クレジットカード決済を扱う事業者が知るべきセキュリティ対策


実店舗・ECサイトに関わらず、クレジットカード決済は現金の決済以外で最も普及している決済方法ですが、クレジットカード番号の漏えいや不正利用は後を絶たず、EC事業者にとってはクレジットカードのセキュリティ対策が絶対に必要です。

セキュリティ対策を講じるには、クレジットカードでの本人確認の方法、カード情報を扱う決済端末や決済システムについての概要を把握しておく必要があります。

なぜなら、2018年の改正割賦販売法に伴い、クレジット取引セキュリティ対策協議会によってまとめられた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」に準拠することが実店舗・ECサイトともに必須となり、把握せず運用していると、いつの間にか割賦販売法に違反していたということが起こり得るためです。

本日はebisumart(インターファクトリー)でマーケティングを担当している筆者が、実店舗やECサイトでクレジットカード決済を導入する上でどんなセキュリティ対策に対応すべきかを解説します。

セキュリティ対策を講じるなら①対面カード決済と②非対面カード決済の本人確認の違いを知るべき!

まず、クレジットカード決済では「本人確認」を厳密に行う必要があります。では本人確認の方法を解説いたします。

①対面での本人確認方法

実店舗でクレジットカードを利用するときに「サイン(署名)」を書いたことがあると思います。この行為は、当たり前のように行っていますが、本人確認が目的です。お店の従業員はカード裏面に記載してあるサインと売上票のサインの表記や筆跡が一致しているかを確認するのです。

しかし、サインが実際に本人のものであるかを筆跡から厳密にチェックするのは、非常に難しいため本人確認の精度は低くなります。そのため、現在ではクレジットカードの「暗証番号」入力による本人確認方法が推奨されており、店舗のクレジットカードセキュリティ対策を講じるなら、ICチップ型で暗証番号入力に対応した決済端末を導入する必要があります。

②非対面での本人確認方法

非対面サービスであるECサイトでの本人確認方法には、「クレジットカード番号」と「有効期限」に加えて「インターネットショッピング専用のパスワード」を入力する「3Dセキュア」と呼ばれる方法があります。

画像引用先:SBペイメントサービス

また、この方式以外にも「クレジットカード番号」と「有効期限」以外に3桁から4桁の「セキュリティコード」を入力する方法、などで本人確認の効果を持ちますが、セキュリティコードについてはクレジットカード会社が本人確認とは認めていないため、後述する不正利用があった場合のチャージバックを防ぐことはできません。

3Dセキュアを用いて正しく運用を行った場合は、クレジットカード会社が非対面で認めている唯一の本人確認方法となるため、不正利用があった場合でも一部の例外を除き、チャージバックが発生しません。しかしながら、3Dセキュアを導入した場合、パスワード忘れ等で離脱してしまう可能性が上がるため、ECサイトでの導入が進んでいないのが現状です。

本人確認を怠ると発生するチャージバックとは

クレジットカード決済の際の「本人確認」を怠り、不正利用があった場合は、その責務はEC事業者にあり、カード会社(あるいは決済代行会社)から売上を戻す指示がきます。これを業界では「チャージバック」と呼び、EC事業者はカード会社や決済代行会社に対して不正利用分の返還義務が生じます。

クレジットカード決済の際は実店舗・ECサイトに関わらず、その場で与信(オーソリとも呼びます)を行い、クレジットカード決済での買い物の承認をカード会社から取り付けていますが、同時に本人確認を行う必要があります。この本人確認をしっかり行っていれば、ユーザーからの身に覚えがない買い物があるという主張に対してもチャージバックの義務は発生いたしません。

チャージバックを発生させないためにも、EC事業者はカード決済を行う際は必ず本人確認をする必要があるのです。

チャージバックリスク

チャージバックの発生するタイミングは、クレジットカード決済が行われた数か月後になることが多いです。なぜならチャージバックは、不正利用されたカードユーザーが気づくタイミングで発生します。不正利用されたユーザーはカード会社から届く利用明細で気づくケースがほとんどだからです。

そのためEC事業者は数か月後に売上を返還することになるため経理処理も煩雑になりますし、返還する金額が会社の利益から引かれるため、利益がマイナスとなる上、不正購入された商品は戻ってきません。

さらに、狙われたECサイトは一度不正が成功すると短期間で同じ手口の不正購入を繰り返される傾向があります。カード会社(あるいは決済代行会社)から通知されるチャージバックが、数十件になり、EC事業者が気づいたときには数十万円~数百万円の売上を戻さなければいけない最悪のケースもあるのです。

ECサイト専用の本人確認の仕組み「3Dセキュア」

本人確認ができる3Dセキュアの番号を、クレジットカードの暗証番号と混同する場合が多いのですが、それとは別で3Dセキュアは「インターネットショッピング専用のパスワード」のことを指します。

新規でクレジットカードを発行する場合は、3Dセキュアをセットで案内されることが多くなったため、登録ユーザーも徐々に増えています。しかし、昔から所持しているクレジットカードはユーザー自身でカード会社のコールセンターやカード会社のホームページで後から追加設定をする必要があります。

また、クレジットカード会社によってはあらかじめの登録ではなく利用する度にパスワードが発行される「ワンタイムパスワード方式」を採用しているところもあります。ECサイトを利用すると都度、携帯電話宛にSMS(ショートメッセージ)が送信され、そこに表示されているパスワードを入力する方式です。

◆実際ECでの利用イメージ

画像引用先:「3Dセキュア(本人認証サービス)とは」(ベリトランス株式会社ホームページ

なお、3Dセキュアに登録していないクレジットカードは全体の半数以上あるとされており、この登録していないカードユーザーが3Dセキュアを導入しているECサイトで決済を行った場合、

クレジットカードに3Dセキュアを登録させていないのは、発行しているクレジットカード会社の責任である

という考え方から、本人確認を行ったとみなして、ECサイト側が免責になるケースもあります。

ユーザーは3Dセキュアを導入していないECサイトを利用したときと同様に「クレジットカード番号」と「有効期限」だけの入力で決済が完了しますが、EC事業者側ではチャージバックリスクを回避することが可能です。

しかしながら、換金性が高い商材や、不正利用が頻発した場合は、クレジットカード会社からチャージバックの請求がされることもあるため、契約しているクレジットカード会社、もしくは決済代行会社に確認をした方がいいでしょう。

スキミング対策から生まれた「セキュリティコード」

クレジットカードには、裏面の署名欄に末尾3桁(表面記載の場合は4桁)の数字が書いてあります。下記画像をご覧ください。

画像引用先:ヤマトフィナンシャル株式会社ホームページ

この数字を「セキュリティコード」と呼びます。ECサイトで買い物をするときのクレジットカード決済時に、クレジットカード番号と有効期限の他に、このセキュリティコードを入力します。異なる数字を入力するとNGとなり買い物が成立しません。

セキュリティコードは、もともとスキミング被害を排除するためのものです。クレジットカードの裏面には磁気テープがあり、対面での買い物のときには、店員がこの磁気テープを読み取っています。磁気テープに含まれている情報は「クレジットカード番号」と「有効期限」です。

この磁気テープを悪意を持つ人がユーザーに気づかれないように読み取り、クレジットカード番号と有効期限を不正に取得する行為をスキミングと呼びます。そして読み取ったカード情報でECサイトなどで不正購入を働きます。

その対策として、セキュリティコードが誕生しました。署名欄に書いてある数字は磁気テープには含まれていません。つまり、スキミングによる被害を防げる手段となります。

「3Dセキュア」と「セキュリティコード」を比較

それでは、3Dセキュアとセキュリティコードそれぞれ事業者側のメリットとデメリットで比較してみましょう。下記の表を見た上で、解説をご覧ください。

3Dセキュアのメリット

ECサイトに3Dセキュアを導入していれば、3Dセキュアに登録していないカードで不正があったとしても、カード会社からの売上戻し(チャージバック)は回避することができるので、これはEC事業者にとって大きなメリットです。

しかし、3Dセキュアの普及率はカード会社によって異なります。普及率のデータは公開されていないので不明ですが、下記の記事によるとVISAでは16年間も3Dセキュアの普及活動をしてきましたが、普及率はたった10%程度と関係者が言及しております。

3Dセキュアの普及率に関しての参考記事:『3-Dセキュア2.0』とは何か? 非対面決済におけるセキュリティ対策の切り札になるか」(ビジネス+IT

また、筆者個人の体験でも3Dセキュア対応のECサイトをあまり見たことがなく、おそらく2020年の今でもほとんど普及していないと思って間違いないでしょう。

3Dセキュアのデメリット

3Dセキュアを導入すると、パスワードを別途入力する必要があり、ユーザーがパスワードを忘れると機会損失につながるデメリットがあります。3Dセキュアを導入することによる「離脱率」などの明確なデータは存在しませんが、3Dセキュア導入後に離脱が増えたという話をEC業界ではよく聞きます。

このデメリットはEC事業者の売上に直結するため、3Dセキュアが普及していない大きな原因だと思われます。

セキュリティコードのメリット

セキュリティコードの入力をECサイトに導入すれば、悪意のある人がスキミングで不正に得たカード情報を使って、不正に買い物をすることを阻止することができます。

セキュリティコードのデメリット

しかし、3Dセキュアのようにチャージバックを回避することはできません。実際に不正利用が発生すればEC事業者に対してチャージバックが発生するため、利益を減らすことにつながります。

ここまで本人確認の方法として「3Dセキュア」や「セキュリティコード」を解説しましたが、次にそれらの情報を扱うカード決済システム(対面・非対面)のセキュリティについて解説いたします。

カード決済を行う事業者が必ず知るべき「改正割賦販売法」とは?

2018年6月にクレジットカードを取り扱う加盟店に対し施行された「割賦販売法の一部を改正する法律」の略称です。この法律では実店舗など「対面」と、ECサイトなど「非対面」でのカード決済でクレジットカードの取り扱いに関する規定が書かれています。クレジットカードで決済を行うEC事業者は必ず事前に把握しておかなくてはならない内容です。

対面(実店舗)の場合は「ICチップ」を読み取れるカード決済端末に切り替えること

この法律では、加盟店においても裏面の磁気テープでカード情報を読み取り、署名で本人確認する方式から、偽造防止効果の高い、上記画像部分のICチップを読み取り暗証番号を入力する本人確認方式への切り替えを義務付けています。

2020年3月末までに国内発行されているクレジットカードは、全てICチップ付きのクレジットカードに変わる予定ですので、磁気ストライプを読み取ることや、署名を行うこともなくなる見込みです。

このためクレジットカード決済を行う加盟店は、ICチップを読み取ることができるカード決済端末を用意する必要があります。

非対面(ECサイト)の場合は、自社のサイトで「カード情報の非保持化」もしくは「PCI DSSに準拠する」ことが求められる

EC事業者は「カード情報の非保持化」をすることが義務化されました。もしもクレジットカード番号等を保持するのであればカード情報セキュリティの国際基準である「PCI DSSに準拠する」こと、と定められています。それぞれ解説いたします。

カード情報の非保持化

非保持化とはカード情報を、自社のECサイト上で

・保存
・処理
・通過

しないことです。そもそもECサイトでカード決済を行うためには、以下の3つの手法があります。

手法①リンク型(非通過型)
手法②トークン型(非通過型)
手法③モジュール型(通過型)<==NG

手法①のリンク型は、ECサイトでカード決済を行う画面を、決済代行会社の画面に遷移させて決済を行う方法です。自社ECサイトでカード情報を通過しないため安全なカード決済方法と言えます。ただし、この手法は画面遷移が発生するため、離脱が増えるという大きなデメリットがあります。

手法②のトークン型は、ユーザーが入力したカード情報をトークン(文字列)に置き換えてから決済代行会社と通信を行う方法です。ユーザーから見るとECサイト内で決済を完結させることができるので、リンク型に比べて離脱(画面遷移)が発生しないというメリットがあります。

これからトークン型を採用するECサイトであれば、画面改修のコストはそこまでかかりませんが、もし今までがモジュール型を採用していたのであれば、トークン型とは決済代行会社側とのシステムが異なるため全面的な改修となりコストが高くなります。

手法③のモジュール型は、カード情報がECサイトを通過するために割賦販売法に違反しておりますが、モジュール型は決済モジュールを自社ECサイトに組み込むことで、入力から支払い完了まで自社サイト内で完結できるので、リンク型に比べると離脱が少ないのが特長であり、多くのEC事業者が採用してきた方式です。

このため、モジュール型を採用している企業が、トークン型に移行すること(またはPCI DSSへの準拠)が求められます。トークン型を採用すれば「割賦販売法」の条件をクリアすることができますが、画面改ざんのリスクを改善することはできません。

PCI DSSに準拠する

カード情報を自社ECサイト上で「保持」「処理」「通過」させないといけない場合、PCI DSSの基準に準拠する必要があります。PCI DSSとはクレジットカード業界のセキュリティ基準VISA、MasterCard、JCB、American Express、Discoverの国際ブランド5社が共同で策定したものです。

もともとは、クレジットカード会社や決済代行会社向けの基準であり、現在この基準に全てのカード会社や決済代行会社が準拠しています。さらに取得して終了ではなく、毎年の更新手続きが必要です。

準拠対策費用は、「保持」だけなのか「通過」だけなのか、それとも全てなのか、範囲によって幅がありますが、一般的に年間1,000万円~5,000万円の予算が必要と言われています。

この基準に対し、自社のECサイトで準拠することは非常にコスト負担が大きいため、ほとんどのEC事業者ではPCI DSSに準拠するのではなく「非保持化」への対策を講じているケースが多いのです。

また、PCI DSSに準拠する方法としては、PCI DSSに準拠したクラウドのECプラットフォームを利用する方法があります。この方法を採用すれば、PCI DSSに準拠するためのコストが不要となります。弊社のebisumartもPCI DSSに準拠した、クラウドコマースプラットフォームです。

国内初、クレジットカード業界における国際セキュリティ「PCI DSS」準拠オプションの提供を発表した安心なECプラットフォーム。」(ebisumart

まとめ

昨今、カード情報の漏えいや不正利用が後を絶ちません。そこで政府は2018年改正割賦販売法を施行し、クレジットカード決済を取り扱うEC事業者に対しセキュリティを高める義務を課しました。

3Dセキュアやセキュリティコードについては、現状は任意ではありますが、不正利用を未然に排除することは、消費者保護の観点だけでなく、EC事業者の売上や利益を守るものでもあります。

今一度、自身のECサイトにおいてクレジットカード決済のセキュリティは担保できているのか、気づいたときにはカード会社(決済代行会社)からのチャージバック請求が数百万円になってしまった等の最悪のケースにならないよう、「今からでも対策を講じるべきではないか?」という目線で見直しをしてみてください。


EC運営に役立つ無料ダウンロード資料