• 決済
  • 連載第8回
  • 2015/7/27

ECサイトの「カード会員情報保護」に向けた取り組みとは?

np_0727_kv

インターネットを活用した決済にかかわらず、金銭が絡む取引の多くは不正利用との戦いが重要となります。弊社が提供する未回収リスク保証型の決済サービス「NP後払い」においても、如何に未払いリスクの高い利用者を見分けるのかが大切です。

今回は、クレジットカード決済を中心に、インターネット決済時の不正利用対策についてご説明します。

非対面による不正が顕在化

全世界のクレジットカードの不正利用の約5割を占める米国に比べ、日本におけるクレジットカードの不正利用は落ち着いているという印象があります。ただ、日本クレジット協会が発表するクレジットカードの不正利用の統計をみると、2013年以降の不正利用は増加傾向にあります。
具体的には、対面取引よりもカードを提示しない非対面(CNP:Card Not Present)取引による不正が目立っています。矢野経済研究所「電子決済/EC決済サービスの実態と将来予測2014年版」によると、国内のEC市場の取引の約50%以上をクレジットカードによる取引が占めていますが、クレジット業界ではさまざまな不正利用対策が行われています。

具体的な対策は以下の通りです。

利用者の認証による対策

  • 3-Dセキュア、セキュリティコード、属性認証による認証

ECサイトのセキュリティ強化

  • PCI DSS
  • カード会員情報保護対策
  • トークナイゼーションの導入
  • 不正検知システムの導入

3-Dセキュア、セキュリティコード、属性認証による認証

ネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みが「3-Dセキュア」です。Visaが「VISA認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」という名称で展開しています。
これにより、不正利用対策で効果があることは確かですが、ただ、ECサイトにとってドロップ率が低減し、売上減に結びついてしまうことが課題となっています。また、利用者自身が「3-Dセキュア」自体を知らないという問題があるため、業界をあげて推進を行っているオンラインゲーム業界など一部を除き、利用は広がっていません。

ペイメントカードの裏面に印字されている3桁の照合用の数値等を利用して認証を強化するのがセキュリティコードです。国際ブランドによって「CAV2/CID/CVC2/CVV2」といったように呼び名は異なります。セキュリティコードによる認証は、磁気情報には含まれないため、仮にクレジットカードがスキミングされてもECショップでの不正は防止可能です。

さらに、決済処理事業者のスマートリンクネットワークでは、オーソリと同時に本人しか知らない情報をカード会社に確認するサービス「認証アシストサービス」を提供しています。「認証アシストサービス」を導入している加盟店では、誕生日など、本人のみが知りうる属性情報を加えて認証されるため、不正利用の低減が可能です。

PCI DSS

クレジットカード等のペイメントカード情報を安全に管理するために設けられたクレジットカード業界の国際的なセキュリティ基準となっています。2004年12月、JCB・American Express・Discover・MasterCard・Visaが制定しました。具体的には、カード加盟店、決済処理事業者、カード会社などが順守すべきセキュリティ対策が12要件にわたり定められています。加盟店にとっては、PCI DSSに遵守した決済処理事業者のシステムを利用することで、安心感を享受できます。

トークナイゼーション

「トークナイゼーション」は、カード番号を別の意味のない数値に置き換えて管理することです。国内では、ゴルフ・ダイジェスト・オンライン等、数社のECサイトが同技術を採用しています。具体的には、EC加盟店は、サイト利用者のクレジットカード番号を「保持」することはありません。また、近年では「伝送」や「処理」の段階でカード番号が漏洩する事件も相次いでいますが、場合によってはそのすべてを行うことなくクレジットカード決済を完了することが可能です。

np_0727_img01
大手決済処理事業者のGMOペイメントゲートウェイは加盟店向けに
トークナイゼーションサービスを提供(出典:GMOペイメントゲートウェイ)

カード会員情報非保持サービス

決済処理事業者のほとんどは、加盟店のECサイトのシステムにクレジットカード情報を保存しなくて済む「非保持」サービスを提供しています。具体的には、決済処理事業者が専用の決済画面を提供し、クレジットカード番号の入力はそのサイトで行うことにより、決済処理を済ますものです。これにより、加盟店では情報漏洩のリスクを軽減することができます。

不正検知システムの導入

特に大手の加盟店では、不正検知システムを自ら導入するケースも増えてきました。
たとえば、高額の家電商品、航空券などのチケットなどを販売するEC事業者は、これまで目視による確認で不正だと思われる取引を調べていましたが、不正検知システムにより、「特定の加盟店で○回連続して同じ商品を購入する」「同じ利用者が異なった住所から連続して商品を購入する」といった怪しい行動を判定し、不正利用を減少させています。

np_0727_img02
JALはNTTデータのオンライン決済不正検知サービス「CAFIS Brain」を導入。
オンラインでの不正を防止している(出典:JAL)

以上のように不正利用対策について紹介してきましたが、大切なのは、クレジットカード加盟店からカード情報が漏洩するリスクを回避するため、「保持しない」安全な対策を行うことだと考えます。

幸い、国内でも加盟店がカード情報の漏洩リスクを抑えることができるサービスは増えており、価格もリーズナブルになってきていると言えるでしょう。

著者紹介

秋山 恭平
  • 株式会社ネットプロテクションズ
  • マーケティング部
  • マネージャー
  • bnr_air
  • bnr_atobarai
  • bnr_frex

最近の投稿