カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

日本のクレジットカード、オンライン不正の実態と対策～大量の不正アカウント検出、多額のチャージバック被害を防いだ成功例～（下）

2020年12月15日8:00

【PR】マクニカネットワークス株式会社/GMOペイメントゲートウェイ株式会社

加盟店様向けの新たな不正対策ツールとしてSiftを選定

●GMOペイメントゲートウェイ株式会社イノベーション・パートナーズ本部戦略事業統括部イノベーション戦略部プロダクトイノベーション課　松山佳子（まつやまよしこ）氏

GMOペイメントゲートウェイより、クレジットカード決済の不正利用対策についてお話しさせていただきます。

弊社は1995年3月から、東京・渋谷にて、総合的な決済関連サービスおよび金融関連サービス、俗に言うPSP（Payment Service Provider：決済サービスプロバイダー）の仕事をしている会社です。マルチな決済手段を一括導入できる決済プラットフォームを提供しており、世の中にある決済手段のほぼすべてを網羅しています。ECで使われている決済手段は依然クレジットカードが最も多く、以前はこれに加えてコンビニ決済、代引決済をラインナップしていればほぼユーザの要望を満たすことができました。しかし近年は電子マネーやQR決済など決済手段が登場してきて、エンドユーザの決済手段への要望は多様化しています。

GMOペイメントゲートウェイ株式会社イノベーション・パートナーズ本部戦略事業統括部イノベーション戦略部プロダクトイノベーション課　松山佳子氏

いろいろな決済手段をそれぞれ導入するのは加盟店の負担がかなり大きいと思いますので、弊社が間に入ることで、加盟店と弊社の1本のご契約で多様な決済手段をご提供しています。稼働実績では、契約店舗数が14万1,573店舗、決済処理件数で24.9億件、流通金額で5.8兆円（GMOペイメントゲートウェイ連結企業群 2020年9月末現在）となっています。

不正利用対策には、加盟店からの要望ももちろんですが、決済会社様からのご要望もあり、関係各社様と協力しながら取り組んでまいりました。世の中にはさまざまな不正利用対策がありますが、弊社でも様々なツールを比較検討した結果、Siftを新たな不正対策ツールとして加盟店様へご提案していくことを決定いたしました。

ではまずこれまでの経緯を振り返って、カードセキュリティ対策の強化の背景と法改正について説明させていただきます。

ECの普及によって日本でもクレジットカード決済の取引が増加しています。件数の増加と同時に不正も増えるということで、日本のクレジットカード取引の水準を、国際水準まで引き上げなければいけないという要請があがっています。

法律的なところでは、割賦販売法の改正がありました。実務の指針としては、クレジット取引セキュリティ対策協議会が、クレジットカード・セキュリティガイドラインを公表しています。

改正割賦販売法とクレジットカード・セキュリティガイドラインの目指すところは同じです。時系列で言いますと、2018年6月に改正割賦販売法が施行されました。改正された内容を実行するための指針として、2019年まで実行計画というものがありました。実行計画が実現したあと、これからもこの指針を皆で守っていきましょうという意味で、“計画”から“ガイドライン”に名称を変えて今に至るのがクレジットカード・セキュリティガイドラインであると私たちは理解しています。

割賦販売法の改正の内容は、大きく3つあります。①クレジットカード情報の適切な管理等、②加盟店の管理の強化、③フィンテック（FinTech）のさらなる参入を見据えた環境整備です。加盟店に大きくかかわる部分は①と②です。①は、加盟店に対する、クレジットカード情報の管理に関する指導の義務付け。②は、加盟店に対しクレジットカード情報を取り扱うことを認める契約を締結する事業者について、登録制度を創設するとともに、当該加盟店への調査を義務付けするというもの。ECサイトを運営されていると、時折弊社のようなPSPから「この商材は何ですか」「このサイトの表記を変えてください」といった指摘が入ることがあると思います。こういった連絡がなぜくるようになったかというと、割賦販売法が改正されたために管理が強化されたからです。

ガイドライン上のセキュリティ対策と実際の施策との関係について説明いたします。ガイドラインの柱は大きく3つあると考えています。

1つ目がカード情報の漏えい対策。カード情報を盗ませないようにしようということです。この具体的な対応策としては、カード情報の非保持化、あるいは、PCI DSS準拠です。実際には2018年に非保持化対応の期限を終えております。

2つ目が偽造カードによる不正使用対策。偽造カードを使わせないということです。これは対面決済に適用される内容で、対応策はクレジットカードのIC化対応です。今までは磁気カード対応が多かったと思いますが、ガイドラインに沿ってIC化対応が進みました。2020年3月が対応期限でしたので、業界としてはすでに対応が済んでいると理解しております。

3つ目が、ECにおける不正使用対策。ネットでなりすましをさせないということです。今後求められる対応であり、多面的・重層的なアプローチが必要になります。対応策としては、本人認証（パスワード）、券面認証（セキュリティコード）、属性・行動分析、配送先情報があります。

属性・行動分析に基づくSiftの不正防止サービスを推す

不正使用対策として具体的に何をすればいいのかというお話をさせていただきます。

先ほど申し上げましたように対策には本人認証（パスワード）、券面認証（セキュリティコード）、属性・行動分析、配送先情報がありますが、1つ入れればいいということではなく、多面的・重層的な対応が求められるとガイドラインには書かれています。

では実際にECサイトで何をすればいいかということですが、取り扱う商材や不正の実態によって状況は異なってきます。

前提としてすべてのEC加盟店には、カード取引に対する善管注意義務の履行と、オーソリゼーション処理が求められています。その上で、高リスク商材を取り扱っている加盟店には、不正利用対策4方策のうち1方策以上が求められます。高リスク商材とは、家電、チケット、デジタルコンテンツ、電子マネー、宿泊予約など、特に換金性が高いものが該当します。

また、不正顕在化加盟店には、不正利用対策4方策のうち2方策以上が求められます。不正顕在化加盟店とは、カード会社（アクワイアラ）各社が把握している不正利用金額が3カ月連続して50万円を超えている加盟店のことです。

ガイドラインに沿って方策を導入しても、被害が減少しない場合もあり得ます。そういった場合には、カード会社や弊社のようなPSPから加盟店に、追加の方策検討を継続的に求めることになります。それに対応できない場合には、加盟店資格を剥奪されるという可能性もあります。

弊社が提供する不正使用対策ソリューションは多岐にわたっています。ガイドラインに記された不正利用対策4方策に該当するもののほかにも、保険や連続注文対策といったラインナップもございます。

多様化する手口に対抗できること、また、加盟店の売上を阻害しないことを重要視していますので、中でも特に属性・行動分析に基づくSiftの不正防止サービスを推させていただいております。ハコを提供するだけでは不十分だと考えておりますので、弊社営業担当、各決済事業者様、ベンダー様などとの連携をとりながら総合的な不正対策ソリューションを提供させていただいております。