チャージバックで売り上げがゼロになる?EC運営者が押さえておくべきセキュリティー対策

実店舗を持たなくても、商品の販売をはじめられるネットショップ。感染症の影響もあり、実店舗と並行してネットショップを運営する事業者が昨今、増えています。

ネットショップ開設サービスの内容を検討する際、真っ先に目がいくのは利用コストや機能の豊富さなどかもしれません。ところがその他にも確認が欠かせないのが、不正利用に対するセキュリティー対策です。

ネットショップ上の取引が不正利用によるものだった場合、一度受け取った代金を返金しないといけない、(商品が発送済みの場合)発送した商品が戻ってこない……などのダメージを被る可能性があります。

この記事では、ネットショップ運営者が不正利用による被害を未然に防止できるよう、チャージバックの仕組み、クレジットカードの不正利用の現状と手口、ネットショップ運営者が今すぐにできる対策を紹介します。

目次



チャージバックとは

チャージバックとは、クレジットカードの名義人(以下、カード名義人)がカード発行会社に対して請求額の取り消しや返金を要求したときに発生する返金を指します。この過程は支払い異議申し立て(チャージバック申請)とも呼ばれています。チャージバックが発生するまでの流れは、以下の図からご確認ください。

jp-blog-chargeback01

具体的にカード名義人は、以下のような場面でチャージバック(異議申し立て)を行います。

  • 商品の料金を支払ったのに、商品が届かない
  • 決済をした覚えがない、決済を承認した覚えがない
  • 注文した商品と著しく異なる商品が届いた
  • クレジットカードの不正利用により身に覚えのない請求がされている

この記事では、主にネットショップにおけるクレジットカードの不正利用から発生するチャージバックの概要やその対処法について触れていきます。

チャージバックの流れ

チャージバックの大まかな流れは、以下の通りです。

(1) カード名義人が、カード発行会社に請求額の取り消しや返金を要求する(異議申し立てをする)
(2) ネットショップ運営者にその旨が通知される
(3)【異議申し立てを受け入れた場合】ネットショップ運営者からカード名義人に代金の返金(チャージバック)が行われる
【異議申し立てを承諾しない場合】ネットショップ運営者は、取引の有効性を証明する資料を提出する

※ Squareでネットショップを作成した場合、支払い異議申し立て(チャージバック)の解決に向けたお手伝いをSquareが無料で行います。解決までの詳しい流れはこちらから確認できます。

異議申し立てに関する最終判断はカード会社によって行われます。チャージバックが成立すると、冒頭にもあった通り、商品を販売した事業者には以下の損失が発生します。

  • 利用代金をカード名義人に返金しなければいけない
  • (商品が発送済みの場合)発送した商品が戻ってこない

このような被害に遭わないためにも、ネットショップの運営ではチャージバックを未然に防ぐ対策を講じることが大切です。すぐにでも取り組みたい対策方法は「セキュリティーサービスで被害を未然に防ごう」の章で説明しています。

また、ネットショップ運営者が不正利用を怪しむべき場面などは「
盗難カード利用の被害を防ぐ6つのヒント」で紹介しています。ネットショップ運営者が不正利用を見破ることはなかなか難しいですが、ここに紹介されている場面に遭遇した場合には、ネットショップの運営に利用している決済代行会社などに相談してみるのも一つの手かもしれません。

クレジットカードの不正利用の状況と手口

不正利用の現状

一般社団法人日本クレジット協会では、クレジットカードの不正利用の実態を定期的に調査しています。2020年9月30日に発表された内容によると、2020年4月から6月までの3カ月間における被害額は約58.4億円でした。そのうちネットショップなどの非対面決済によく使われる「番号盗用」が91.1%と、圧倒的に多くの割合を占めています。前年同期比(2019年4月から6月)では不正利用被害額は14.7%減少していますが、近年のEC市場の拡大も影響してか、被害額は数年前と比べて増加傾向にあります。2015年の年間被害額が120億円に対して、2020年は1月から6月までの半年で被害額が約119.4億円に上り、その増加は明らかだといえます。

参考:クレジットカード不正利用被害の発生状況(一般社団法人日本クレジット協会)

最も狙われやすい商材として日本クレジット協会が注意喚起しているのは、「デジタルコンテンツ(オンラインゲームも含む)」「家電」「電子マネー」「チケット」の四つで、基本的に換金率のいい商材が狙われやすいようです。

2018年度の下期には、「チケット・金券」が最も高い不正被害額の比率を占めていました。以下では、同協会の発表をもとに不正被害額の比率が高い商材から順に記しています。

  • チケット・金券
  • 宿泊予約サービス
  • 家電
  • 電子マネー
  • デジタルコンテンツ
  • アパレル
  • 貴金属・時計
  • ブランド品
  • 通信
  • 化粧品
  • スポーツ用品
  • カー・バイク用品

参考:クレジットカード取引等におけるセキュリティ対策の 現状と 2020 年度以降の取組について(一般社団法人日本クレジット協会)

jp-blog-chargeback02

不正利用の手口

不正利用が起きる理由は主に以下の三つです。

  • クレジットカード情報の漏えい
  • クレジットカードの紛失・盗難
  • クレジットマスターによる不正利用

クレジットカード情報の漏えいが起こる原因としては、「カードが無効になっています。アカウント情報の更新をお願いします」などのメッセージから偽物のサイトに誘導し、個人情報の入力を促すフィッシング詐欺や、カード情報などの個人情報を盗み取るウイルスやスパイウェアなど様々なものがあります。

3番目にある「クレジットマスター」は、コンピューターのプログラムを使って、利用可能なクレジットカード番号を見つけ出す巧妙な手口です。偶然見つけた番号を悪用するため、対処が難しいとされています。

なお、クレジットカードの紛失、あるいは盗難により不正利用された場合には、カード発行会社の補償対象になることが多いようです。

セキュリティーサービスで被害を未然に防ごう

カード情報の漏えいを未然に防ぎ、増加する不正利用に伴うチャージバックで被害を受けないためには、対策を万全にしておくことが安心です。ここでは(1)第三者による盗聴を防ぐ方法と、(2)本人確認の手順を強化する方法をそれぞれ紹介します。

(1) 第三者による盗聴を防ぐ

情報を盗みやすい脆弱なネットショップほど狙われやすいものです。ネットショップを利用するお客様の情報を漏えいから守るためには、利用したい、もしくは利用しているネットショップ作成サービスが

  • 常時SSL化
  • PCI DSS準拠

に対応しているかは必ず確認しておきましょう。

常時SSL化
セキュリティー対策が万全でないウェブサイトだと、ブラウザとサーバー間でデータが入手できてしまう恐れがあり、盗聴・改ざんのリスクがあるといわれています。常時SSL化に対応すると、ネットショップ全体でブラウザとサーバーを行き来するデータが暗号化され、第三者は情報を入手しにくくなります。

常時SSL化に対応しているかはアドレスバーを見るとわかります。

サイトのURLが「https」からはじまっていれば、常時SSL化に対応済みです。URLの頭が「http」ではじまる場合、アドレスバーに「保護されていない通信」などと表示されている場合は、常時SSL化には対応していません。

「保護されていない通信」といった表示は、お客様に不安を与える要素になりかねません。購入画面で個人情報を入力することに躊躇したり、結果として購入を止める人も出てくるかもしれません。ネットショップの開設がまだの場合は、常時SSL化に対応しているかをあらかじめに確認しておきましょう。

PCI DSS準拠
対面でも非対面でも、クレジットカード決済を受け付ける場合には、クレジットカード情報の非保持化、あるいはクレジットカード決済の国際セキュリティー基準であるPCI DSSに準拠することが改正割賦販売法により事業者には求められています。

PCI DSSへの準拠は、ネットショップの盗聴や改ざん防止、不正アクセスの防止につながります。PCI DSSは具体的に「6つの目標と12個の要件」を定めています。そのなかには、

  • カード会員のデータを保護するためにファイアウォールをインストールする
  • ウイルス対策ソフトウェアを定期的に更新する
  • カード会員にアクセスを全て追跡・監視する

などが含まれています。PCI DSSに準拠するための安全対策を一つひとつ事業者自身で行うとなると、膨大なコストと業務の負担がかかります。PCI DSSに準拠している決済サービスを選ぶことで、決済サービスが加盟店に代わって上記の要件を満たしてくれます。

Squareで開設できるネットショップはPCI DSSに準拠しており、加えて追加コストなしで常時SSL化に対応ができます。

(2) 本人認証を強化する

不正な取引や注文の発生を防止するためには、

  • 3Dセキュア
  • セキュリティーコードの入力を必須にする

などの方法で、本人認証を強化することが効果的です。

3Dセキュア
3Dセキュアとは、大手クレジットカード会社が推奨している本人認証サービスの一つです。3Dセキュアに対応しているネットショップの場合、ネットショップの決済画面に必要事項を入力した後、3Dセキュア認証ページに遷移します。認証ページでは、カード名義人が事前にカード会社のウェブサイトで登録しておいたパスワードを入力します。カード情報の入力に加えて、本人認証の手順を加えることで不正利用のリスクを減らします。

セキュリティーコード
セキュリティーコードとは、クレジットカードの裏面(カードブランドによっては表面)に記載されている3桁から4桁の数字です。セキュリティーコードの入力は、主にスキミングに向けた対策です。スキミングではカードの磁気ストライプに書き込まれている情報を盗み取りますが、セキュリティーコードはカード本体にしか記録されていないため、対策として効果的だといわれています。

チャージバック保険を活用する

万が一のことを考えて、チャージバックの保険や保証への加入を視野に入れておくのもいいかもしれません。チャージバック保険とは、月額保険料を支払うことで、チャージバックが起きた際に損害額が補填されるという仕組みです。チャージバック保険は、ネットショップ作成サービスのオプションとして提供されていることが多く、月額数千円ほどから加入できます。

ネットショップを運営するうえで欠かせないのが、セキュリティー対策です。対策を怠ってしまうと、売上額を返金しなければいけない、発送した商品が戻ってこない、などネットショップ運営者が不利益を被る可能性が高いことが、この記事ではわかりました。チャージバック保険などを利用することも一つの手ではありますが、まずは不正利用による商品の購入を防げるよう対処することが大切だといえます。

Square Readerで今日からキャッシュレス決済導入を

カード決済、タッチ決済、電子マネー決済がこれ1台で


Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。

執筆は2020年12月23日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash