· 

ECサイトのセキュリティ

中小企業診断士 春山英太郎

 

近年、インターネットを通じたECサイトの利用者数は急激に増加しており、それに伴いオンライン決済の需要も高まっています。ただ、クレジットカードの不正利用被害も増加しており、2023年は過去最高の540.9億円の被害が発生しました。中でもクレジットカード番号盗用被害は9割を占め、2023年は504.7億円の被害が発生しています。(日本クレジット協会「クレジットカード不正利用被害の発生状況」)

 このような背景の中で、ECサイトを運営する事業者は、安全かつ効率的なオンライン決済環境を整える必要性が高まっています。そのため、割賦販売法に規定する不正利用対策の実務上の指針として、「クレジットカード・セキュリティガイドライン」が公表されています。

 

オンライン決済でのリスク

ECサイトにおけるオンライン決済は便利である一方で、事業者にとって大きなリスクも存在します。その代表的なものが「チャージバック」です。チャージバックとは、購入者がカード会社に対して取引の取消しを求める仕組みであり、不正利用が原因の場合、事業者がその損害を負担することになります。

 

たとえば、不正利用者が盗んだクレジットカード情報を使って購入した場合、正規のカード所有者からチャージバックの請求が発生します。このようなケースでは、事業者が商品やサービスの代金を回収できないだけでなく、チャージバック手数料が発生し、さらなる損害を被る可能性があります。そのため、不正利用を未然に防ぐための対策は、事業者にとって不可欠です。

 

EMV 3-Dセキュア(3Dセキュア2.0)

EMV 3-Dセキュアは、オンライン決済時の本人認証を強化するための仕組みです。この技術は、カード所有者、カード発行会社、加盟店の三者間で情報を共有し、認証プロセスを実施することで、不正利用を防ぐことを目的としています。2024年3月の「クレジットカード・セキュリティガイドライン 5.0版」では、ECサイトを運営する事業者に対して、EMV 3-Dセキュアの導入計画を策定し、早期にEMV 3-Dセキュアの導入に着手することが求められています。

 

従来の3Dセキュア1.0では、パスワード入力が求められる形式が一般的でしたが、ユーザー体験が煩雑になるという課題がありました。3Dセキュア2.0では、この課題を解消するために「リスクベース認証」という仕組みを導入しています。この認証では、利用者のデバイス情報や取引内容を元にリスクを自動で評価し、必要に応じて追加の認証手続きを行う仕組みです。

 

すでに導入されている事業者も多いと思いますが、まだ導入されていない方は、ECサイトにより導入方法はさまざまですので、利用しているECサービスや決済代行業者に確認することをお勧めします。

 

不正利用対策

EMV 3-Dセキュアにより、本人認証が行いやすくなります。しかし、リスクベース認証は、通常のユーザー行動と異なる認証行為が発生した場合にリスクがあると判断されるため、完全に不正利用を防げるわけではありません。そのため、不正利用だと判別するためのチェック項目をいくつかご紹介します。

 

  • 注文者の名前が不自然(ローマ字表記、漢字とフリガナが異なる等)ではないか。
  • 住所が番地まで書かれているか。
  • 贈り物になるような商品ではないのに、注文書と商品送り先の住所が異なっていないか。
  • 複数の購入者から、同一の住所に発送が指定されていないか。
  • 似たようなメールアドレスでの決済が続いていないか。

これらの項目を確認するだけでも、不正利用を防止することにつながります。決済サービスの中では、「不正住所照合」機能を提供しているところもあるため、ぜひ活用してください。

 

不正利用と判断した場合は、メールや電話で本人確認を行ってください。連絡が取れなければキャンセル扱いとなりますが、連絡が取れた場合でもクレジットカード決済の売上請求を取り消し、別の決済に変更してもらうなどの対応が考えられます。

 

まだ被害にあわれていない方も、不正利用は突然やってきます。損失を防ぎ、売上機会を逃さないためにも、改めてECサイトのセキュリティを見直してみてはいかがでしょうか。

 

以上