年々増加傾向にあるインターネット上でのクレジットカード不正利用。わたしもECサイト運営担当として何度も不正利用の被害をまのあたりにしてきました。

ECサイトにおけるクレジットカード不正利用とは、なんかしらの方法で得た他人のカード情報で買い物をし、商品だけを手に入れる犯罪です。実態は消費者でも、カード会社でもなく、商品を販売するショップが負担を背負うケースも多く、対策に悩んでいるEC担当者は少なくないのではないでしょうか。

一般的に不正利用が発生、カードの持ち主が不正に気付きカード会社に不正申立の連絡をすると、カード会社が審議をし、そこで不正が認められると取り引きはキャンセルされ、カードの持ち主は損害を免れます。しかしカード会社がEC事業者にその代金を補填してくれることはなく、取引は取り下げられるだけなため(いわゆるチャージバック)ショップ運営サイドが商品を発送してしまっていた場合、商品を発送しているのに代金を回収できないという最悪の状況に陥ってしまいます。“本人確認を怠った過失”がEC事業者にあるとみなされてしまうんです。

持ち主が不正に気づきカード会社に連絡をするまで、また、カード会社の審議にはいずれも時間がかかる場合がほとんどです。私の経験だと、不正利用が知らされるのは、取引が発生して早ければ1週間ほどですが半年ほど経過したあとに連絡があることもあります。対策をしていないと、知らない間に被害に遭い、気づいた時には大きな損失をかかえてしまうことになりかねないのです。

さらに、カード情報を盗む手口も、商品を受け取る方法の手口も多様化してきていることから、カード会社側も度々不正利用が発生するサイトへは対策の強化を要請しており、度々の要請に応じない場合、決済手数料の値上げなどを求めてくる場合もあるんだとか!EC事業者にとっては、目を背けられない問題ですよね。

事業者がとるべき対策

そこでEC事業者がとるべき対策として

・決済時のセキュリティ対策
・発送前の不審な注文検知
・保険への加入

があげられます。

決済時のセキュリティ対策
“本人確認を怠った過失”がEC事業者にあるのなら、インターネット上でカードを利用する際の正しい本人確認の定義って?なんなのでしょう。
実店舗でしたら、サインや暗証番号の入力が本人確認となります。ECサイトでクレジットカードを利用する時によく求められるのがカード裏面に記載してある「3〜4桁」のセキュリティコードですよね。実はECサイトの本人確認はこのセキュリティコード!、、、かとおもいきや、クレジットカード会社は本人確認とは定義していないんですね。したがって、決済画面にセキュリティコードを入力させる項目を増やしたところで、不正利用が起こってしまったら”本人確認を怠ったEC事業者の過失”には変わりはないので、チャージバックが発生します。※もちろんセキュリティコードを知ってる=本人である可能性は上がるので一定のセキュリティ効果はあります。しかしセキュリティコードとセットでカード情報が盗まれているパターンも少なくないとか、、

では非対面でのクレジットカード決済の場合何をもって本人確認とするのかというと、それが「3Dセキュア」になります。3Dセキュアはインターネット決済専用のパスワードです。カード持ち主があらかじめ決めたパスワード(またはワンタイムパスワード)を決済時入力し、本人確認をとする方法です。このパスワードを登録していないユーザーには表示されませんが、その場合でもEC事業者が3Dセキュアを導入している=「正しい本人確認を行なっている」ということになり、万が一不正利用が起こっても、チャージバックを免れることができます。しかし、懸念されるのはカード持ち主がパスワードを忘れていたり、カート内での入力項目が増えることで離脱率が上がるデメリットがあります。また100%不正利用が防げて、 100% チャージバックにならないとは言い切れないのも現状のようです。

発送前の不審な注文検知
決済時のセキュリティ対策の項目は、決済時に不正利用をはじく対策でしたが、決済後、商品を発送する前に不正を検知し、注文を取り消しすることができればチャージバックの被害は防げます。

そのひとつに、決済代行会社が開示している不正利用で使われた配送先住所リストや、ショップ独自に収集した過去の取引における不正利用のデータをブラックリスト化して、注文を照らし合わせ怪しい注文をピックアップする方法があります。また、転送サービスの住所利用や、海外カード利用など、一般的に不正が起こりやすいと言われるような注文内容を目視で確認することも対策にはなります。費用はかかりませんが、属人的な作業になるため完全には見抜けないこともあり、何せ毎日のこと、作業工数がかかるのもやっかいなところです。

もうひとつは何万とあるサイトの不正利用データ、不正配送先データをかかえた不正検知サービスを導入する策です。データ量が多いため精度も高く、担当者の負担は抑えられますが、追加で導入するにはコストがかかります。

・保険への加入
あくまで被害に遭ったときの保険なので、抜本的な対策にはなりませんが、チャージバック保険に加入するのもひとつの対策となります。月額で保険料を支払い、被害にあったときに一定額を保証してもらうことができます。費用は扱う商材などにより変わり加入には審査もあります。コストを一定額に抑えることができますが、当たり前ですが被害に遭わなければ無駄になります。

大まかに以上3つの対策がありますが、ひとつ対策したところで防ぎ切れない問題で、それぞれメリット・デメリットもあるので、サイトの規模や費用対効果をよく検討したうえ、いくつかの対策を併用して導入するのがよいと考えます。

不正利用被害にあいやすいショップの傾向としてブランド品や、チケットなど、転売し、換金できるような商材を扱うショップは狙われやすいと言われています。また一度被害にあうと、セキュリティが弱いサイトとみなされて、次々に攻撃をうけてしまうことも。取り扱う商材によっては、オープン前や被害にあう前に対策しておくことをおすすめします。

また、最近の傾向として少額決済の不正利用も増えているということ。カード持ち主が利用明細を詳しく見なければ気づかないような少額での取引を、盗んだカード情報で不正に取引するのだとか、、ユーザー目線でも毎月明細を確認するなど、気をつけなくてはいけない問題だと感じました。

クレジットカード不正利用は、様々な業界でEC化が加速する中、EC事業者にとって切っても切れない問題。これからショップを開く事業者様をはじめ、被害にあったことがない事業者様も!知識として頭に入れといて損はないと思います。

Leave A Comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA