セキュリティ用語

  •  PR 

クレジットカードのオーソリゼーション(オーソリ)とは?仕組みや目的を解説

オーソリゼーション(authorization)とは、クレジットカードを利用する際に、そのカードで決済できるか確認する作業のことです。

日本語では「信用照会」「与信確保」「信用承認」などの呼び方をされることもあります。

この記事では、次の内容を説明します。

  • オーソリとは何か
  • オーソリの目的
  • オーソリが承認されない理由
  • オーソリ以外に必要な不正利用対策

利用者にはなかなか意識されにくいオーソリですが、クレジットカード決済には欠かせない仕組みなので、ぜひこの機会に理解を深めてみてください。

\かっこ株式会社調査まとめ!近年のクレカ不正とは?/ クレジットカード不正利用まとめ

オーソリ(オーソリゼーション)とは


オーソリ(オーソリゼーション)とは、「購入者のクレジットカードで決済できるかを確認する作業」のことです。

ECサイトでおこなわれるオーソリの流れは、下記のように進むのが一般的です。

  1. クレジットカードを利用した注文が入る
  2. ECサイト事業者がクレジットカード会社に利用者のカード情報を送信する
  3. クレジットカード会社は利用者の与信情報や販売情報などを照らし合わせる
  4. 問題がなければ、クレジットカードによる取引が成立

このようにオーソリがおこなわれ、クレジットカードの有効性を確認しています。

中には少額(1円など)を実際に引き落として、カードの有効性を確認する方法もあり「1円オーソリ」と呼ばれます。

なお、「1円オーソリ」について知りたい方は下記の記事をご確認ください。

さらに次の記事では、引き落とされたオーソリが返金されるタイミングや返金されない場合の対処法などを紹介していますので、ぜひチェックしてみてください。

オーソリを利用する2つの目的


オーソリを利用する目的は、下記の2つです。

  1. 悪用者による不正利用の防止
  2. 利用限度額の確認

さっそく、見てみましょう。

【目的1】悪用者による不正利用の防止

オーソリを実施すると、偽造されたり盗難されたりした不正なカードが使用されていないかをチェックできます。

たとえば、紛失したクレジットカードや利用停止されているカードを使って支払いを試みる悪用者がいた場合、その取引は承認されません。

所有者がカード会社に届出を出していれば、不正利用を防ぐことが可能です。

クレジットカードの不正利用は年々増加傾向にあり、オーソリは上記のような不正利用をチェックする重要な役割を担っています。


ただし、偽造・盗難されたクレジットカードかどうかはオーソリで判断できるものの、「カードを利用した人が契約者本人かどうか」までは見抜くことができません。

その場合、「3Dセキュア」や「eKYC」「セキュリティコード」などの仕組みを活用して、本人確認を実施する方法が有効です。

内容効果
3Dセキュアクレジットカード情報を入力するときに実施される

本人認証パスワードを入力して、本人確認をおこなう

クレジットカード所有者しかわからない情報を入力するので、不正利用を防止できる
eKYC自身の写真と運転免許証などを同時に撮影し、人物の同一性を確認するクレジットカード所有者になりすました不正利用を防げる
セキュリティコードクレジットカードに記載された、3〜4つの数字を入力して、カードが手元にあるか確認するクレジットカード番号や有効期限などの情報が流出した場合でも不正利用を防止できる

本人確認を実施する方法に関しては、後ほど「オーソリだけでできない本人確認を実施する方法を3つ紹介」で詳しく解説します。

【目的2】利用限度額の確認

オーソリの目的には、クレジットカードの利用限度額を超えていないかを確認する役割もあります。

利用限度額を超えたクレジットカードは、原則として次の引き落とし日まで利用することができません。

しかし、限度額まで利用されているカードなのかはクレジットカードの券面を見ただけでは分からないため、オーソリを実行して確認します。

利用限度額を超えたクレジットカードでは、支払いが正常におこなわれないおそれがあるため、トラブルを避けるためにも決済時のオーソリが重要なのです。

\かっこ株式会社独自!EC関連549社へのアンケート結果大公開/

オーソリの仕組みを2つの方式に分けて解説


本章では、オーソリの2つの仕組みを詳しく説明します。

  1. 自動オーソリ
  2. 手動オーソリ

方式によってオーソリが実行されるタイミングは異なるので、どのような違いがあるのか詳しく見てみましょう。

【方式1】自動オーソリ

自動オーソリは、決済がおこなわれるタイミングやカード情報が登録された時点など、事業者様が事前に設定したタイミングで実施されます。

たとえば、商品在庫が確保されているECサイトなどでは、自動オーソリを採用していることがあります。

自社の設定したタイミングで自動でオーソリがおこなわれるため、手間がかからないのがメリットです。

しかし、実店舗と在庫を共有している場合には、下記のようなデメリットが発生します。

  • 実店舗で商品が売れたと同時に、その商品がECサイトでも注文されることがある
  • ECサイトが自動でオーソリをおこなうシステムの場合、実際にはもう在庫がないにもかかわらず、決済が進行してしまうことがある

あらかじめ設定したタイミングでオーソリが実施されるため、事業者側の手間を減らすことはできますが、実店舗で在庫を共有している場合は注意が必要です。

【方式2】手動オーソリ

手動オーソリは、担当者が任意のタイミングでオーソリを実施できる仕組みです。

たとえばホテル予約の場合、実際に宿泊がおこなわれるのは数ヶ月後になることもあります。

この場合、都度オーソリを実施していると、キャンセルが発生した際に処理が煩雑になってしまいます。

しかし、手動オーソリであれば、キャンセル手数料が発生するタイミングでオーソリを実施することが可能です。

そのため、自動オーソリで対応できないタイミングに発生するオーソリの場合は、手動オーソリの方がスムーズに処理できます。

オーソリが承認されない3つの理由


オーソリが承認されない理由としては、次の3つが挙げられます。

  1. 暗証番号が間違っている
  2. 利用限度額に達している
  3. 問題のあるカードが利用されている

詳しく見てみましょう。

【理由1】暗証番号が間違っている

オーソリが承認されない理由の1つ目は、暗証番号の入力ミスです。

事前に設定した暗証番号と入力した番号が異なると、オーソリは承認されません。

しかし、さまざまなカードを持っていると、番号を間違えてしまったり忘れてしまったりすることもあります。

その場合、オーソリは承認されず、クレジットカードで決済できなくなってしまうので、注意しなければなりません。

【理由2】利用限度額に達している

先ほども述べましたが、クレジットカードが利用限度額に達しているとオーソリは承認されません。

クレジットカードを作る際には「50万円」「100万円」など、カードの利用限度額が設定されています。

クレジットカードによって設定されている限度額は異なりますが、上限に達してしまうと、オーソリは承認されません。

クレジットカードの券面からは限度額に達しているかわからないため、クレジットカードを利用する方は会員サイトでチェックするなどして限度額をこまめにチェックしましょう。

【理由3】問題のあるカードが利用されている

オーソリが承認されない理由として、問題のあるカードが利用されている場合があります。問題とは、下記のような場合のことです。

  • 紛失や盗難によって利用を停止しているカード
  • 有効期限が切れているカード

紛失や盗難されたクレジットカードをオーソリで防げるのは、利用を停止している時だけです。

もし、所有者が紛失や盗難に気づいていない場合、不正利用されることがあります。

しかし、カード所有者が紛失に気づき、不正利用されていると判明した場合は、チャージバック(※)申請ができます。
※チャージバックとは、ユーザーが決済に同意していない場合、クレジットカード会社が売り上げを取り消して所有者に返金すること

したがって、身に覚えのない不正利用に気づいた場合は、チャージバック申請を検討してみてください。

なお、事業者の視点に立つと、ユーザーのチャージバック申請が承認されると、事業者が返金を負担しなければなりません。


チャージバックが起こると、事業者は商品も売り上げも失ってしまいます。

このような事態を避けるためにも、先ほど述べた「3Dセキュア」「eKYC」「セキュリティコード」などの対策や、専門的な不正対策が必要です。

なお、専門的な不正対策については「不正利用にはオーソリだけでなく専門的な対策も必要」で解説しています。

また、チャージバックについて詳しく知りたい方は、下記の記事をご確認ください。

オーソリだけでは全ての不正使用は防げない


クレジットカード加盟店は、オーソリによって正常に決済できるカードかをチェックします。

ただし、オーソリはあくまでクレジットカードが決済できるかどうかを判断するためのもので、カード使用者が名義人本人であるかを確認するものではありません。

そのため、カード使用者が名義人本人であるかは別の方法で確認する必要があります。本人確認の方法については、次章でお伝えします。

なお、かっこ株式会社ではEC関連549社へアンケートを実施し、各社の不正に関する認知度を独自に調査しました。

アンケート結果は無料でダウンロードできますので、ぜひご覧ください。

\かっこ株式会社独自!EC関連549社へのアンケート結果大公開/

オーソリだけでできない本人確認を実施する方法を3つ紹介


オーソリはカードの有効性や利用限度額を確認できるものの、本人確認までは対応していません。

そこで本章では、本人確認が実施できる方法を3つ紹介します。

  1. 3Dセキュア
  2. セキュリティコード
  3. eKYC

【方法1】3Dセキュア

3Dセキュアとは、クレジットカード情報を入力する際に実施する本人認証サービスのことです。

クレジットカード契約者にしか分からない認証情報を入力するので、第三者が解答することはできず、不正利用の防止が期待できます。

3Dセキュアについては下記の記事でも詳しく解説しているため、気になる方はぜひチェックしてみてください。


なお、3Dセキュアは2022年10月に「3Dセキュア2.0」へ完全移行しました。

3Dセキュア2.0の特徴である「リスクベース認証」や1.0との違いについては、次の記事で解説していますので、ご一読ください。

【方法2】セキュリティコード

セキュリティコードとは、クレジットカードごとに割り振られている3〜4桁の番号のことです。

取引時にセキュリティコードの入力を求めることで、クレジットカード番号と有効期限が流出したとしても、不正利用されるリスクを減らせます。

セキュリティコードについては下記の記事でも解説しているため、チェックしてみてください。

【方法3】eKYC

eKYCとは、オンラインで本人確認できる仕組みのことです。

オンラインサービスを申し込む場合などにすぐ本人確認まで実施できるため、書類の郵送にかかる時間ややりとりを短縮できます。

具体的には、下記のような流れで本人確認をします。

  1. 申し込み時に、PCやスマホなどで本人確認書類をアップロードする
  2. eKYCの仕組みで本人確認をおこない、最短数分程度で確認が完了

eKYCの概要やメリット・デメリットについては次の記事で紹介しているため、ぜひご覧ください。

不正利用にはオーソリだけでなく専門的な対策も必要


オーソリを悪用した、巧妙な犯罪もおこなわれています。

ここで「1円オーソリ」の仕組みの隙をついた事例を紹介しますので、悪用者の巧妙な手口をご確認ください。

【概要】

悪用者は、店舗内での物品販売で1円オーソリをおこなっているガソリンスタンドを狙い、スリランカの銀行が発行したデビッドカードでタイヤを購入しようとした

店舗側は、1円オーソリでカードの有効性を確認しタイヤを販売

悪用者は、その後もタイヤを購入し続け、決済金額もさらに増加

半年後、スリランカの銀行から「給油以外で1円オーソリを利用するのはルール違反」と指摘があり、カード会社へ返金要求があった

店舗が1円オーソリを給油以外でおこなっていたのは事実で、カード会社は返金要求に応じざるを得ず、多大な損失がでた

悪用者は、購入したタイヤを転売していた

※参考:「産経ニュース」

このように、カードの有効性を判断できたとしても、それを逆手に取った犯罪がおこなわれるおそれがあります。

事例のような、システムの隙をついた不正は今後も増えるおそれがあり、より専門的な対策が必要です。

そこでおすすめなのが、不正注文検知システムの導入です。

たとえば、かっこ株式会社が提供する「O-PLUX」は不正手法や決済手段にマッチした審査モデルを構築し、不正をいち早く検知します。

注文データから不正注文なのか正規の注文なのかを判定し、審査結果を三段階に分けて(安全度合い)伝えるため、事業者様もより不正を判断しやすくなります。

最新の手口にも対応でき、日々巧妙になる不正にも対処可能な「 O-PLUX」の詳細は、下記のバナーからご確認ください。

O-PLUX 公式サイト

1万円で2週間のトライアル利用も受付中!
O-PLUXのトライアルはこちら

まとめ


オーソリは、悪用者による不正利用を防ぐと同時に、利用限度額を超えるカード取引を防止する役割も果たします。

しかし、本人確認まではおこなえないため、不正利用を完全に防ぐことはできません。

オーソリでは確認できない「本人確認」は、下記の方法でチェックできます。

  1. 3Dセキュア
  2. セキュリティコード
  3. eKYC

しかし、上記の方法でも防げない事案が発生しているため、事業者様には専門的な対策の導入をおすすめします。

なお当サイトでは、不正対策の導入方法や、不正の被害を改善したケースの資料を無料で配布していますので、ぜひチェックしてみてください。

ピックアップ記事

  1. 不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
  2. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?
  3. 不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて…
  4. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  5. 不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説

関連記事

  1. セキュリティ用語

    増加するオンラインスキミングとは?その手口と被害をまとめました

    ECサイトからクレジットカードの決済情報を盗み取る、オンラインスキミン…

  2. 不正検知・ノウハウ

    クレジットカードの暗証番号とは?忘れた場合の対処法や設定方法を解説

    クレジットカードの暗証番号は、カード所有者であることを証明するためのも…

  3. 不正アクセス

    リスト型攻撃とは?攻撃を受けた場合の被害の例や対策を解説!

    「リスト型攻撃はどんな手口で行われるの?」「リスト型攻撃にはどんな…

  4. セキュリティ用語

    クレジットカードのCVC・CVVとは?記載場所や役割、流出の原因などを解説

    インターネットショッピングでクレジットカードを使うとき、「CVC・CV…

  5. 不正アクセス

    eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

    「eKYCとはどういう意味で、どのような特徴があるのだろう?」「e…

  6. 不正検知・ノウハウ

    不正転売とは?不正転売に関連するトラブルや、チケット不正転売禁止法について解説

    メディアでも採り上げられ、問題視されている「不正転売」。この記…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. Shopify チャージバック

    チャージバック

    Shopifyでチャージバックを処理する3つの方法!未然に防ぐ対策なども解説
  2. 偽サイトは簡単に作れる アイキャッチ

    不正アクセス

    【注意】偽サイトは簡単に作れる!本物(公式)との見分け方や偽サイトを作らせない対…
  3. なぜECサイトで不正注文が発生するの?

    不正検知・ノウハウ

    なぜECサイトで不正注文が起こるの?手口とEC事業者が受けるリスク、対策について…
  4. 不正検知・ノウハウ

    【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  5. ニュース・業界動向

    スパム攻撃対策「リキャプチャ(reCAPTCHA)」とは。メリット・デメリットを…
PAGE TOP