求められるECへのセキュリティ対策

――ECで問題となっているクレジットカードの不正利用とはどのようなものか、教えてください。

　ECサイトにおけるクレジットカードの不正利用は、悪意のある第三者が不正ログインやフィッシング攻撃などにより窃取したカード情報や、別のECサイトで流出したカード情報などを他人になりすまして使われることで発生することが代表的です。

　ECサイトが不正利用を受けると発生する問題が「チャージバック」です。チャージバックは、クレジットカード会員が不正利用などの理由により利用代金の決済に同意しない場合に、クレジットカード会社が加盟店に対して支払いを拒絶する行為を指します。

　つまり、EC事業者様がカード会員本人ではなくなりすました第三者に対して販売すると、カード会員本人には身に覚えのない取引となるため支払いに同意せず、EC事業者様の売上が取り消され未回収となってしまうのです。物販ECの場合はすでに商品を不正利用者に発送していることも多く、売上だけでなく商品の損失にもつながってしまいます。

　そのため、EC事業者様においては、自社ECサイトからカード情報を窃取されることで他EC事業者様の損失を招かぬよう対策が求められるとともに、なりすましなど不正に利用されない対策も必要となります。

――ECサイトでは、不正利用者によって行われた注文であることを証明するのは、難しいのでしょうか。

　反証する機会は与えられますが、チャージバックは注文が完了してから2～3カ月後（長い場合は半年以上後）に通知が来るため、そもそも反証材料が残っていない、探し出せたとしても立証に非常に手間がかかるため、そのまま受け入れる事業者様が多いと思います。

――ECサイトの不正利用対策を怠ると、どの程度の損失につながってしまうのでしょうか。

　商材や単価により傾向は異なりますが、事業者様によっては年間約700万円のチャージバックが発生しているケースや単月で約500万円を超える被害が発生したケースも存在しています。

　日本クレジット協会の「（資料）日本のクレジット統計2020年度版」によれば、2020年のクレジットカード不正利用被害額は約250億円で、4年連続で200億円を超えています。

――実際にどのタイミングで、対策を行うべきなのでしょうか。

　カード会員・事業者様双方に被害が生じないよう、不正利用が起きる前に対策することが最も大切です。もしすでに被害を受けたことがある場合、事業規模によって異なりますが、目安として月に50万円以上不正利用が発生したことのある事業者様は早急な対策が必要です。

　なお、3ヵ月連続で50万円を超える不正利用金額があると、不正顕在化加盟店として「クレジットカード・セキュリティガイドライン【2.0 版】」に掲げられている非対面不正利用対策（本人認証、券面認証、属性・行動分析、配送先情報）の4方策のうち、2方策以上の導入が必要となります。

AI活用した不正防止が安価で導入可能に

――総合決済サービス「PGマルチペイメントサービス」では、オプションサービスとして不正利用を検知する「不正防止サービス（Sift）」（以下、Sift）の提供をしていますね。その背景について教えてください。

　元々GMOペイメントゲートウェイでは、別の不正防止サービスをオプションサービスとして提供してきましたが、非常に細かな設定ができる反面、大型の事業者様でないと導入が難しい価格帯でした。

　それとは別にカード情報に加えてパスワードの入力を求める「3Dセキュア」による本人認証や不正住所を検知する機能を無償で提供していますが、その中間にあたる対策を事業者様に提供したいと思っておりました。そこで、2020年4月よりマクニカ様が国内代理店として販売する「Siftデジタルトラスト＆セーフティスイート（SaaS）」（提供：アメリカ Sift社）を「Sift」として新たに追加しました。

――多くの事業者が利用できる、安価で導入しやすいツールが「Sift」というわけですね。では、「Sift」はどのような特徴を持っているのでしょうか。

　「Sift」の最大の特徴は、機械学習の活用により自動で不正ルールのチューニングを行う点です。最適化されるルールにのっとって自動的に取引の怪しい・怪しくないといった判断を1から100の数値でスコアリングするため、事業者様の不正利用対策の運用に手間がかかりません。

　一般的な不正防止サービスの場合、不正かどうかを判断するルールを事業者様が手動でチューニングする必要があります。しかし「Sift」は、機械学習が自動でチューニングを行うため、運用コストや負荷を抑えながら、不審な取引を見分けることが可能になります。

16,000近い情報から怪しい取引をリアルタイムで判断

――1～100の数値でスコアリングできるとのことですが、どのような要素をもとに判定を行っているのでしょうか。

　「Sift」では、住所や名前などの情報にとどまらず、どこから流入してきたか、登録メールアドレスなど16,000近い情報を取り込んでスコアリングを行うため、非常に精度が高くなっています。また、スコアリングの結果もリアルタイムで返すため、今行われている取引に問題がないかすぐ判断することができます。

――実際に怪しいとされる取引にはどのようなものがあるのでしょうか。

　たとえば、配送先住所が日本なのにIPアドレスが海外だったり、フリーアドレスで似たような羅列のものによる注文が相次いでいたりというケースが上げられます。Siftであれば、これらの不正な注文をいち早く発見することができます。発見が早ければ、売上が上がる前にキャンセルできますし、発送前であればエンドユーザーにメールや電話で確認することも可能です。

吉野家も導入でチャージバック率が1割以下に

――実際に導入している事例があれば、教えてください。

　食品、アパレル、化粧品、飲料系メーカー、CtoC取引のサービスを運営する事業者様、デジタルコンテンツの配信を行う事業者様など、様々な領域で導入されています。

　実名でご紹介できる事例だと、牛丼でおなじみの吉野家様に導入いただいています。吉野家様は新型コロナウイルスの影響でおうち時間が増えたことにより、冷凍牛丼の具をメインで販売している自社ECサイトの売上が急増していました。しかし、それに合わせてチャージバックの発生も増加し、3ヵ月で160万円以上の損害が発生していました。

　最初はその不正に対し1件1件人力で電話確認や発送停止の対応を行っていたものの、1件あたり30分～1時間かかってしまい、社員の方も疲弊している状況でした。

　その中で、利用者の購入体験を阻害せず、コストパフォーマンスが高いという理由から「Sift」を導入いただきました。吉野家様では、「Sift」が算出するスコアが40点以上の取引を「保留」にして翌朝まとめてレビューし、不正と判断したものは出荷を停止する仕組みを作り上げました。

　その結果、レビューから発送対応までにかける時間は1日に30分と大幅に対応時間が削減されました。また、不正判断の精度も上がりチャージバックの発生件数が1割以下まで減少したため、損額はほとんどなくなりました。

――160万円近い損失がほとんどゼロに近い状態まで改善でき、対応工数も削減できたのは非常に素晴らしい事例ですね。

　新型コロナウイルスの影響を受けてECを始められた事業者様や、吉野家様のようにECの売上が増加する事業者様は多いと思います。そういった事業者様が増えるにつれて不正利用に狙われるケースも増えてきます。そのような被害に遭わないよう、不正防止サービスをはじめとした対策が必要になることは意識すべきだと思います。

オンライン上で売上を上げる全ビジネスに対策が必要

――ECサイトに関する事例を紹介いただきましたが、ECサイト以外でも不正利用というのは起こりうるものなのでしょうか。

　はい、オンラインで売上を上げるビジネスでは、不正利用のリスクが存在します。たとえば旅行等の予約システムやデジタルコンテンツ配信、またECサイトを持たず店頭・メール・電話などで注文を受け付けて決済だけオンラインで行うサービスなどもです。ECサイトを運営する事業者様でなくとも、売上の未回収や商品の損失といったことが起きないよう、不正利用対策に取り組んでいただきたいです。

　そもそもクレジット取引などに関するルールについて定めている割賦販売法では、リスクや被害発生状況にかかわらず、クレジットカードを取り扱う加盟店には、本人認証（3Dセキュア・認証サポート）、券面認証（セキュリティコード）、属性・行動分析（不正検知システム）、配送先情報の4つの方策の導入が求められています。

　どの方策にもメリットはありますが、「Sift」のような不正検知サービスは決済前に防止でき、利用者の体験を阻害しないメリットを持っているので、オンラインビジネスを展開するすべての事業者様にぜひ検討いただきたい方策です。

売上を棄損しないための支援を強化

――その他に御社の「Sift」を導入するメリットはありますか。

　「PGマルチペイメントサービス」のオプションサービスとして提供しているので、決済サービスとセキュリティ対策を一貫して導入することが可能です。また、「Sift」は元々米国のツールになりますので、管理画面は英語表記ですし、困ったときの問い合わせも英語で行う必要がありますが、マクニカ様や弊社を通じて導入いただくことで、全て日本語でサポートしますので安心して導入・運用することができます。

　さらに、事業者様からの要望に合わせて「Sift」の機能開発を進めています。直近ではチャージバックの自動連携機能が好評です。従来事業者様は自身でチャージバックの情報を「Sift」にフィードバックする必要がありましたが、今回の機能実装でチャージバックを受けた情報を自動で「Sift」へ送付することができるようになりました。

　このような機能開発を今後も行っていきたいと思います。

――最後に今後の展望を教えてください。

　多くの事業者様に対し、不正利用に対する対策の啓もうを今後も行っていきたいと思っています。現状、対策サービスはそろってきていますが、事業者様すべてに不正への対策をしていただけていないのが現状です。被害に遭っていなくても、いつ不正利用者に狙われるかわからないので、売上を棄損しないためにも多くの事業者様に導入いただけるよう、取り組んでいきたいです。

　また、「Sift」利用には事業者様の開発が必要になるので、様々なECカートとの連携も強化していきつつ、技術的なフォローもしていきたいと思っています。