サーバーにPaymentIntentをリクエスト const response = await fetch('/payment-intent-any', {

    method: 'POST', headers: { 'Content-Type': 'application/json', 'X-CSRF-TOKEN': csrfToken, // CSRFトークンをリクエストヘッダーに追加 }, }); const { clientSecret } = await response.json();

39. Laravelでの実装例
 39
 document.getElementById('payment-form').addEventListener('submit', async (e) => { e.preventDefault(); const {

    error: submitError } = await elements.submit(); if (submitError) { // エラー処理 } const { error } = await stripe.confirmPayment({ elements, clientSecret, confirmParams: { return_url: 'http://localhost:8080/complete-payment', }, }); if (error) { // エラー処理 } }); 認証のフローを代 行してくれる
 • リダイレクト
 • モーダル


40. Laravelでの実装例
 利用するサービス毎に実装方法は異なる
 stripeは決済の流れをあまり意識しないで実装できる
 他のサービスでは、決済の流れを理解した上でドキュメントを読む
 40


41. Laravelでの実装例
 サイト内にお支払い画面を設置する必要がないのであれば、
 決済画面は外部遷移のほうが楽
 • Checkout - Stripe
 • リンクタイプ Plus

    - PGマルチペイメントサービス
 • リダイレクト型決済 - fincode
 41


42. ➢ 3Dセキュアとは
 ➢ メンバー紹介
 ➢ カード決済の流れ
 ➢ 3Dセキュアの流れ
 ➢ Laravelでの実装例


    ➢ 考慮すること
 42


43. 考慮すること
 チャレンジ認証中というステータス 
 「成功」、「失敗」だけでなく「認証中」が存在する
 システム側 請求情報の取り扱いを考慮する
 43


44. 考慮すること
 サブスクリプションでの挙動 
 サブスクリプションは加盟店・決済代行会社が起点なため、
 初回決済やカード登録時に3Dセキュア認証を行う
 基本的にサブスクリプションでの3Dセキュア認証は発生しない
 加盟店が決済金額を変更した場合、チャージバックが発生することもある
 44


45. 考慮すること
 Stripeでのサブスクリプション 
 プラン変更等で決済金額が変わった場合に、3Dセキュア認証が発生するこ とがある
 Webhookで通知され、追加認証を行う
 システム次第で追加認証の実装が必要になる
 
 45


46. ご清聴ありがとうございました
 46