【基礎知識】クレジットカード決済における不正対策とは?

2017年2月1日

チャージバック対策の基礎

 ECを始める時に、購入者から代金を集める手段としてクレジットカード決済は最優先で導入される事が多いですが、クレジットカード決済におけるリスクや、具体的な不正対策などはあまり公開されていません。

 ここでは、一般的な物販のEC事業者が行っている不正対策4つをご紹介してみたいと思います。あくまで一般的なものですので、流通金額や取扱い商材によって効果の有無に差が出てしまう点はご容赦下さい。

 まずは、以下に一般的な方法4つを記載します。

  • 社内運用による対策(目視での確認などの本人確認)
  • セキュリティコード
  • 3-D Secure
  • 不正検知システム

 

 それぞれの対策のメリットやデメリットなどを以下に改めてご紹介してゆきます。

 

①社内運用による対策

・目視レビュー

 不自然な受注がないかなど、受注情報を目視で確認する。例えば、注文者氏名が「ゴジラまつい」など不自然なものではないか、メールアドレスが「a@a.es」の様な使われていないものではないか、商品の配送先住所がホテルや倉庫、郵便局の私書箱などではないか、などを目で見てレビューし、不正の可能性がないかどうか判断します。

 クレジットカードでの受注件数が少なく、不正対策に費用を投じる事が難しければ、こうした対策は簡単にはじめる事ができます。しかしながら、簡単に始められると言っても、運用する人の感覚に依存するため、ノウハウが無いと運用が難しい、と言う課題があります。その他にも、受注件数が増えた場合に対応が困難である事と、運用リソースの確保や人材育成が必要になる点が悩ましいポイントです。

 

・購入者への本人確認(架電・メール等)

 こちらもマニュアルでの運用対策になりますが、例えば数十万円単位の受注の場合などは、購入者に電話連絡を行い会話する、またはメール等で注文内容に誤りが無いかなどやり取りを行う、というものです。

 目視でのレビューと同様の課題が存在します。

 

・属性情報確認

 属性確認とは、決済代行会社またはカード会社(アクワイアラー)を通じて、クレジットカードの発行会社に属性情報(氏名・住所・電話番号など)を照合してもらう作業を言います。カード会社に登録されている情報と一致していれば、不正利用であるリスクは低い、と言えます。

 しかし、課題は少なくありません。例えば購入者が転居をしていてカード会社に届け出ていない場合、住所は不一致と判定されてしまいますし、電話番号も同様です。結婚等により、氏名が変わっている可能性もゼロではありません。また、海外で発行されたクレジットカードでは照合作業自体ができません(海外で発行されたクレジットカードである事実は確認できますが)。

 この他にも、クレジットカードの発行会社に問合せを行うため、カード加盟店→決済代行会社→カード会社→カード発行会社と情報連携した上で照合結果を取得するため、回答を得られるまでに時間がかかります。(当然ですが、カード会社の営業時間外は照合が進みません。)

 

②セキュリティコード

 別の記事でセキュリティコードの歴史や効果を説明していますが、セキュリティコードはクレジットカードの裏面に印字された3桁の数字の入力を求める事で、本当にカード会員からの購入かどうかをチェックする仕組みです。

 一定の効果はあるものの、100%防げるものではなく、セキュリティコードの認証を実装していても不正利用やチャージバックは発生します。

 しかし、実装していないよりは、実装していた方が不正利用のハードルが上がるため、ほとんどのカード加盟店では実装しています。

 

③3-D Secure

 3-D Secure (3-Dセキュア) は、Visaが開発した本人認証システムを指します。3-D とは「3つのドメイン」という意味で、カード発行会社のドメイン、カード加盟店管理会社のドメイン、中立的な相互運用ドメインで本人利用である事を認証する仕組みです。多くの決済代行会社はこのシステムを提供しているため、一般的には安価に導入する事ができます。

 Visa や Master Cardなどのカードブランドが唯一認める本人認証システムであるため、この本人認証システムを実装していれば、万が一不正利用が発生したとしても、一定の範囲内でカード会社により損害は補てんされます。(対面決済の場合、ブランドが認める本人認証はICを読み取った際に入力する、PINと呼ばれる4桁のパスコード入力)

 課題としては、全てのカードブランドがこの3-Dセキュアのシステムを提供していないことと、一番大きな障壁として、購入者側のコンバージョン率を下げてしまう、という点です。特に、3-Dセキュアのパスワードは認知度が低く、覚えていない、という問合せが増加する事もあるようです。

 

④不正検知システム利用

 クレジットカード決済の流通金額が大きく、システマティックに不正リスクを判断したい、というEC事業者が取り入れるケースが多いのがこの不正検知システムの導入です。システム処理のため、人的リソースを削減することが可能です。

 ここ数年で導入した事例が徐々に増えて来た印象があります。不正検知システムも白・黒を判断する100%のものではなく、あくまでカード加盟店社内において出荷をするかしないかを判断するための材料を提供するシステムであるため、導入してからの日々の運用ノウハウなどが課題です。

 

⑤その他の不正対策

 グローバルトピックにて少しご紹介していますが、その他の不正対策運用を取り入れるケースもあり、具体的には以下の手法です。

  • Google Map の Street View で配送先住所を確認し、居住していそうかどうか確認
  • SMS認証による本人認証を実施する
  • 不正と思われるIPアドレスからのアクセスをブロックする
  • 自社のサイトでの過去の購入履歴を確認する

 

 

不正対策として実施しうる手段はたくさんありますが、ECサイトの規模、取扱商材、顧客層、決済手段、過去の被害、システム構成、受注から出荷までのオペレーション、チャージバックのトレンドによって最適な手段の組合せは多種多様です。

自社のECサイトではどの様に不正を未然に防止する運用を実施すべきか、もしお困りでしたらアクルまでお気軽にお声掛けください。