加盟店(事業者)としてクレジットカード決済を導入する場合は、不正利用の対策も同時に行いましょう。
この記事では、不正利用対策としてクレジット取引セキュリティ対策協議会も発表している「3Dセキュア(本人認証サービス)」に関してお話しています。
導入した場合のメリットやデメリットも含めてまとめたので、参考になれば幸いです。
また、3Dセキュアと同じく有効だと考えられている他の対策もご紹介しているため、運営方針にあった方法をぜひご検討ください。
なお、EC事業者さまはEC構築・運営についてのお役立ち資料を以下のバナーからダウンロードしてEC運営にお役立てください。
目次
- 1 3Dセキュアはクレジットカード決済の安全性を高める
- 2 3Dセキュアを導入するメリット
- 3 3Dセキュアを導入するデメリット
- 4 3Dセキュアはクレジットカードの不正利用を防ぐための4つの対策にも含まれる
- 5 クレジットカード契約者から見た3Dセキュア
- 6 3Dセキュア(本人認証サービス)に対応している主なクレジットカード
- 6.1 三井住友VISAカード(三井住友カード株式会社)
- 6.2 OMCカード(株式会社セディナ SMBCファイナンスサービス株式会社)
- 6.3 ライフカード(株式会社ライフ)
- 6.4 NICOSカード(三菱UFJニコス株式会社)
- 6.5 JALカード各種(三菱UFJニコス株式会社)
- 6.6 セゾンカード(株式会社クレディセゾン)
- 6.7 UCカード(株式会社クレディセゾン)
- 6.8 セディナCFカード セディナオークカード(株式会社セディナ SMBCファイナンスサービス株式会社)
- 6.9 JACCSカード(株式会社ジャックス)
- 6.10 MUFGカード UFJカード(三菱UFJニコス株式会社)
- 6.11 オリコカード(株式会社オリエントコーポレーション)
- 6.12 イオンカード(イオンクレジットサービス株式会社)
- 6.13 楽天カード(楽天カード株式会社)
- 6.14 Diners Club International(三井住友トラストクラブ株式会社)
- 7 3Dセキュアを始め自社の運営にあった不正利用対策を導入してリスクを回避しよう
3Dセキュアはクレジットカード決済の安全性を高める
3Dセキュアとは各カード会社が設定する本人認証サービスで、ECなどの非対面での決済時に用いられます。
実店舗などの対面決済では、決済時にサインや暗証番号(PIN)入力で本人確認を行いますが、非対面決済での本人確認を担うのが3Dセキュアとなります。
契約時等に、クレジットカードに記載されている情報とは別のパスワードを設定します。このパスワードはカードの券面・内部データにない「契約者しか知らない情報」となります。
そして決済のタイミングでそのパスワードでの認証を行うことで、カードの盗用や情報の漏洩による不正利用を防ぐ仕組みです。とくに第三者が契約者に代わり決済を行う「なりすまし」のハードルを引き上げることができます。
VISAはVISA認証サービス、MastercardはSecureCode等、各ブランド毎に異なる名称を付けていますが、総称として3Dセキュアと呼びます。
3Dセキュアについては以下記事にもまとめています。合わせてご参照くださいませ。
参考:Mastercard SecureCode® | ご登録方法 Mastercard®
導入に関しては、カード会社や決済代行会社(PSP)により異なるため問合せてみましょう。
3Dセキュアを導入するメリット
ここで、3Dセキュアを導入するメリットをまとめましょう。
具体的には
- セキュリティ精度を高め不正利用の防止につながる
- チャージバック時の加盟店負担を軽減できる
という2点があげられます。
1.セキュリティ精度を高め不正利用の防止につながる
1つ目はセキュリティ精度を高め不正利用の防止につながるというメリットです。
前項でも少し触れましたが、決済に必要な情報が増えることで不正利用を防止できます。
なかには3Dセキュアのパスワードも含めて情報をカードの持ち主に入力させる「フィッシング」という手口もあるため確実というわけではありません。しかし、一定の安全性を確保できるのは大きなメリットです。
また、セキュリティに力を入れている加盟店だと印象付けることで、購入者にも安心して利用してもらえるようになります。
2.チャージバック時の事業者負担を軽減できる
2つ目はチャージバック時の事業者負担を軽減できるというメリットです。
チャージバックとは不正利用の被害からカードの契約者を守る仕組みです。
不正利用後にカードの持ち主が異議申し立てをして、それが認められた場合は売上の取り消しが行われます。
そのチャージバック時に取り消された売上は原則として
- カード利用者の本人確認がされている場合はカード会社
- 本人確認がされていない場合は加盟店
が負担します。
この本人確認に当てはまるのが3Dセキュア。つまり、3Dセキュアを導入することでチャージバック発生時のリスクを回避できるのです。
とはいえ、加盟店側の被害はなくとも、不正が発生したという事実には目を向けておきましょう。
3Dセキュアを導入するデメリット
逆に、3Dセキュアを導入するデメリットはあるのでしょうか。
具体的には
- 導入していないクレジットカード会社もある
- 決済フローが増えカゴ落ちのリスクが高まる
- 不正利用を100%未然に防げるというものではない
という3点があげられます。
1.導入していないクレジットカード会社もある
1つ目は導入していないクレジットカードブランドがあるというデメリットです。
3Dセキュアはカードブランドがそれぞれ提供する認証サービスのため、対応していないブランドもあります。
2.購入完了までのステップが増えカゴ落ちのリスクが高まる
2つ目は購入完了までのステップが増えカゴ落ちのリスクが高まるというデメリットです。
3Dセキュアを導入すると決済前に購入者にパスワードを入力してもらうことになります。
つまり、決済完了までに購入者がしなくてはいけない手順が増えます。残念ながら3Dセキュアのパスワードを覚えていなかったり、カード情報の入力画面に移動した時点で逆にあやしいと思ったりする購入者も少なからずおり、購入を断念してしまう可能性(カゴ落ちのリスク)が高まるのです。
3.不正利用を100%未然に防げるというものではない
3つ目は不正利用を100%未然に防げるというものではないという点です。
前述の通り、3Dセキュアを未導入のカードブランドがある他、3Dセキュアのパスワード自体を設定していないカードの持ち主も多く、ECサイトや決済代行会社の設定にもよりますが、3Dセキュアが機能しないケースもあります。
また公的機関やECサイト・メールアドレスを模倣し、契約者に3Dセキュアの認証に必要なパスワードを含めた決済情報を入力させる手口(フィッシング等)が発生しています。
3Dセキュアはクレジットカードの不正利用を防ぐための4つの対策にも含まれる
3Dセキュアは、割賦販売法の改正に伴いクレジット取引セキュリティ対策協議会が発表した、ECなどの非対面決済においてクレジットカードの不正利用を防ぐ4つの対策にも含まれています。
3Dセキュアに関しては前項でお話したため、ここからはその他3つの対策をご紹介します。
1.不正検知システムの導入
1つ目は不正検知システムの導入です。
各セキュリティ会社が独自に提案する不正検知システムは、
- 注文データ
- 統計分析
- 検知システムそれぞれのノウハウ
といった情報から、発送前に取引のリスクを判断する仕組みです。
仕組みに関してはこちらの図がわかりやすいため、参考にしていただければ幸いです。
さらに、システムを使った自動審査であるため、自社内で注文情報を確認している場合には、作業負荷を大きく減らせます。
購入者にパスワードを入力してもらうなどの購入の手間が発生せず、カゴ落ちのリスクも回避できます。
不正検知システムのメリットデメリットはこちらの記事でご紹介しています。ぜひご覧ください。
2.券面認証(セキュリティコード)の利用
2つ目は券面認証(セキュリティコード)です。
券面認証(セキュリティコード)とは、カードに記載されている3桁もしくは4桁の数字で認証を行う仕組みです。
カード1枚毎に設定された数字で認証を行うことで、セキュリティの精度を高めます。
3.配送先情報の蓄積
3つ目は配送先情報の蓄積です。
不正利用では入手した商品を売却し利益を得ることが目的の事が多いため、
- ブランド品
- 家電製品
- AV機器
- PC・周辺機器
- チケット
- ゲーム機器
といった換金性の高い商品が注文されるケースが多く報告されています。
それらの商品が不正に注文された後、事業者は発送の準備をします。
その際に今までに不正利用に使用された住所情報を蓄積しておけば照合時に発送前に気付き、被害の拡大を止めることができます。
しかし、こういった情報を自社のみで集めるのは限界があります。
そこで実際には配送先情報も蓄積できる不正検知サービスの利用が現実的です。
そういった仕組みを利用すれば不正利用問題の一括解決も見込めます。
クレジットカード契約者から見た3Dセキュア
ここまでは、事業者からの目線で3Dセキュアについて解説をしました。
補足として、クレジットカード契約者からの目線でも3Dセキュアについて解説します。
3Dセキュアはクレジットカード契約者にとって導入時こそ設定が必要であるものの、比較的、身近で扱いやすいセキュリティ対策です。
ご自身のクレジットカードをお持ちの方は、契約時に決めた6~16桁ほどのパスワードに覚えはないでしょうか?(桁数は事業者によって異なります)
もしくは、SMSやメールアドレスを使い、ワンタイムパスワードを発行するタイプもあります。それが3Dセキュアです。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ ※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
どちらのタイプであっても、設定を行っておけば決済に本人しかわからないパスワードが必要になり、不正利用を未然に防げる可能性が上がります。
また、3Dセキュアに対応しているにも関わらず認証画面に遷移しなければ、「悪質サイトかもしれない」と疑うこともできます。
その認証手続きを手間に感じる方もいるかもしれませんが、安全性は高まります。海外では当たり前のように導入されており、キャッシュレス決済の普及に伴って日本でも多く使われるようになりました。
仮に3Dセキュアを導入した場合は、パスワードが第三者に漏れることのないよう、しっかりと管理をしましょう。
3Dセキュア(本人認証サービス)に対応している主なクレジットカード
クレジットカード契約者が3Dセキュアを導入する際は、
- 3Dセキュアに対応しているクレジットカードを契約すること
- ご自身でパスワードを設定すること
の2点が必要です。
契約時にクレジットカード会社が設定を促すことも多いのですが、事前登録が必要な場合もあり、性格には会社毎に異なります。
また、3Dセキュアやパスワードの名称も会社毎に異なることを知っておきましょう。
その上で、ここからは3Dセキュア(本人認証サービス)に対応している主なクレジットカードをご紹介します。
三井住友VISAカード(三井住友カード株式会社)
ネットショッピング認証サービスという名称で提供しています。
会員専用WEBサービス「Vpass」のパスワードを併用利用することも可能です。
OMCカード(株式会社セディナ SMBCファイナンスサービス株式会社)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「OMC Plus」のパスワードを併用利用することも可能です。
ライフカード(株式会社ライフ)
インターネットショッピング本人認証サービスという名称で提供しています。
会員専用WEBサービス「LIFE-WEBDesk」のパスワードを併用利用することも可能です。
NICOSカード(三菱UFJニコス株式会社)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「Net Branch」のパスワードを併用利用することも可能です。
JALカード各種(三菱UFJニコス株式会社)
- JAL・Mastercardカード
- JAL・Visaカード
- JALカード Top & ClubQ
- DCカード
において、オンラインショッピング認証サービスという名称で提供しています。
会員専用WEBサービス「DC WEBサービス」のパスワードを併用利用することも可能です。
セゾンカード(株式会社クレディセゾン)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「Netアンサー」のパスワードを併用利用することも可能です。
利用する場合は事前に「本人認証サービス」の申し込みが必要です。
UCカード(株式会社クレディセゾン)
VISA・Mastercard認証サービスという名称で提供しています。
会員専用WEBサービス「アットユーネット」のパスワードを併用利用することも可能です。
利用する場合は事前に「VISA・Mastercard認証サービス」の申し込みが必要です。
セディナCFカード セディナオークカード(株式会社セディナ SMBCファイナンスサービス株式会社)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「CFWebiew」のパスワードを併用利用することも可能です。
利用する場合は事前に「本人認証サービス」の申し込みが必要です。
JACCSカード(株式会社ジャックス)
インターネットショッピング本人認証サービスという名称で提供しています。
会員専用WEBサービス「インターコムクラブ」のパスワードを併用利用することも可能です。
MUFGカード UFJカード(三菱UFJニコス株式会社)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「MUFGカードWEBサービス/UFJカードWEBサービス」のパスワードを併用利用することも可能です。
オリコカード(株式会社オリエントコーポレーション)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「eオリコサービス」のパスワードを併用利用することも可能です。
利用する場合は事前に「本人認証サービス」の申し込みが必要です。
イオンカード(イオンクレジットサービス株式会社)
オンライン決済セキュリティサービス(本人認証サービス)という名称で提供しています。
会員WEBサービス「イオンネットメンバー」と別に「オンライン決済セキュリティサービス 」の登録が必須です。
楽天カード(楽天カード株式会社)
本人認証サービスという名称で提供しています。
会員専用WEBサービス「e-NAVI」のパスワードを併用利用することも可能です。
利用する場合は事前に「本人認証サービス」の申し込みが必要です。
Diners Club International(三井住友トラストクラブ株式会社)
ProtectBuyⒸという名称で提供しています。
クラブ・オンラインでの簡単な事前利用登録が必要です。
以上、3Dセキュア(本人認証サービス)に対応している主なクレジットカードをご紹介しました。
これらの詳しい登録方法などは、各クレジットカードの公式サイトからご確認ください。
3Dセキュアを始め自社の運営にあった不正利用対策を導入してリスクを回避しよう
このように3Dセキュアを始めとした不正利用対策には様々なものがあります。
不正利用のリスクを取り除けば、クレジットカード決済は購入者の利便性を向上する非常に便利なものです。
自社の運営方針に沿ったものから導入してリスクを回避しましょう。