チャージバックで売り上げをゼロにしないセキュリティー対策

ネットショップで買い物を楽しむ消費者が増えるなかで、同じように件数が増えているのは第三者が何らかの手口でクレジットカード情報を入手し悪用する、不正利用被害です。この状況を踏まえて、クレジットカード決済を受け付けるネットショップ運営者として知っておきたいのはチャージバックの仕組みです。

万が一ネットショップ上の取引が不正利用によるものだった場合、消費者は返金を要求することができますが、返金額を支払うのはカード発行会社ではなく、ネットショップ運営者をはじめとする加盟店です。

この記事では、ネットショップ運営者が不正利用による被害を未然に防止できるよう、チャージバックの仕組み、クレジットカードの不正利用の現状と手口、ネットショップ運営者が今すぐにできる対策を解説していきます。

目次



チャージバックとは

チャージバックとは、クレジットカードの名義人(以下、カード名義人)がカード発行会社に対して請求額の取り消しや返金を要求したときに発生する返金を指します。以下のような場合に、カード名義人は取り消しや返金を求めることができます。

  • 商品の料金を支払ったのに、商品が届かない
  • 決済をした覚えがない、決済を承認した覚えがない
  • 注文した商品と著しく異なる商品が届いた
  • クレジットカードの不正利用により身に覚えのない請求がされている

カード名義人が請求額の取り消しや返金を要求する過程は支払い異議申し立て(チャージバック申請)とも呼ばれています。カード発行会社が異議申し立てを受け入れればチャージバックが成立し、カード発行会社は加盟店(ネットショップ運営者など)に対して支払いの取り消し、あるいは返金を要求することができます。

決済サービスを提供する決済代行会社などは基本的に加盟店に対してチャージバックへの補償・補填は用意していないため、チャージバック保険などに加入していない限りは加盟店自身の損失になる可能性が高いです。また、売上金額が加盟店の口座に入金後でも、入金前でも、チャージバックは発生する可能性があります。

チャージバックが発生するまでのおおまかな流れは、以下の図からご確認ください。青い矢印は不正利用者がネットショップ上で取引を行ってから起きること、黄色い矢印は不正利用に気づいたカード名義人が異議申し立てを行い、請求額を取り戻すまでのステップを表しています。

jp-blog-chargeback01

この記事では、主にネットショップにおけるクレジットカードの不正利用から発生するチャージバックの概要やその対処法について触れていきます。

チャージバックが実行されない場合もある

カード名義人の異議申し立て(チャージバック申請)は必ず実行されるとは限りません。つまり加盟店が返金しなくて済む可能性もあるということです。

このためには、カード発行会社から異議申し立ての通知を受けた際に、「受入」ではなく「反証」を選択し、カード名義人が承認した取引であることを証明する資料を提出します(※)。反証を選択できる期間は決済サービスごとに異なるので、詳しくは利用している決済サービスの規約内容を見直しましょう。カード発行会社は受け取った資料をもとに、最終判断を下します。

※場合によってはカード発行会社が反証不可とすることもあります。

加盟店の反証が受け入れられ、チャージバックが成立しなかった場合でも、すでに送付している商品に関しては返品されない場合が多いようです。

このようにチャージバックが実行されないケースもありますが、事態を未然に防ぐことが一番です。「セキュリティーサービスで被害を未然に防ごう」の章とあわせて、以下のような場面には警戒心を持ち、心当たりがある場合は決済サービスに問い合わせてみましょう。

  • 1注文あたりの合計金額がほかと比べて異様に高い
  • 配送業者を指定するなど、急ぎの要求をしてくる
  • 複数回に分けて、同じ配送先宛に相当の数の商品を注文をしている
  • メールアドレスが数字や文字を適当に組み合わせたような羅列
  • 連絡をとった際の文面が怪しい

少しでも怪しいと思った注文に対しては、クレジットカードの両面と本人確認書類のコピーの送付をお願いし、クレジットカードの名義人と、本人確認書類にある名前が一致するかを確認してみるといいかもしれません。そのほかにもネットショップ運営者が怪しむべき行動は、盗難カード利用の被害を防ぐ6つのヒント」で紹介しています。

クレジットカードの不正利用の現状と原因

不正利用の現状

一般社団法人日本クレジット協会では、クレジットカードの不正利用の実態を定期的に調査しています。2020年9月30日に発表された内容によると、2020年4月から6月までの3カ月間における被害額は約58.4億円でした。そのうちネットショップなどの非対面決済によく使われる「番号盗用」が91.1%と、圧倒的に多くの割合を占めています。前年同期比(2019年4月から6月)では不正利用被害額は14.7%減少していますが、近年のEC市場の拡大も影響してか、被害額は数年前と比べて増加傾向にあります。2015年の年間被害額が120億円に対して、2020年は1月から6月までの半年で被害額が約119.4億円に上り、その増加は明らかだといえます。

参考:クレジットカード不正利用被害の発生状況(一般社団法人日本クレジット協会)

最も狙われやすい商材として日本クレジット協会が注意喚起しているのは、「デジタルコンテンツ(オンラインゲームも含む)」「家電」「電子マネー」「チケット」の四つで、基本的に換金率のいい商材が狙われやすいようです。

2018年度の下期には、「チケット・金券」が最も高い不正被害額の比率を占めていました。以下では、同協会の発表をもとに不正被害額の比率が高い商材から順に記しています。

  • チケット・金券
  • 宿泊予約サービス
  • 家電
  • 電子マネー
  • デジタルコンテンツ
  • アパレル
  • 貴金属・時計
  • ブランド品
  • 通信
  • 化粧品
  • スポーツ用品
  • カー・バイク用品

参考:クレジットカード取引等におけるセキュリティ対策の 現状と 2020 年度以降の取組について(一般社団法人日本クレジット協会)

jp-blog-chargeback02

不正利用が起きる理由

不正利用が起きる理由は主に以下の三つです。

  • クレジットカード情報の漏えい
  • クレジットカードの紛失・盗難
  • クレジットマスターによる不正利用

クレジットカード情報の漏えいが起こる原因としては、「カードが無効になっています。アカウント情報の更新をお願いします」などのメッセージから偽物のサイトに誘導し、個人情報の入力を促すフィッシング詐欺や、カード情報などの個人情報を盗み取るウイルスやスパイウェアなど様々なものがあります。

最後の項目として挙げた「クレジットマスター」は、コンピューターのプログラムを使って、利用可能なクレジットカード番号を見つけ出す巧妙な手口です。偶然見つけた番号を悪用するため、対処が難しいとされています。

なお、クレジットカードの紛失、あるいは盗難により不正利用された場合には、カード発行会社の補償対象になることが多いようです。

セキュリティーサービスで被害を未然に防ごう

カード情報の漏えいを未然に防ぎ、増加する不正利用に伴うチャージバックで被害を受けないためには、対策を万全にしておくことが安心です。ここでは第三者による盗聴を防ぐ方法と、本人確認の手順を強化する方法、そして万が一のチャージバック保険について紹介します。

第三者による盗聴を防ぐ

情報を盗みやすい脆弱なネットショップほど狙われやすいものです。ネットショップを利用するお客様の情報を漏えいから守るためには、利用したい、もしくは利用しているネットショップ作成サービスが

  • 常時SSL化
  • PCI DSS準拠

に対応しているかは必ず確認しておきましょう。

常時SSL化
セキュリティー対策が万全でないウェブサイトだと、ブラウザとサーバー間でデータが入手できてしまう恐れがあり、盗聴・改ざんのリスクがあるといわれています。常時SSL化に対応すると、ネットショップ全体でブラウザとサーバーを行き来するデータが暗号化され、第三者は情報を入手しにくくなります。

常時SSL化に対応しているかはアドレスバーを見るとわかります。

サイトのURLが「https」からはじまっていれば、常時SSL化に対応済みです。URLの頭が「http」ではじまる場合、アドレスバーに「保護されていない通信」などと表示されている場合は、常時SSL化には対応していません。

「保護されていない通信」といった表示は、お客様に不安を与える要素になりかねません。購入画面で個人情報を入力することに躊躇したり、結果として購入を止める人も出てくるかもしれません。ネットショップの開設がまだの場合は、常時SSL化に対応しているかをあらかじめに確認しておきましょう。

PCI DSS準拠
対面でも非対面でも、クレジットカード決済を受け付ける場合には、クレジットカード情報の非保持化、あるいはクレジットカード決済の国際セキュリティー基準であるPCI DSSに準拠することが改正割賦販売法により事業者には求められています。

PCI DSSへの準拠は、ネットショップの盗聴や改ざん防止、不正アクセスの防止につながります。PCI DSSは具体的に「6つの目標と12個の要件」を定めています。そのなかには、

  • カード会員のデータを保護するためにファイアウォールをインストールする
  • ウイルス対策ソフトウェアを定期的に更新する
  • カード会員にアクセスを全て追跡・監視する

などが含まれています。PCI DSSに準拠するための安全対策を一つひとつ事業者自身で行うとなると、膨大なコストと業務の負担がかかります。PCI DSSに準拠している決済サービスを選ぶことで、決済サービスが加盟店に代わって上記の要件を満たしてくれます。

Squareで開設できるネットショップはPCI DSSに準拠しているうえ、無料プランから常時SSL化に対応することができます。

本人認証を強化する

不正な取引や注文の発生を防止するためには、

  • 3Dセキュア
  • セキュリティーコードの入力を必須にする

などの方法で、本人認証を強化することが効果的です。

3Dセキュア
3Dセキュアとは、大手クレジットカード会社が推奨している本人認証サービスの一つです。3Dセキュアに対応しているネットショップの場合、ネットショップの決済画面に必要事項を入力した後、3Dセキュア認証ページに遷移します。認証ページでは、カード名義人が事前にカード会社のウェブサイトで登録しておいたパスワードを入力します。カード情報の入力に加えて、本人認証の手順を加えることで不正利用のリスクを減らします。

セキュリティーコード
セキュリティーコードとは、クレジットカードの裏面(カードブランドによっては表面)に記載されている3桁から4桁の数字です。セキュリティーコードの入力は、主にスキミングに向けた対策です。スキミングではカードの磁気ストライプに書き込まれている情報を盗み取りますが、セキュリティーコードはカード本体にしか記録されていないため、対策として効果的だといわれています。

チャージバック保険を活用する

万が一のことを考えて、チャージバックの保険や保証への加入を視野に入れておくのもいいかもしれません。チャージバック保険とは、月額保険料を支払うことで、チャージバックが起きた際に損害額が補填されるという仕組みです。チャージバック保険は、ネットショップ作成サービスのオプションとして提供されていることが多く、月額数千円ほどから加入できます。

ECサイト不要でオンライン販売が可能に

Square オンラインチェックアウトなら簡単にお会計リンクを作成し、SNSやメールで共有できるので、ウェブサイトなしですぐにオンライン販売ができます。

ネットショップを運営するうえで欠かせないのが、セキュリティー対策です。対策を怠ってしまうと、売上額を返金しなければいけない、発送した商品が戻ってこない、などネットショップ運営者が不利益を被る可能性が高いことが、この記事ではわかりました。チャージバック保険などを利用することも一つの手ではありますが、まずは不正利用による商品の購入を防げるよう対処することが大切だといえます。


Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。

執筆は2020年12月23日時点の情報を参照しています。2021年10月11日に記事の一部情報を更新しました。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash