求められるECへのセキュリティ対策

――ECで問題となっているクレジットカードの不正利用とはどのようなものか、教えてください。

　ECサイトにおけるクレジットカードの不正利用は、悪意のある第三者が不正ログインやフィッシング攻撃などにより窃取したカード情報や、別のECサイトで流出したカード情報などを他人になりすまして使われることで発生することが代表的です。

　ECサイトが不正利用を受けると発生する問題が「チャージバック」です。チャージバックは、クレジットカード会員が不正利用などの理由により利用代金の決済に同意しない場合に、クレジットカード会社が加盟店に対して支払いを拒絶する行為を指します。

　つまり、EC事業者様がカード会員本人ではなくなりすました第三者に対して販売すると、カード会員本人には身に覚えのない取引となるため支払いに同意せず、EC事業者様の売上が取り消され未回収となってしまうのです。物販ECの場合はすでに商品を不正利用者に発送していることも多く、売上だけでなく商品の損失にもつながってしまいます。

　そのため、EC事業者様においては、自社ECサイトからカード情報を窃取されることで他EC事業者様の損失を招かぬよう対策が求められるとともに、なりすましなど不正に利用されない対策も必要となります。

――ECサイトでは、不正利用者によって行われた注文であることを証明するのは、難しいのでしょうか。

　反証する機会は与えられますが、チャージバックは注文が完了してから2～3カ月後（長い場合は半年以上後）に通知が来るため、そもそも反証材料が残っていない、探し出せたとしても立証に非常に手間がかかるため、そのまま受け入れる事業者様が多いと思います。

――ECサイトの不正利用対策を怠ると、どの程度の損失につながってしまうのでしょうか。

　商材や単価により傾向は異なりますが、事業者様によっては年間約700万円のチャージバックが発生しているケースや単月で約500万円を超える被害が発生したケースも存在しています。

　日本クレジット協会の「（資料）日本のクレジット統計2020年度版」によれば、2020年のクレジットカード不正利用被害額は約250億円で、4年連続で200億円を超えています。

――実際にどのタイミングで、対策を行うべきなのでしょうか。

　カード会員・事業者様双方に被害が生じないよう、不正利用が起きる前に対策することが最も大切です。もしすでに被害を受けたことがある場合、事業規模によって異なりますが、目安として月に50万円以上不正利用が発生したことのある事業者様は早急な対策が必要です。

　なお、3ヵ月連続で50万円を超える不正利用金額があると、不正顕在化加盟店として「クレジットカード・セキュリティガイドライン【2.0 版】」に掲げられている非対面不正利用対策（本人認証、券面認証、属性・行動分析、配送先情報）の4方策のうち、2方策以上の導入が必要となります。

AI活用した不正防止が安価で導入可能に

――総合決済サービス「PGマルチペイメントサービス」では、オプションサービスとして不正利用を検知する「不正防止サービス（Sift）」（以下、Sift）の提供をしていますね。その背景について教えてください。

　元々GMOペイメントゲートウェイでは、別の不正防止サービスをオプションサービスとして提供してきましたが、非常に細かな設定ができる反面、大型の事業者様でないと導入が難しい価格帯でした。

　それとは別にカード情報に加えてパスワードの入力を求める「3Dセキュア」による本人認証や不正住所を検知する機能を無償で提供していますが、その中間にあたる対策を事業者様に提供したいと思っておりました。そこで、2020年4月よりマクニカ様が国内代理店として販売する「Siftデジタルトラスト＆セーフティスイート（SaaS）」（提供：アメリカ Sift社）を「Sift」として新たに追加しました。

――多くの事業者が利用できる、安価で導入しやすいツールが「Sift」というわけですね。では、「Sift」はどのような特徴を持っているのでしょうか。

　「Sift」の最大の特徴は、機械学習の活用により自動で不正ルールのチューニングを行う点です。最適化されるルールにのっとって自動的に取引の怪しい・怪しくないといった判断を1から100の数値でスコアリングするため、事業者様の不正利用対策の運用に手間がかかりません。

　一般的な不正防止サービスの場合、不正かどうかを判断するルールを事業者様が手動でチューニングする必要があります。しかし「Sift」は、機械学習が自動でチューニングを行うため、運用コストや負荷を抑えながら、不審な取引を見分けることが可能になります。