「ECサイトに必要な不正注文・セキュリティ対策って何?」
「対策にかかるコストはいくら?」
などと気になりますよね。
自社でECサイトを運営しているのであれば、不正注文や登録している会員の個人情報を守るためのセキュリティ対策は必須です。
この記事では
- ECサイト運営で必要な不正注文・セキュリティ対策
- これに必要な費用
などについてまとめています。
ECサイトやそのユーザー、そして自社を守るためにどれくらいのコストをかけて不正対策をすべきなのか、検討されている方の参考になれば幸いです。
\不正リスクのチェックを自分で試せる!/ 
目次
ECサイトの不正被害ってどんあものがある?
ECサイトの不正被害には大きく、「不正注文」「不正アクセスによる情報漏洩」の2つがあります。
この2つは特に強化して対策すべきです。
以下では、「不正注文」「不正アクセス」それぞれにおいて対策を強化すべき理由について詳しく解説していきます。
不正注文対策を強化すべき理由
ECサイトで不正注文の対策を強化すべき理由は、クレジットカードの不正利用被害(チャージバック)が年々増加しているからです。
チャージバックとは、クレジットカードの持ち主が決済に対して同意しない場合に、クレジットカード会社がその決済を取り消して持ち主に返金する仕組みのことで、不正に使われたクレジットカードの支払いを取り消すことができます。
つまり、クレジットカードの不正利用被害(チャージバック)が起こると、カード会社に返金(自社負担)しなければいけないし商品も返ってこないということです。
そして以下のように、日本クレジット協会によると、2023年1月~12月までのクレジットカード不正利用被害額は、残念ながら過去最高の540億円でした。(回答41社:前年同数)
この内訳は、
- 偽造カード被害額
- 番号盗用被害額
- その他不正利用被害額
となっています。
※引用:日本クレジット協会
上図でわかるように2023年のカード不正利用の被害額は、前年の同時期(2022)よりも約104億円増えています。
また、上図真ん中のカード番号盗用被害額については93%(504.7億円)という構成比です。(3か月に1度、本記事を更新していますが増加額は毎回過去最高額を記述している状況です..)
番号盗用されたクレジットカードは、非対面でのカード決済、番号を記入して利用できる場所で不正利用されるので、主にECサイトで不正に利用されています。
不正アクセスによる情報漏洩対策を強化すべき理由
次に、不正アクセスによる情報漏洩対策を強化すべき理由ですが、これはユーザー・自社を守り二次被害を防ぐために必要と言えます。
上記であげたECサイトにおけるカード不正利用などの大元の原因は、企業が不正者に個人情報を抜き取られていることです。
不正者が個人情報を狙う理由は、個人情報が売買できる・カードなどを不正に使うことで、これらでお金を稼ぐのが目的です。
また、情報漏洩を起こしてしまった企業はユーザー数が減る、ネットで悪評を流されるなどブランド価値低下にもつながります。
その参考としてマッチングアプリの「Omiai」の事例を紹介します。
よって、ECサイトを運営する事業者は不正アクセス・情報漏洩対策が必須と言えます。
ECサイトの構築・運営についてのお役立ち資料は以下のバナーからダウンロードできますのでぜひチェックしてみてください。
ECサイトの不正注文・セキュリティ対策に必要なコスト
ここからは、上記で説明したECサイト運営で必須の不正注文・セキュリティ対策のコストについてお伝えします。
企業によって各人員・費用は異なるので概算にはなりますが参考にしてみてください。
▼ECサイトの不正注文・情報漏洩対策に必要なコスト
| 目的 | 内容 | 業務担当(人数) | 毎月のコスト |
|---|---|---|---|
| 不正注文対策 | 注文情報をもとに怪しい注文をチェック | 1~2人 | 20~30万/人 |
| 不正な購入とみなした商品のキャンセル手続き | 1~2人 | 20~30万/人 | |
| 後払い決済の未払いの督促 | 1~2人 | 20~30万/人 | |
| 不正利用だったかどうか異議申し立ての対応を決定(受け入れるか反証をするか) | 1~2人 | 20~30万/人 | |
| 情報漏洩対策 | ユーザーの本人確認をする (ブラックリストを用いて確認等) | 1~2人 | 20~30万/人 |
| アカウントへ不正なログインをしていないかのログを確認する (ユーザーのモニタリング) | 1~2人 | 20~30万/人 |
※各社によって人員・コストは変わります。
「不正な注文かどうか」や「不正なログインかどうか」などを人力で行うとすれば、このような想定ができます。
ただし、これらを1人に1つずつ担当してもらうというのは難しいと思うので、不正注文対策に1~2人、情報漏洩対策に1~2人というような体制にしておきたいです。
そうすると自社のみで各セキュリティ対策をするには、毎月およそ20~60万円のコストがかかると想定できます。
なお、当サイトを運営するかっこ株式会社は、不正注文検知システム「O-PLUX」や不正アクセス検知システム「O-MOTION」などを開発・提供しています。
アクセスから注文まで一貫して対応-かっこの不正検知サービス- 
これから紹介する具体的な不正注文対策・情報漏洩対策を読んで、人力・現状での対策では厳しいと感じたら不正検知システムの導入を検討しましょう。
具体的な不正注文対策4つ
ECサイトを運営する事業者ができる不正注文対策は主に以下の4つです。
- 本人認証(3Dセキュア)の利用
- 券面認証(セキュリティコード)の利用
- 属性・行動分析(不正検知システム)の利用
- 配送先情報の蓄積と利用
それぞれ解説します。
1.本人認証(3Dセキュア)の利用
1つ目の対策は本人認証(3Dセキュア)の利用です。
3Dセキュアとはカード会社が契約者に提供する本人認証の仕組みです。
上図の3Dセキュアの働きでも分かるように、怪しい注文のみ本人確認が行われます。
本人確認では、カードに記載されていない情報の入力が必要になるので、紛失や情報漏洩による不正注文の減少が見込めます。
3Dセキュアにおいては、クレジットカード・セキュリティガイドラインにより、2025年3月末までに全ての加盟店において早期導入が求められています。
なお、3Dセキュアだけでは不正対策は万全だと言い切れないのが現状です。
その理由や、3Dセキュアと不正注文検知システムを併用すべき理由については、以下の記事で詳しく解説しているので参考にしてください。
\大手事業者の3Dセキュアと不正検知システムの併用事例あり/ 
※2022年10月より3Dセキュア2.0に移行となり、3Dセキュア1.0は提供が終了となります。
3Dセキュア2.0についてはこちらをご参照ください。
2.属性・行動分析(不正検知システム)の利用
2つ目の対策は属性・行動分析(不正検知システム)の利用です。
不正検知システムを利用すると、
- 取引データ
- 検知システムそれぞれのノウハウ
といった情報から未然に危険性を判断できます。
例として、当サイトを運営するかっこ株式会社の不正注文検知システム「O-PLUX」の機能をご覧ください。
※参考:かっこ株式会社
不正検知システムによって詳細は異なりますが、
- 導入により不正者が敬遠するため根本的な不正注文の削減につながる
- 審査時間削減による工数・コスト削減
- 購入完了までのステップは変化しないため購入者への負担がない
などのメリットが見込めます。
先程、例にも出したかっこ株式会社の不正注文検知システム「O-PLUX」の他にも、月の注文数が少ないEC事業者でも利用しやすい業界最安値の「不正チェッカー」も開発・提供しています。
不正検知システムについて、より詳しく知りたい方は以下の記事をぜひご一読ください。
また、不正注文検知システム「O-PLUX」や「不正チェッカー」について興味があるEC事業者様は、以下をクリックしてお気軽にお問い合わせください。
1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら
\転売・チャージバック対策を業界最安値で/
不正チェッカーの資料DLはこちら
3.券面認証(セキュリティコード)の利用
3つ目の対策は券面認証(セキュリティコード)の利用です。
クレジットカードに記載されたセキュリティコード(3桁もしくは4桁の数字)を決済時に照合することで、安全性を高めます。
セキュリティコードも含めて流出してしまった場合は確実ではありませんが、決済に必要な情報が増えることで一定の効果が見込めます。
4.配送先情報の蓄積と利用
4つ目の対策は配送先情報の蓄積と利用です。
これまでに不正利用に使われた配送先情報を蓄積し照合することで、商品の発送時に判断できます。
こちらも人の手で行うのは煩雑な作業になるので、不正検知システムを利用するのがおすすめです。
不正アクセスからユーザーを守るセキュリティ対策3つ
ECサイトやそのユーザーを不正アクセスから守るために必要なセキュリティ対策は、以下4つです。
- ECサイトの脆弱性の対策をする
- セキュリティに関する社内研修の実施する
- 不正アクセスを防ぐ仕組みを検討する
特に3番目の「不正アクセスを防ぐ仕組みを検討する」は、実際にきたサイバー攻撃を防ぐためにも重要です。
それぞれ順番に解説します。
1. ECサイトの脆弱性の対策をする
ECサイトのセキュリティに問題があると、次のようなリスクが高まります。
- 入力フォームなどサイトを改ざんされ、個人情報を盗まれる
- 不正アクセスにより、データベースに登録された情報が流出する
- 悪質なソフトウェアに感染し、システムのトラブルが起きる
したがって通販サイトのサイバー攻撃を未然に防ぐには、まずECサイトの脆弱性を認識・修正することが重要です。
その場合、まずは個人情報漏洩のリスクを知り、対策することをおすすめします。
以下の資料では、個人情報漏洩を防ぐ対策について、わかりやすく解説しています。ぜひダウンロードのうえ、社内の共有資料としてもご活用ください。
セキュリティ対策はオペレーション・業務の見直しも
セキュリティ対策では、オペレーション・業務の見直しも大事です。
ECサイトを運営していく中で、「誰がセキュリティ対策を検討するのか」「実際に動かなければいけないのは誰なのか」と思う事業者様もいます。
ECサイトのセキュリティ強化を検討する時やバックオフィス業務を効率化させる時、どの業務でセキュリティ対策を強化すればよいかの判断をする時は以下の記事も参考にしてみてください。
体制構築・オペレーションについて
注文管理について
受注処理について
出荷管理について
発送処理について
まとめ
以上、ECサイトに必要なセキュリティ対策や方法、コストについてお伝えしました。
不正注文・不正アクセスによる情報漏洩対策をすることには、自社・ユーザーを守ることに加えて不正者からの狙いを避ける効果もあります。
対策の運用費はかかるとしても将来的な不正被害時の費用負担が不要となり、ECサイトの健全な運営にも繋がりますので、被害が発生する前に対策を実施することをおすすめします。
もし不正アクセスが起こってしまった場合、企業が負担する賠償額は毎月のセキュリティ対策の何倍もの金額になります。
以下の資料はその時の費用の計算を参考にできるものなので気になる方はダウンロードしてみてください。
ECサイトのセキュリティ対策は被害が発生する前にしておき、安全で信頼のあるECサイト運営を目指しましょう。
当サイトを運営するかっこ株式会社は、「不正注文検知システム」や「不正アクセス検知システム」を開発・提供しているので、不正注文・不正アクセス対策を行いたい事業者様はお気軽にお問い合わせください。
アクセスから注文まで一貫して対応-かっこの不正検知サービス-
