カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 流通・コマースNavi, 金融情報Navi

ECサイトにおける決済承認率向上と売上増加施策について～ECマーケティングファネルにおけるアクルモデルの提唱～（前編）

2025年11月19日7:30

2025年4月からEMV 3-Dセキュア原則必須化の運用が始まったが、EMV 3-Dセキュアを突破する不正や本人認証時の離脱など、運用上の課題が表面化しつつある。必須化以降に顕在化したEMV 3-Dセキュアの課題を踏まえ、アクルが提供する「ASUKA」の活用によって、売上増加につなげる適切な運用について紹介。UIを損ねることなくセキュリティを強化した事例を交えて解説する。（2025年10月16日開催「ペイメント・セキュリティフォーラム2025 fall」の講演より）

株式会社アクル　代表取締役社長　近藤修氏

不正検知サービスの選定には
ネットワークに着目することが重要

まず、アクルについて簡単にご紹介させていただきます。2016年の設立で、カード不正対策のみならず、決済時における不正の課題を解決するサービスを提供している会社です。特徴は、私自身もそうなのですが、決済代行会社出身のメンバーで構成されているということです。単に不正検知サービスを提供するだけではなくて、ニッチなところで課題解決をサポートしていくというところが特徴であると認識しております。

主力サービスとして、不正検知・認証システム「ASUKA」があります。2025年10月現在、国内300社、4万5,000サイト以上で利用していただいております。累積ではなく、今現在、これだけのサイトで使っていただいていますので、おそらく国内最大級のネットワークを形成しているものと考えております。

日本で不正をはたらいている人たちは、大体似たような人たちなのだろうと推察しています。つまり、大陸からのアタックなど外国人の匂いがするものが多いです。5～6年前には海外カードの不正が多かったのですが、最近はほとんどが日本のカードです。日本のカードの情報がフィッシングなどで盗まれて、中国などの闇サイトで売買されてアタックに使われるという構図に移ってきて、それが今も続いているということです。

不正検知システムとはそもそも、問題を100％解決するツールではないと考えますが、そういった状況を踏まえると、そこで最も重要なのは、ネットワークです。どんなに良い精度を持っていて、どんなに良いAIで、どんなに良い人間によるフィードバックがあったとしても、参加者が1～2社に限られていたらまったく意味がありませんし、精度は上がっていきません。不正検知システムを選定するときに重要なのは、どの“ネットワーク”に所属するのかという視点だと思います。

日本国内の不正は、独特です。ですから、国内の参加者が多いネットワークに入ることが重要です。もちろんグローバルでビジネスをしているということであれば、グローバルなネットワークを持っている外資系のサービスが良いかもしれません。しかしこと日本に関しては、国内のネットワークに入るということがとても重要だと考えています。当社は国内300社、旅行、アパレル、物販をはじめあらゆる業種業態とのネットワークがあります。

変化する不正トレンド
線の考え方で不正をブロック

不正検知・認証システム「ASUKA」は、「クレジットカード・セキュリティガイドライン」で示された決済前、決済時、決済後の線の考え方に沿って不正対策を講じています。カード不正は多様化していますので、その対策も決済時だけではなく、決済前、決済後にわたって講じることが必要になっているのです。

たとえば「ASUKA」は属性行動分析にも対応していますし、クレジットマスター対策にも機能しています。増加している不正ログインの対策として、先日「ASUKA Account Protection」をリリースしました。配送先の住所に関しては、名寄せを含めた住所検知機能があります。日本国内の場合、住所表記の揺らぎという問題があり、それをしっかり押さえられるかということがポイントになります。

住所に関しては、5～6年前までは、空き家を転々とする不正が多かったです。しかし最近の傾向として、1カ所、同じところに何度も届けさせるケースが多いです。ばれるのではないかと思うのですが、実はばれていないからやっているわけです。転々とする必要はなくて、闇バイトなどアルバイトに受け取ってもらえばいいという話なのです。実際にあったのは、大学の学生寮や、サッカー部の合宿所。それは寮長さんが、あまりにもたくさんの荷物が届くのでおかしいと思ったということで、発覚しました。このケースでもアルバイトが受け取りを請け負っていました。住所に関する不正検知の概念は、数年前とはかなり変わってきています。

住所検知機能において、アクルは後発です。以前は空き家を転々とするケースが多く、真正なユーザーを巻き込む恐れも高かったため、、着手には消極的でした。当社はチャージバック保証サービスを提供していますが、かつてはその住所まで実際に足を運んで見に行っていました。すると明らかに空き家のアパートなのですが、扉に「ノックしてください」という張り紙があるのです。その書き方がいかにも日本人ではないのです。そういうケースがけっこうありました。ところが今は、1つの住所に配送を寄せる傾向があるので、その住所が特定できれば一気につぶすことができます。

いずれにしても住所、名寄せというのは、重要なポイントです。これをしっかり検知できるのは、国内ベンダーだと思います。

では、3DSはどうでしょうか。3DSには、住所の不正検知や名寄せ機能はありません。しかしこれも重要な機能であり、「ASUKA」は3DSもカバーしています。2024年にこのセミナーに登壇させていただいたときに、「ASUKA-3DS」というサービスを案内させていただきました。標準の3DSがあるのに、どうしてアクルが3DSのサービスを提供するのかと皆様キョトンとしていらっしゃって、あまり受けが良くなかったのですけれども。「ASUKA-3DS」も線の考え方に基づいたサービスであり、他社にはないサービスです。後ほどこれについても説明させていただければと思います。

実はあまり知られていないのですが、「ASUKA」はAmazon Payなど、クレジットカード以外の不正対策にも対応しています。これを含めた使い方をしていただいている加盟店もいらっしゃいます。

チャージバックがなくても不正は存在している
モラルハザードを食い止めろ

3DSの実施はいよいよ今年、2025年に義務化されました。その構造的な課題は何なのでしょうか。実は私、先日まで大学院に通っておりまして、2月に「EMV 3-Dセキュアと追加不正対策の共存に関する動機分析」と題した研究論文を提出いたしました。3DSを実装するとチャージバックが免責になります。だから「それでいいじゃないか」と考える加盟店がある一方で、追加対策を講じる加盟店もある。その動機分析をしています。

現在「ASUKA」を導入している企業の中から6社をピックアップしてインタビューさせていただいて、学術的観点、実務的観点から論文にまとめさせていただきました。

3DS義務化の構造的課題は何かといいますと、チャージバックがなくなるから不正利用対策をする意味がなくなるという考えが出てくるわけです。昨日私はある加盟店を訪問してきたのですが、その加盟店の方が言うには、「最近不正がなくなった」というわけです。本当はチャージバックがなくなっただけで、不正がなくなったわけではありません。損害をカード会社が負担しているわけです。それなのにそういう話が出てくるというのは、少し危険です。

積極的に3DS以外の不正対策をしている加盟店の特徴は何かというと、担当者です。EC黎明期から活躍されている担当者は不正対策に熱心です。2000年代にECが始まったころから、酸いも甘いも、それこそチャージバックも経験しています。「チャージバック保険にも入ったけど全然追いつかなかった」とか。そういった中で成功体験、実績を積んできて、不正の痛みを身をもって知っているので、3DSでチャージバックがなくなるからそれでいい、ということにはならないのです。ただその20年選手の担当者はそろそろ引退の時期を迎えます。担当者が代替わりすると、その感覚は引き継げないわけです。そうすると、チャージバックがないのになぜこんな対策をしているのかという話になりがちです。そういうことが次々と起こってくると思うのです。

このあたりの加盟店の意識変化というのは、如何ともしがたいところがあります。線の対策とか言っても、彼らにはぴんとこないのです。これまで活躍してきた担当者が入れ替わっていくということが、構造的課題です。3DS義務化でチャージバックがなくなっていき、不正対策に対するモチベーションが下がっていく。本質的なところが見えなくなってくるというところが、実をいうと最も深刻な構造的な課題なのではないかと私は考えています。

重要なことは、本質的なリスクをどうやって認識、共有していくのかということ。これが業界全体の課題なのだと思っています。3DS義務化が始まったばかりで、まだ混沌としている状態ですが、いずれ「そもそも不正って何ですか？」という世界観になっていくと思います。あるいはテクノロジーが進化して、チャージバックの発生を気にしなくなる世界観が生まれてくるかもしれませんが、もうしばらくはこの状況が続くとすれば、そのあたりが構造的な課題だといえると思います。

担当者が不正を意識しなくなるということは、データを垂れ流すということを意味します。われわれはチャージバック保証サービスを長年提供していますが、たとえば2016年、2017年あたりに登場したチャージバック保証サービス、チャージバック保険のうち、たとえばDGFTが提供していたチャージバック保険はなくなりました。なぜかというと払い出しがあまりにも多かったからです。要するに、チャージバックが保証されるのなら、何でも配送していいじゃないかという、いわゆるモラルハザードが起きたわけです。われわれが今提供しているチャージバック保証サービスには、かなりきつめの条件を付けています。この条件を満たしていない場合は保証を提供しません、ということです。

3DS義務化によってセキュリティレベルが上がったとしても、モラルハザードは起こり得ると思うのです。3DSはもちろん100％ではありませんから、不正が起きたときに裏側でカード会社の負担が増えるという構図がある中で、加盟店が何も対策を講じなくなればその負担はますます大きくなっていきます。構造的な課題が残っていくわけです。そしてEC黎明期を知る担当者がいなくなっていくと、そのあたりの意識が薄くなって、負のスパイラルが生まれるという図式が見えてきます。私はこの論文の中で、担当者から担当者へ、セキュリティに対する考え方をしっかり引き継いでいってくださいと訴えました。不正対策の重要性を社内で確認し、共有すること。まずこれが重要であると考えています。

不正対策をしてきれいな水を流すことが
結局は自身の利益になる

昨今は、承認率を上げることが最大の目標だ、というような風潮があり、不正検知システムの導入も承認率向上、売上最大化のためだと考えられているようですが、不正検知のメカニズムのどこに最も注目していただきたいかといいますと、不正対策を何もしない場合、どんどん後ろに負担がかかっていくということです。

加盟店からすれば、チャージバックがないから関係ないという話になるのかもしれませんが、カード会社はそうはいきません。すると結局、3DSだったり、決済オーソリというところに、何かしら手を入れるわけです。それによって離脱、カゴ落ちが起こるわけですから、加盟店にとっても、チャージバックがないからそれでいいということではないはずです。不正対策をしないと、間接的に離脱が起きるというメカニズムです.

不正検知システムを導入すると、なぜ売上が上がるのか。そのからくりは、きれいな水を流せば、各プレイヤーにとって負担の少ない好循環が生まれるということです。逆に澱んだ水を流せば、各プレイヤーに負担がかかり、利益が圧迫される事態に陥ります。手前でフィルターをかけて、きれいな水を流していただくことが、結果的に承認率の向上、売上増大につながると考えています。