現在ECを展開する事業者において、クレジットカード決済はもはや必須と言っていいほどに重要な決済手段です。
このような現状において、クレジットカードの不正利用は、デジタル経済における重大な課題の一つです。本記事では、この課題からカード所有者を守る仕組みである「チャージバック」に焦点を当て、クレジットカードの不正利用やチャージバックの詳細についてまとめ、EC事業者が対策するためのソリューションについても紹介します。
「チャージバック」とは、クレジットカード所有者を守る仕組み
チャージバックは、クレジットカード所有者が請求内容に異議を申し立て、売上の取り消しや返金などを求めることを言います。チャージバックの申請理由には様々なものがありますが、重要なものとして悪意のある第三者(以降、"不正利用者")に自身のカード番号等を不正に利用された際、その取引を無効にし、利用者に不正利用による請求が発生しないようにするというものがあります。
例えば、カード情報が盗まれた場合や商品が不正に購入された場合などに、カード会社がクレジットカード所有者の不正利用の申し立てを受け付け、EC事業者の売上の取り消しを行います。
そのため、クレジットカードの不正利用とチャージバックの発生はEC事業者に対しても大きな影響を及ぼす可能性があると言えます。具体的には、チャージバックの発生による財務への悪影響など直接的なものから、顧客との信頼関係が損なわれることで、未来の売上機会の損失に繋がる可能性もあります。
さらにチャージバックの発生時点で商品がすでに不正利用者に対して発送されている場合は、商品は回収できない場合が多く、「売上未回収」と「商品の損失」という大きなリスクが発生するため、EC事業者側でもチャージバックが発生しないように対策する必要があります。
クレジットカードの不正利用に繋がるカード情報漏洩の原因
クレジットカードの不正利用は基本的にカード情報の漏洩により発生します。漏洩する原因には、利用者側・EC事業者側、その他の理由がありますのでここで紹介します。
利用者(クレジットカード所有者)側の漏洩原因
クレジットカード所有者側の漏洩原因としては、カードの紛失や盗難、フィッシング詐欺、スキミング、パスワード管理等の不備などが挙げられます。このようなリスクを理解し、カードやカード情報の管理に注意を払うことが重要です。
EC事業者側の漏洩原因
EC事業者側における漏洩原因としては、システムの脆弱性に起因した個人情報の漏洩などが挙げられます。従業員による情報の持ち出しなど、組織的なセキュリティ対策の不備による不正行為も要因として考えられます。自社サービスの脆弱性チェックや、コーポレートガバナンスの見直しなど、外部の脅威に対する定期的な守りの体制の見直しが必要になります。
クレジットカードの不正利用が増加している理由
近年、クレジットカードの不正利用は年々増加傾向にあるといえます。その背景には様々な要因がありますが、主なものを以下で紹介します。
クレジットカード不正利用増加の背景にあるEC市場の拡大
近年のクレジットカード不正利用増加の背景には、ECサイトなどによるインターネット上での商取引が増加したことが挙げられます。
総務省が公表している情報通信白書によれば、世界のEC市場の売上高は増加傾向で推移し、2022年には31.4%の成長が予測されていました。国別の2023年から2027年までの年平均成長率は、ブラジルやインドが高く、中国、米国、日本もそれに続いています。
予測通りに今後もECの取引が拡大していく場合、それに伴ってクレジットカードの不正利用やそれによるチャージバックも増加していくことが予測されます。
出典:総務省「令和5年版 情報通信白書」
フィッシング詐欺の巧妙化とクレジットカード不正利用の関連性
フィッシング詐欺は、近年急増しているクレジットカード不正利用の主要な要因の一つです。フィッシング詐欺は、巧妙に仕組まれた電子メールや偽のウェブサイトを通じて、ユーザーから個人情報やクレジットカード情報を騙し取る手口です。多くの場合、これらの詐欺は公式な機関や信頼できる企業を装い、ユーザーに情報を入力させるよう誘導します。
ユーザーが誤って情報を提供してしまうと、その情報は即座に犯罪者の手に渡り、不正な取引やオンラインショッピングに使用されることになります。特に、偽の支払いページや偽装されたログイン画面を使用する手法は、多くの被害者を出しています。
さらに、フィッシング詐欺の手口は年々巧妙化しており、見破ることがますます難しくなっています。例えば、メールの文面やウェブサイトのデザインが本物と見分けがつかないほど精巧に作られているケースも少なくありません。このような状況では、一般のユーザーが詐欺を見抜くことは非常に困難です。
したがって、フィッシング詐欺の巧妙化はクレジットカード不正利用の急増に直結しており、ユーザー自身が警戒心を持つとともに、企業側もセキュリティ対策を強化することが求められます。定期的なセキュリティ教育や、フィッシング対策ソフトの導入などが、被害を防ぐための有効な手段となります。
不正利用されやすい商材
特定の商材は、クレジットカードの不正利用のリスクが高い傾向があります。以下では、その代表的な商材について具体的に紹介します。
- 家電
家電製品は高額なものも多く、商品自体を必要とする人も多いことから転売もしやすいため、不正利用の標的となりやすいです。特に、人気の高い商品や最新機種の場合は、不正利用と転売のターゲットにされるリスクがさらに高まります。例えば、パソコンやスマートフォン、テレビなどが該当します。 - ブランド品
高級ブランド品も転売のしやすさを考慮すると、不正利用の対象リスクがあると言ってよいでしょう。基本的に高額であり、その希少性から再販価値が高いため、犯罪組織によって盗難品として流通させられることがあります。 - ゲーム機
ゲーム機やゲーム関連アイテムも、不正利用のリスクが高い商材の一つです。人気のある商品であり、高額なため、不正利用の標的になることがあります。特に、最新型のゲーム機は、市場の需要に対してメーカーの生産が追いつかないなどの理由から品薄になることが多々あり、その状況を狙った不正利用のリスクが高いと言えます。 - ギフトカードおよびプリペイドカード
汎用性が高く、追跡が難しいため、不正利用リスクが高いです。不正使用者はこれらを簡単に第三者に転売し、現金に変えることができ、同時にギフトカードは使途が特定の商品に縛られないため、非常に使い勝手が良く、転売市場でも高い価値を持っています。 - チケット(イベント、旅行、航空券)
即時利用が可能で、転売も簡単なため不正利用の対象リスクが高い商材です。特に人気のあるイベントやコンサート、スポーツ試合のチケットは高額で取引されることが多く、旅行や航空券も需要が高いです。不正購入されたチケットは、オンラインで簡単に売却されることが多く、迅速に現金化されます。 - 健康・美容製品
化粧品やサプリメントなどは、小型で価値が高く、需要が安定しています。特に高価なスキンケア製品や人気のあるサプリメントは、常に需要があり、不正購入後も高値で売却できます。転売市場でも非常に人気があり、迅速に現金化することができます。
チャージバック発生時の対応方法
チャージバックが発生した場合、クレジットカード所有者や商品を販売したEC事業者は迅速かつ適切な対応を行う必要があります。以下では、その対応方法について詳しく解説します。
不正利用の発生報告と調査
- クレジットカード保有者による報告
クレジットカードが不正に使用されると、保有者は身に覚えのない請求を受け取ります。この場合、保有者はカード会社に連絡し、不正利用を報告します。不正利用が疑われる取引に関する詳細な情報を提供し、カードの停止や再発行を求めることが一般的です。 - カード会社による調査、チャージバック手続きへの移行
カード会社は、保有者からの不正利用報告を受け取ると、直ちに調査を開始します。調査の結果、不正利用が確認されると、チャージバックの手続きに移ります。不正に利用されたカードは利用停止され、新しいカードが発行されるなど、カード会社はこの段階で保有者の被害を最小限に抑えるための措置を講じます。
異議申し立ての手順と準備
- EC事業者による確認、異議申し立て
EC事業者がクレジットカード会社からチャージバックの通知を受け、その内容が正しい場合は受入することになり、チャージバックが発生します。一方で、通知内容が正しくない場合は「異議申し立て(反証)」を行うことができます。
チャージバック通知に対して異議を申し立てる場合、通知の内容を踏まえつつ、まずは実際の取引状況が本当に不正なのかの確認が必要になります。その上で、異議申し立ての手順を理解し手続きを進めましょう。 - EC事業者による証拠資料の収集と提出
異議申し立てには、証拠資料の収集と提出が必要です。たとえば、取引が不正ではなく正常なものである場合はその証拠になる情報(クレジットカードの所有者がきちんと商品を受け取っていることが分かる配送伝票など)を集め、クレジットカード会社に対して提出しましょう。
チャージバック実行、あるいは異議申し立ての承認
- カード会社による最終判断
クレジットカード会社はEC事業者から異議申し立てがあった場合、提出された証拠を検討し、最終的な判断を下します。対応は下記のように分かれます。
- カード会社によるチャージバックの実行
クレジットカード会社の調査の結果、EC事業者の異議申し立てが認められなかった場合、チャージバックが実行されます。クレジットカード会社がカードの所有者から引き落としを行う前であれば、カードの利用情報が削除される形になり、EC事業者の売上も取り消しになります。既に利用代金の引き落としを行っている場合は、返金手続きを行うことになります。
- カード会社による異議申し立ての承認
一方で、EC事業者の異議申し立てが認められた場合、チャージバックが取り消され、売上が復元されます。加盟店にとっては、この結果がビジネスの継続に大きな影響を与えます。
決済代行会社の役割
EC事業者とカードの間に立つ決済代行会社は、チャージバック手続きや異議申し立て手続きのサポートを行います。取引の透明性を確保し、各関係者の権利を守る役割を果たす為に、決済代行会社は必要な情報や証拠を収集しカード会社に提出します。
チャージバック発生を未然に防ぐためのセキュリティサービス
クレジットカードの不正利用を未然に防ぐためには、販売を行うEC事業者が適切なセキュリティサービスを利用することが不可欠です。以下では、その手段の一例について解説します。
セキュリティコード(券面認証)
セキュリティコード(券面認証)とは、クレジットカードの裏面または表面に記載されている、3桁ないし4桁の番号を使用して、クレジットカードの所有者が取引を行う際に自身を認証する仕組みです。
この番号は、通常、クレジットカード番号とカードの有効期限とは異なる独自の番号であり、磁気ストライプやICチップには情報が記録されておらず、スキミングによる情報抽出ができません。実際にカードを持っている持ち主だけが知っている情報であるため、この番号を知らない第三者はクレジットカード情報を盗んだとしても、オンライン上では取引を完了することができません。
ただし、カード本体が盗難にあった場合や、不正アクセスによりカード番号とセキュリティコードごと漏洩した場合は不正利用を防ぐことはできません。
EMV 3-Dセキュア(3-Dセキュア)(※)
EMV 3-Dセキュア(3-Dセキュア)とは、クレジットカード番号等の情報盗用による不正利用を防ぐための本人認証サービスであり、クレジットカード決済を安全に行うために国際カードブランドが展開している仕組みです。2023年3月に公表されたクレジットカード・セキュリティガイドライン4.0版にて「2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュア(3-Dセキュア)の導入を求めることとする」と明示されています。
具体的には、各カード会社が、カード会員のデバイス情報等を用いて不正利用のリスク判断を行うと共に、必要に応じて利用者にパスワード入力を要求することで当該取引における安全性を確保しています。
EMV 3-Dセキュア(3-Dセキュア)は、EC事業者のチャージバックリスクを下げる有効な手段です。チャージバック発生時、カード利用者の本人確認がされていない取引である場合、EC事業者が取り消された売上を負担する必要がありますが、EMV 3-Dセキュア(3-Dセキュア)により本人確認がされている場合は、原則としてカード会社が負担することになります。そのため、EC事業者はEMV 3-Dセキュア(3-Dセキュア)による本人確認の導入を行っていれば、チャージバックの発生時の損害を回避できる可能性が上がるのです。
詳細は「本人認証サービス:EMV 3-Dセキュア(3-Dセキュア)」「EMV 3-Dセキュア(3-Dセキュア)とは?仕組みやメリット・導入すべき事業者などについて解説」もご覧ください。
※ブランドごとに異なる名称ですが、総称して「EMV 3-Dセキュア(3-Dセキュア)」と呼ばれています。
不正検知サービス
不正検知サービスは、クレジットカードの不正利用を早期に検知し、防止するためのサービスです。高度なアルゴリズムや機械学習を活用して、不正な取引パターンや異常な行動を検知することで、チャージバックを未然に防ぐだけでなく、怪しい取引を目視で検知する業務負荷の軽減にも繋がります。
不正検知サービスは、主に以下のような手法で不正を検知します。
- 行動・取引パターンの分析:
過去の取引データや顧客の購買履歴などを分析し、不正な取引パターンや異常な振る舞いを検知します。例えば、通常とは異なる場所や時間帯からの取引、大きな金額の一括購入、特定の商品カテゴリーでの異常な購買などが含まれます。 - リアルタイムの取引モニタリング:
取引が行われる際にリアルタイムでデータを監視し、不正な取引を検知します。受注以前に不正を検知することもできます。
- 機械学習:
不正検知サービスには、機械学習によって時間の経過とともに不正傾向のデータが蓄積され、新たな不正パターンや手法を自動的に識別できるものもあります。不正検知のルールを自動チューニングするため、不正が起こってから手動でルールを見直すような従来の業務不可を軽減することができます。
- ルールベースの検出:
事前に設定されたルールや条件に基づいて、不正な取引を特定します。例えば、同じクレジットカードで短時間に複数の異なる場所で取引が行われた場合などをルールとして設定します。
具体的な不正検知サービスについては「セキュリティソリューション」や、下記のページもご覧ください。
- 不正防止サービス(Sift)・・・従来手動で行っていた不正ルールのチューニングを機械学習が担うことで、コスト・運用負荷を抑え、不審な取引を見分けることが可能です。デバイス情報等の様々なデータを収集する機能、機械学習による不正傾向の自動学習機能、不正要因の分析に適したスマートな管理画面を提供します。
- 不正防止サービス(ReD Shield)・・・世界中で不正取引防止に実績のあるセキュリティサービスです。導入することで、エンドユーザー様の決済に対し、加盟店様が保持する「ユーザ情報」と「注文内容」を精査し、不審な取引を見分けることができます。
- Forter・・・ユーザーの行動解析、不正ノウハウ、ならびに機械学習をもとにした独自プラットフォームで取引を判定する不正検知システムです。OK/NG判定を全自動、かつ取引時にリアルタイムで提供可能なため、不正取引を目検する必要がなくなります。
- ASUKA・・・様々なデータを蓄積し、独自のアルゴリズムをベースに、日々変容していく不正手口に対応する不正検知システムです。導入にかかる負担は従来の不正検知システムよりライトであり、短期間での対策も可能となります。「受注前のユーザー判定」により、EC加盟店様が行う不正注文の確認作業を減らすことができます。
まとめ
本記事では、クレジットカードの不正利用という課題に対するチャージバックの重要性に焦点を当て、不正利用のリスク要因や対策方法、利用者や事業者が不正利用から身を守るための手段について解説しました。これらの情報を活用することで、安全かつ安心なデジタル取引環境の構築に貢献できるでしょう。