クレジットカード不正利用検知率大幅改善「クルミッ子」の鎌倉紅谷が進めるセキュリティ・転売対策とは？

クレジットカード不正対策・転売対策: 株式会社鎌倉紅谷様

株式会社鎌倉紅谷様

和洋菓子の製造販売を行う鎌倉紅谷は23年11月に自社ECサイトをリニューアルした。リニューアルに合わせセキュリティ対策の強化と転売対策の強化を目的に不正注文検知サービス「O-PLUX」（提供：かっこ）を導入、クレジットカード不正利用の検知率を大幅改善し、作業効率の向上に成果が出ているという。鎌倉紅谷のダイレクト・マーケティング部スーパーバイザー吉田裕子氏と同部CS室シニアスタッフの中西ののか氏に導入の経緯などについてお話をうかがいました。

ECサイトのリニューアルを機にセキュリティ強化

ECサイトのリニューアルを機にセキュリティ強化鎌倉紅谷は鎌倉・鶴岡八幡宮の目と鼻の先に本店を構える創業70年の和洋菓子店。「『おいしい』の先にある気持ちを一番大切にするお菓子屋」というビジョンを掲げ、鎌倉をはじめ神奈川県を中心に9つの実店舗を構えている。近年はECにも力を入れているという。クルミを詰め込んだキャラメルをバター生地で挟んだ「クルミッ子」や、ラスクをヒントに生まれたオリジナル菓子「あじさい」、サブレの「鎌倉だより」など人気商品を多く持つ。同社の菓子は手作業による工程も少なくないことから生産量に限りがあり、実店舗・ECともに連日完売が続く人気ぶりだ。人気の一方で、店舗やECでの悪質な購入による転売問題にも頭を悩ませてきたという。また、近年巧妙化するECサイトのセキュリティ脅威に対し、常にセキュリティ対策を万全にしておく必要性を感じていたという。セキュリティ・転売対策の取り組みを中心に EC強化の流れについて迫る。　　

ECサイトをリニューアルした経緯について教えてください。

吉田裕子氏（以下、吉田）：当社では、2000年頃からECサイトをスタートしていますが、当時は電話受注がメインでした。コロナ禍までは店舗での販売を中心に展開していましたが、おかげさまでEC化率が向上するなど成長し続けています。

EC強化の取り組みを進める中でサーバーの強度やセキュリティ対策も重要視していました。将来を見据えて強固なEC基盤を構築すべく2023年11月にECプラットフォーム「Shopify」によるリニューアルを行いました。サーバーの部分では、以前はアクセスが集中した際に ECサイトが落ちてしまうことがありました。こうしたことが起きないよう強靭なサーバーを持つEC基盤への切り替えを検討しました。

セキュリティ対策については以前「クレジットマスターアタック（※）」が疑われる不自然なアクセスを検知したことがあり、その時は手動で対策して事なきを得たのですが、スタッフの負担も大きかったことや、ECサイトを運営している以上は常にこうした脅威にさらされ続けることを考えるとシステム的な対策が急務と考えました。

長年の悩み「転売対策」も実現

当時の状況について詳しく教えてください。: 吉田：当時は別のECプラットフォームを使っていたのですが、不自然な大量アクセスを検知した際、手動でアクセスできないように対応していました。すぐにアクセスをブロックするための専用システムを導入したのですが、実装されるまでの約1週間、土日含む毎日、複数名で深夜と早朝に対応を余儀なくされましたね。決済に関わる大切な部分なので、神経も使いました。大量アクセスがあるだけでオーソリ料金も上乗せ請求されるので、無駄なコストもけっこうかかります。その時は緊急性もあって、当時のECプラットフォームと一番相性が良かった別のシステムを選んだのですが、実はその時から転売対策も可能な「O-PLUX」に魅力を感じていました。「shopify」へのリニューアルが決まっていた時期だったので、リニューアルの際はより強固な対策として「O-PLUX」導入をしようと決めていました。事前に不正を防ぐというのはもちろんですし、スタッフの作業負担軽減も大きな目的です。
　　
リニューアル後のセキュリティ対策の体制についてはいかがですか。: 吉田：2023年11月のリニューアルからクレジットカード決済の機能を、「EMV 3-Dセキュア（3Dセキュア2.0）」（※）対応の「Shopifyペイメント」を採用しています。プラスで不正注文検知サービス「O-PLUX」を導入しており、二重で不正対策する形をとっています。クレジットマスターやクレジットカードの不正利用と合わせて、長年の課題であった転売問題の対策も実現しています。; ※編集部注：「EMV 3-Dセキュア（3Dセキュア2.0）」＝web上でクレジットカード決済をする際の不正利用を防ぐための本人確認の仕組み。本人確認に生体認証（指紋や顔認証など）やワンタイムパスワードなど動的認証の仕組みを取り入れたもの。なおクレジット取引セキュリティ対策協議会は2024年3月に「クレジットカード・セキュリティガイドライン」を改訂し 2025年3月末までに全EC加盟店で「EMV 3-Dセキュア（3Dセキュア2.0）」の導入を原則義務化している。; 中西ののか氏（以下、中西）：「O-PLUX」導入は、導入社数が多く信頼性が高いこと、転売対策の部分など細かいチューニングができるので当社のニーズに合致していたことから決めました。空室情報や海外転送サービス判定ができる外部のデータベースの連携、利用企業の不正注文を共有ネガティブデータベースとして審査に活用できるといった点などは社内でも評価が高かったですね。リニューアルサイトの本オープン前にテストサイトでトライアルも使わせていただいて、総合的に判断して本導入した形です。; 吉田：「O-PLUX」は「Shopify」とプラグイン連携もしているため開発面ではスムーズに導入できましたね。
ちなみに「O-PLUX」導入以前の転売対策はどのようにされていましたか。: 中西：毎日の注文データの中から不正注文に該当するものを目視でチェックするという対応をとっていました。たとえば数量限定商品などご購入数の上限を設けさせていただくことがあるのですが、同じ方が上限を越えて注文しているかどうかの見分けが難しいことがありました。特に大変だったのが名寄せの部分で、例えばマンション名が書いてある配送先と書いていない配送先だと一致しないため、そのチェックに毎日2時間程はかかっていましたね。

クレジットカード不正利用の検知率大幅改善、工数削減に成果

セキュリティ対策強化の成果としてはどうでしたか。: 吉田：クレジットカード不正利用の検知部分ですと、検知率の大幅改善が実現できています。リニューアルの前は金額としては大きくはないもののチャージバックが発生していたため、成果を実感しています。チャージバックが起きてしまうと商品代金の金額的な損失だけでなく、経理的な処理など含めると1件の処理が完了するまでに何カ月もかかります。スタッフのトータル作業時間やストレスを考えると、これらが解消されたのは大きいですね。; 中西：転売対策の部分では、不正注文を検知するために従来かかっていた作業時間を1割以上削減出来ていると思います。「O-PLUX」は、転売と思われる海外転送サービスの住所なども検知してくれるので非常に画期的だと思います。これまでの目視の運用では絶対にわからなかった部分もカバーできているという実感がありますね。; 吉田：数字にはあらわれない部分にはなりますが、システムを入れて対策を強化しているというのは、運営スタッフの安心感も大きいです。 ECサイトを運営している限り、年々巧妙化したり次々に新たに登場するセキュリティ脅威にさらされ続けるので、大切なお客様のデータを守るための対策をしている・いないでは心理的に大きな差があると思います。
ツールに期待することなどはありますか。: 吉田：常にアップデートされていると思いますのでさらなる進化に期待しています。; 中西：コンビニなどにある「警察官立寄所」の防犯マークのような形で、「O-PLUX導入ECサイトです」といった共通のマークを用意していただいたら、不正の抑止力や防犯にならないだろうかと考えたこともあります。当社としてもしっかり不正対策や転売対策を行っているということをアピールしていけたらと思っていますし、「O-PLUX導入」のマークがついているだけで防犯になるようなシステムになることを期待しています。;