オンライン決済の支払いリンクの仕組み

by
  • 支払いリンクとは、決済会社のサーバー上に作られた決済ページのURLで、事業者はそのURLを配布するだけで決済を受け付けられます。
  • カード番号は決済会社とカード会社の間でのみやり取りされ、事業者はカード情報を一切扱いません。
  • 「決済できない」という問い合わせの原因はリンク設定・ブラウザ環境・カード側の3つに分類できます。
  • 顧客が「知らない画面が出た」と問い合わせてくる場合、多くは3Dセキュア認証によるもので、カード会社が本人確認のために表示する正規の手続きです。

関連記事

1. 支払いリンクの仕組み

オンライン決済を導入すると、「決済できない」「画面が変わった」「メールが届かない」といった問い合わせが来るようになります。
問合せに答えるには、支払いリンクの構造を理解している必要があります。

支払いリンクの仕組み 顧客 決済会社 カード会社 事業者 URLを開く 認証リクエスト 承認通知 +売上振込 事業者は設定とURL配布のみ。カード情報は扱わない。

支払いリンクの仕組みは「決済会社が決済フォームを持ち、事業者はその設定とURLの配布だけを担う」という分担です。
カード情報の処理は決済会社が行い、事業者はカード番号を扱いません。

顧客から問い合わせが来たとき、原因がカード側・ブラウザ側・決済ページ側のどこにあるかを切り分けられると、正確な対応が伝えられます。

2. クレジットカード情報を預かる責任

支払いリンクの設計は、「なぜ、事業者は顧客のクレジットカード情報を預からないでも決済できるのか」ということと表裏一体です。

カード情報を預かるのは重責 自社でカード情報を受領 PCI DSS 準拠が必要 ・監査コスト ・システム要件 ・運用負担 中小事業者には非現実的 決済会社のページを利用 PCI DSS 対象外 ・カード情報は決済会社が管理 ・事業者は設定のみ ・即日導入も可能 小規模事業者でも導入可

もし、カード情報を自社サーバーで受け取ると、PCI DSSという国際的なセキュリティ基準への準拠が求められます1
監査・システム要件・運用コストをすべて自社で負担するのは、小規模な事業者には現実的ではありません。

2.1. 支払いページは決済会社にある

小規模事業者でもオンライン決済を導入できるようになったのは、決済会社が支払いページを用意してくれるようになったからです。

「支払いリンクを発行する」とは、「決済会社のサーバー上に自分の決済ページを作り、そのURLを配布する」ことです2

顧客がカード番号を入力する支払いページは、事業者のウェブサイトではなく、決済会社のサーバー上で動いています。
事業者が決めているのは「どんな商品を、いくらで売るか」の設定だけ。
デザインは事業者がある程度カスタマイズできますが、ページ自体の管理は決済会社が行っています。

この仕組みのおかげで、事業者はPCI DSSの対象外。
決済ページの表示やカード情報の受け取り、決済処理は決済代行会社が担います。

顧客
 │ URL/完了
 ▼
決済会社 ◀──認証──▶ カード会社
 │
 │ 売上を振込
 ▼
事業者(設定と配布のみ)
  • 顧客はURLを開いて決済会社のページで支払います。
  • カード情報は決済会社とカード会社の間でやり取りされ、事業者には渡りません。
  • 事業者が受け取るのは「承認された」という通知と、入金サイクルに従った売上だけです。

2.2. 支払いリンクと支払いページ

支払いリンクは基本的に、一つのURLを不特定多数に共有できる設計になっています3

ネット通販サイトの商品ページと同じで、URLを知っていれば誰でも何度でもアクセスして購入・支払いできます。
「ページを作ったらURLが決まり、それを好きな方法で渡す」という流れで、一度発行したURLをメール・SNS・チラシのQRコードに載せて使い回せます。
管理の基本は、決済会社の管理画面で決済履歴を確認することです。
また、顧客には「支払いが完了すると確認メールが届く」ように設定する必要があります。

【共有型:1つのURLを広く配布する】

事業者
 │ 一度だけ発行
 ▼
https://pay.example.com/abc123
 │
 ├──▶ 顧客A(1回目)  → 決済完了
 ├──▶ 顧客B          → 決済完了
 ├──▶ 顧客A(2回目) → ⚠️ 二重決済になる
 └──▶ 顧客C          → 決済完了Code language: JavaScript (javascript)

ただし、「誰でも何度でもアクセスできる」という構造のため、間違えて二重決済してしまうことがあります。
支払いが完了したか不安になった顧客が、もう一度リンクを開いて決済してしまうと、再度支払うことができるのです4
もし、同じメールアドレスや名前で複数の決済が入っていれば、二重決済として一方を返金する必要がありますが、このときにかかった手数料は事業者負担になります。

あるいは、「一回限りの使用」に設定し、顧客ごとに支払いリンクを用意することもできます。
ただし、「取引ごとに支払いページを用意し、個別に送る」という操作になります。

【個別型:取引ごとにURLを発行する】

事業者
 ├── 顧客Aへ → https://pay.example.com/xyz001 (一回限り)
 ├── 顧客Bへ → https://pay.example.com/xyz002 (一回限り)
 └── 顧客Cへ → https://pay.example.com/xyz003 (一回限り)Code language: JavaScript (javascript)

3. 主な決済サービスの支払いリンクの機能名

管理画面から商品を登録してURLを発行するだけで使い始められます。
コードは不要で、ロゴ・カラー・完了後のリダイレクト先なども設定できます。

3.2. UnivaPay リンクフォーム

管理画面でフォーム名・金額・モードを設定して「実行」を押すと、URLとQRコードが発行されます。
クレジットカードのほか、コンビニ決済・銀行振込・QR決済・海外ウォレットをまとめて提供できる点が特徴です。

コンビニ決済や銀行振込は期限内に支払われないと無効になります。
顧客が期限を過ぎてしまった場合の再発行手順を事前に確認しておくと、問い合わせ対応がスムーズです。

3.3. PayPal支払いリクエスト

PayPalには「支払いリンク」に相当する機能が複数あります。
管理画面から発行できる請求書、メールで送れる支払いリクエスト、サイトに設置する支払いボタンです。
顧客はPayPalアカウントでの支払いのほか、ゲストとしてカード払いも選べます。

4. 顧客の画面操作と裏側の処理

顧客の操作と裏側の処理 ① URLを開く 決済ページ表示 ② カード情報入力 決済会社へ直送 ③ 3Dセキュア認証 カード会社が確認 ④ 承認 通知・振込 「見知らぬ画面が出た」という問い合わせの多くは 3Dセキュア認証 カード会社による本人確認。不正アクセスではなく正規の手続きです。 売上の入金にはタイムラグがある 週次・月次・翌月末払いなど、サービスごとに入金サイクルが異なります。

4.1. 顧客がURLを開く

契約によって支払いが決まったら、支払いリンクのURLを顧客に送信します。
これは、メールやメッセージ、LINEなど、URLから支払いページにアクセスできる連絡手段を選ぶことができます。

顧客がリンクを開くと、決済会社のサーバー上にある決済ページが表示されます5

このとき事業者の側では何も起きていません。

4.2. 顧客がカード情報を入力して送信する

顧客がカード情報を入力し「お支払い」ボタンを押すと、カード情報は決済会社のサーバーに直接送られます。
事業者のシステムを経由しないため、事業者はカード番号を見ることができません。

多くのクレジットカードでは、このタイミングで「3Dセキュア認証」が挟まります。
3Dセキュアとは、カード会社が本人確認のために追加で行う認証手続きです6
クレジットカード会社の画面が切り替わってワンタイムパスワードの入力を求められます。

「見知らぬ画面が出た」という問い合わせの多くはこれで、不正アクセスではなく正規のセキュリティ手続きです。

4.3. カード会社が認証と与信を確認する

決済会社はカード会社に認証リクエストを送り、数秒のうちにカードの有効性・利用可能残高・不正フラグの3点を確認します。
ここで承認されなければ、決済は失敗します。

失敗の理由としては、カード会社から事業者に開示されるのはセキュリティの観点から、「残高不足」「利用停止」といった大まかな区分だけです7

4.4. 事業者に結果が届く

承認されると、事業者にはメール通知またはアプリ通知で結果が届きます。

システム連携があれば、HTTPリクエストの形で指定したURLにデータを送る仕組み(Webhook)で、ECサイトや予約システムと連携するとき在庫更新や予約確定を自動化することもできます8
支払いページの設定が細かいのは、さまざまな規模の事業者や企業が利用しているからです。

4.5. 売上が蓄積され、入金サイクルで振り込まれる

承認された売上はすぐ自分の銀行口座に入るわけではなく、決済会社が一時的に保管します。

入金タイミングはサービスによって異なり、週次・月次・翌月末払いなどがあります9
また、振込みのための最低金額が設けられているサービスもあり、売上が発生してから手元に届くまでにはタイムラグがあります。
この保管期間は、この間に顧客側からの異議申立てがないか、対応するための期間でもあります。

5. 支払いページの作成で決めておくべきこと

まず一回払いか継続課金かを最初に確認します。

月額サービスやサブスクリプションの場合、継続課金の設定が必要で、決済会社によっては別途審査が必要になります。

金額固定のリンクを複数の商品に使い回すと、売上管理が困難になります。
商品ごとにリンクを作成し、管理画面で区別できるようにしておきます。

返金を受け付ける場合は、期間と条件を決めておきます。
特定商取引法の観点からも必要な記載で、返品に関する特約を明示しない場合は、消費者からの返品を無条件で受け付けなければならないとされています10

本番稼働前にテストモードで全体の流れを確認します。
テストと本番の切り替えを忘れると、顧客への請求が発生しないまま運用してしまいます。

6. 「決済できない」という問い合わせの主な原因

顧客から「決済できない」と連絡が来たとき、原因は3つに分類できます。
原因の場所によって、顧客に伝えることが変わります。

「決済できない」原因の切り分け 決済ページ側 リンクの期限切れ 金額・通貨の設定ミス テストモードのまま 管理画面で確認 ブラウザ・端末 古いブラウザ(TLS非対応) 拡張機能がブロック Cookie無効 別ブラウザで試す カード側(最多) 利用限度額の超過 海外利用の停止設定 3Dセキュア未登録 有効期限切れ カード会社へ案内

6.1. 決済ページ側の問題

まずは、リンク自体に問題がないか確認をします。

  • リンクに有効期限が設定されていて期限切れになっている
  • 金額や通貨の設定が間違っている
  • テストモードのままになっていて本番の決済が通らない

多くの決済サービスで、テストモードと本番モードを切り替えて使う設計になっています。
URLや管理画面での確認が必要です11

6.2. ブラウザ・端末の問題

決済ページはブラウザで動くため、環境に依存する問題が起きることがあります。

  • 古いブラウザでTLSのバージョンが対応していない
  • ブラウザの拡張機能がフォームの送信をブロックしている
  • Cookieが無効になっていてセッションが維持されない

スマートフォンのSafariやChromeなど、別のブラウザや端末で試してもらうよう伝えます12

6.3. カード側の問題

もっとも多いのはこのパターンですが、いずれも事業者側でできることはありません。

  • 利用限度額の超過
  • 海外利用の停止設定(越境ECの場合)
  • 3Dセキュア未登録または認証失敗
  • カードの有効期限切れ

カード会社への問い合わせでしか解決できません。
顧客には「カード会社に確認をお願いします」と伝えるのが正確な対応です13

どのサービスを使うかより先に、この流れを把握しておくことが、安定した運用と顧客対応の前提になります。

  1. PCI DSSへの準拠には、コンサルティング費用・審査費用・システム改修費用の3つが発生します。中小企業でも年間数百万円、大企業では数千万円以上になることがあります。 – PCI DSSとは?認証における目的と要件一覧、対応方法を解説
  2. Stripeの公式ドキュメントでも「同じ支払いリンクを複数の顧客と共有し、複数のチャネルで使用することができます」と説明されています。 – Stripe Payment Links
  3. Stripe Payment LinksはStripeの価格体系に含まれており、URLを作成したり決済を受け付けたりするための追加料金は発生しません。 – 決済用リンクを活用した販売効率化ガイド
  4. Stripeでは返金を行っても、最初にかかった決済手数料は返金されません。二重決済で片方を返金した場合もこのルールが適用されます。 – 料金体系 & 手数料 | Stripe
  5. UnivaPayのリンクフォームも同様の仕組みで、URLを開くと決済代行会社の管理しているページに移動します。カード情報はそちらのページで入力されるため、事業者が顧客情報を保持する必要がありません。 – リンクフォーム決済って何?仕組みと導入方法を解説!
  6. 3Dセキュア2.0(EMV 3-Dセキュア)は、2025年4月以降、原則として全てのEC加盟店への導入が義務化されています。リスクが低い取引では追加認証をスキップする「リスクベース認証」が導入されており、旧バージョン(1.0)より利便性が向上しています。 – 3Dセキュア2.0の導入が義務化!ECサイトに必要な不正防止対策とは
  7. クレジットカードの不正利用被害額は2024年に過去最高の555億円を記録しており、詳細なエラー情報が外部に開示されないのもこうした不正リスクへの対策の一環です。 – 3Dセキュアとは?2.0と1.0の違いや認証方法・メリットとデメリットを解説
  8. StripeのWebhookはイベント発生時に指定したエンドポイントへデータを送信します。テストモードでもWebhookのテストが可能で、本番稼働前に動作確認できます。 – Stripe ドキュメント
  9. Stripeの日本アカウントでは日次入金は利用できません。売上処理から4営業日後に入金可能な資金となり、設定した入金スケジュール(週次または月次)に従って振り込まれます。 – 入金についての説明: Stripe での入金の仕組み
  10. 特定商取引法第15条の3では、通信販売における売買契約の解除について規定があります。事業者が返品特約を定める場合はECサイトに明瞭に表示する義務があり、表記を怠ると、消費者からの返品を無条件で受け付けなければならないとされています。 – 特定商取引法に基づく表記とは?テンプレートを紹介 | Stripe
  11. UnivaPayのテストモードと本番モードの切り替えはUnivaPay管理画面上で行います。UTAGEなど連携ツール側では制御できないため、切り替え後に必ず管理画面側を確認する必要があります。 – UnivaPay(旧システム)の決済連携設定
  12. TLS(Transport Layer Security)はインターネット上の通信を暗号化するプロトコルです。決済ページはTLS 1.2以上を要求するケースが多く、古いブラウザやOSではこのバージョンに対応していない場合があります。スマートフォンのSafariやChromeは最新版が自動更新されるため、代替として勧めやすいです。 – PCI DSS 準拠とは | Stripe
  13. 3Dセキュア2.0の登録率は20〜40代で約30%、60代以上ではわずか約16%という調査結果(2024年9月、かっこ株式会社)があります。高齢の顧客からの「認証画面が出た」「コードが届かない」という問い合わせは、このような登録状況を背景にしている場合があります。 – 3Dセキュアとは?2.0と1.0の違いや認証方法・メリットとデメリットを解説