こんにちは。ようた＠英語コーチ&フィンテック（Fintech）アドバイザー& FP (Financial Planner)です。皆様いかがお過ごしでしょうか？仙台の5月は思ったよりも寒くまだ山や海などに行くには薄手のジャケットやパーカーが必要です。とはいえ、観光地の人出は、やはり首都圏の比ではなく、居心地の良さとメリットは、寒さのデメリットをうわまわるかと思います。

今回の記事では、フィンテック、ECビジネス、特に加盟店ビジネス（クレジットカード支払いを受ける立場）視点では忘れてはいけない国内のクレジットカード不正の現状や対策について、まとめておきたいと思います。

国内クレカ不正の現状

一般社団法人日本クレジット協会（JCA）

一般社団法人日本クレジット協会（JCA）から「クレジットカード不正利用被害の集計結果について」というリリースが3月31日に発表されています。

JCAは国内の主要クレジットカード会社が加入している業界団体で各種指標や数値を取りまとめています。2021年は全体のクレジットカード取扱額が前年比8.8%増であったと推計される（以下記事参照）のに対して、不正額は30.5%の伸びとなっています。

メルカリ決算資料

4月28日にメルカリが発表した第三四半期（2022年3月まで）決算においても不正利用について述べられています。

資料によるとメルカリの第三四半期の取扱高は2326億円、これに対して費用（補填金）として10億円を計上していますのですべての取扱高の0.43%程度が不正による取引と考えられます。不正利用の影響によって営業利益率は28%から24%に押し下げられています。

不正取引はやはり非対面取引におおい

不正取引の増加は、非対面取引（業界ではCard Not Present取引といいます）の増加が多いと考えられています。インターネットでは基本的にカード番号があればクレジットカードが使えますが、対面取引（Card Present取引）では、現在はICチップによる認証+暗証番号入力が必要となりますのでセキュリティレベルが非対面取引に比べて高くなります。また、対面では、大量の取引を同時に行うことの難しさや、実際に店頭で行うことから監視カメラでの監視など不正を行うハードルは高くなります。後述しますが、業界でも3D Secureなどの対策をとっていますが、インターネット取引における利便性との兼ね合いなどから進んでいない側面もあります。

クレジットカード不正取引の種類

第3者が不正に入手したカードでの取引

不正の種類で最も多いのは、不正に入手したカードでの詐欺利用です。これは、カードの所有者にとっては、「利用の覚えがない」取引です。クレジットカードの利用明細に突然「利用の覚えがない」取引と金額が請求されて、使っていないと、カード会社に連絡をして、不正であると発覚します。不正を行う者にとっては、他人のカード（財布）で買い物ができるわけです。この不正のケースにおいて、不正を行う者が狙う商品にも特徴があります。それは、「転売しやすい商品」です。例えば、商品券、ディズニーやUSJなどのテーマパーク入場券、チケット系、お酒、家電、ブランド商品などが該当します。これらの商品を扱う加盟店では非常に高い不正対策が求められます。

なお、非対面取引（オンライン取引）における上記のような不正は全て、「チャージバック」と呼ばれる不正時のカード取引ルール（厳密にはVisaやMastercardなどのブランドルールと言われているものです）で（原則）加盟店（売る側）の負担で対応することが定められています。したがって、カード利用者がこれらの金額を負担する必要はありません。仮に加盟店が既に倒産などしている場合でも加盟店を管理するカード会社（アクワイヤラ）の負担になります。メルカリの事例も多くはこの不正に入手したカードが本当のカード所有者にとっては、「身に覚えなく」使われたことに起因していると思われます。

カード所有者の負担は原則ないと書きましたが、利用日やカード明細にどのように表示されるかは加盟店次第ですので、もしかすると使ったお店の名前とは別の日付や名前で表示されていることもあるかもしれません。「身に覚えがない」とカード会社に連絡する前に改めて記憶や利用金額を確かめてみましょう。また、「身に覚えがない」という主張が取り下げられるケースで多いのは「家族が勝手に使っていた」と言うものですので、自分のカード番号にアクセスできる人にも確認するのもおすすめします。それでも「身に覚えがない」がない場合は、自信をもってカード会社に相談、「チャージバック申請したい」と伝えることをおすすめます。（このケースでは、カードは再発行されてカード番号も変わります）

加盟店のログインID/Passwordが盗まれるケース

不正にカード番号を入手しなくてもカード取引に実質アクセスできる方法があります。それは、カード番号が保存されているECサイトなどのログインIDやPasswordを不正入手することです。最近のECサイトはカード番号（もしくはそのトークン）を保存していますので、ログインさえできればカード使い放題といったようなセキュリティレベルの低いサイトも存在します。このケースもカード保有者本人からすると「身に覚えがない」取引に該当します。（繰り返しになりますが、家族でパソコンを共有していて、家族が勝手に注文していたというケースもありますので、カード会社に連絡する前に確認をおすすめします）

加盟店が不正を行う取引

「（上記と同じく）不正に入手したカード番号が使われる不正」と「通常のサイトを装ってカード保有者を騙す不正」があります。どちらのケースも加盟店（商品やサービスを売る人）が最初から商品やサービスを発送するつもりがないケースです。偽サイトを立ち上げてカード番号を不正に抜き取る（フィッシング詐欺と言われる手口です）不正の場合、この抜き取ったカードを使う先（お店）が必要になります（上記のメルカリのようなケースです）が、このお店を(売上金の元になる取引を)自分たちで作ってしまおうという不正です。この場合、不正を行う加盟店はカード会社からカード利用料金を受け取る（転売という手間？をかける必要はない）のですが、カード会社が不正に気づく前に精算だけ受けて逃げてしまうという悪質さが高い不正行為になります。もちろん、この場合も「身に覚えはない」もしくは「サービスが提供されない」利用となりますので、チャージバックの対象になり、カード保有者は原則、被害額を負担する必要はありません。

情報商材などの取引

このケースはとても巧妙かつ日本特有な事例と言えるかもしれません。(上述の)「加盟店が不正を行う取引」のように加盟店が詐欺をしているということが明確なら判断はしやすいのですが、「1ヶ月で●●円儲かるノウハウを10万円で販売」、「20万円で彼女ができるまで徹底サポート」、「FX攻略法を10万円で販売、詳しくはLINE登録を」のような事例で加盟店側に「不正をしているつもりはない」という口実を与える手口です。もちろんこれらのノウハウなどを（内容が事実であれば）販売することは100％法律違反ということではないでしょうし、購入者側も最初は自分の意志で買っているので「身に覚えがない」といえないケースもあります。カード会社はケースバイケースで対応してくれるかと思いますが、一般的には「不正利用」と確定されるまでには時間がかかります。

4月13日に、消費者庁から以下のような注意喚起も出ているの気をつけてください。

不正対策の現状

オンライン決済においては、冒頭でも記載しましたが、原則カード番号だけで取引ができてしまうことが不正利用が起きる大きな原因だと考えられます。これらへの対策はいくつかありますので紹介しておきます。基本的にはどれもカード利用者の本人利用であることの「認証」を強化する方法です。

3D Secure

主なカードネットワークによってサポートされているカード取引の（カード番号以外の）本人認証方法です。「本人認証サービス」などと記載されているケースもあります。この認証を導入するかどうかは、加盟店の判断になり、この認証を経た取引は原則「チャージバック」の対象とはなりません。（「身に覚えがない」とはいえないです）

利用の流れとしては、チェックアウト画面などで、カード発行会社のページなどに誘導されて、事前に設定されたパスワードやワンタイムパスワードの入力を要求されるというプロセスを経ます。加盟店視点でいうとチェックアウトプロセスが複雑になるためあまり好まれません。（ワンクリックチェックアウトや継続課金などもできなくなります）

配送先の確認

不正に入手したカードを使って入手した商品を転売しようとするケースでは、商品の発送先住所が必要になります。業界では過去の事例からこれらの不正発送先住所をデータベース化しており不正対策に役立ています。とは言っても、コンビニ受取やロッカー受取など匿名（偽名）でも受け取れるケースは増えておりこの対策の有効性については少し微妙かもしれません。

加盟店側での対策が重要

加盟店側（ECのお店側）での対策も重要です。例えば、新規のアカウント作成後すぐに高額商品が購入される、転売しやすい商品が購入された場合に追加のチェックが働くかなどの対策が必要です。また、加盟店のログインIDなどが盗まれるケースなども想定して、アカウントの利用者のアクセスログなどからのリスクモデルの構築、ログイン時の二重認証などの強化なども必要です。例えば、これまで仙台の住所への発送が100％であったのに、いきなり東京の住所への発送が増えてきたらチェックする、ログインIPやログインデバイスの確認なども検討するといいでしょう。日本においては携帯電話番号での二重認証も有効です。例えば、アマゾンなどでは、カード情報は保持していますが、定期的に（本人しか知らないはずの）カード番号の全桁を確認していますし、新しい配送先情報が入力された場合などもカード番号全桁の確認を導入したりしています。

加盟店管理の強化

加盟店管理はアクワイヤラの責任です。オンラインでビジネスを行いたい加盟店をできるだけ加盟店に負荷をかけずサポートしていけるかという視点の一方、不正を行う加盟店をどのように排除していくのかのバランスを考慮した加盟店獲得、管理が必要であり、アクワイヤラおよび決済代行業者はその最適解に向けて不断の努力が求められています。JCAでは、加盟店情報交換センター（JDM）と呼ばれる不正加盟店に関するデータベースを一元管理して不正対策に当たっています。

消費者教育の強化

上述の情報商材における不正の事例でもそうですが、「美味しい話はない」という消費者教育も必要です。（騙す方が悪いのはいうまでもありませんが）成人年齢の引き下げなどもあり、このあたりの消費者教育を中学、高校などから適切に行うことが求められいるように考えます。

まとめ

オンラインにおけるクレジットカード決済は非常に便利であるのですが、まだまだ不正対策は改善の余地があると思っています。また、この不正対策は、カード会社側だけではなく、加盟店と歩調を合わせて行っていく必要があるかと考えています。このブログでは、引き続き日本のフィンテック界隈のトピックを取り上げていきます。

こちらの記事も是非ご覧ください。