不正購入対策はいろいろ合わせ技で
[2017年06月14日(Wed)]
割賦販売法改正でEC事業者に課されたもう一つの義務、「クレジットカード番号等の不正な利用を防止するために必要な措置」についてです。以前ぐちゃぐちゃした記事を書きましたが、今回は条文ベースではなく、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」の内容をご紹介します。
カード会社(アクワイアラー)及びPSPは、不正使用被害が顕在化している加盟店のうち、「カード番号+有効期限」のみで決済を行い、何らの不正使用対策も講じていない加盟店に対して、本実行計画で整理した具体的な方策を中心とした不正使用対策の導入を促進することとする。
また、すでに何らかの不正使用対策を講じているが、不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店に対しては、従来の対策を見直し、必要な追加策を講じる等の対応を求めていくこととする。
カード不正使用(ショップにとっては不正購入)については、カード会社は原則リスクを負ってくれないので、ショップ側で既にいろいろ自衛手段を講じていることと思います。それでもまだ不十分ということで割賦販売法に規定され、「不正使用被害が顕在化している加盟店」は、漏えい対策と同様に、アクワイアラーから対策を求められることとなりました。まずは、ご自身のショップが「不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店」に当たってしまうかどうか、ご契約のPSP(決済代行会社)やカートさんに確認していただくのが先決かも知れません。不正使用被害が多い「特定5業種」として、「実行計画」では、デジタルコンテンツ(オンラインゲーム含む)、家電、ECモール、電子マネー、チケットが指定されています。(ECモールって「業種」なんですかね??)
さて、その上で、必要に応じ「対策を講じる」訳ですが、
それぞれの方策に課題等があるため、加盟店の業種及び商材等に応じた有効な方策を講じることが重要であり、それぞれのリスクの状況に応じて、以下の方策を基本としつつ、追加的な対策をとることを含め、多面的・重層的な対策を講じていくことで不正使用防止効果を高めていくことが求められる。
のだそうです。具体策がいくつか並べられているものの、どれも万能ではなく、何をやるべきかについては一律に決められない。それぞれ自社の状況に合った方策を組み合わせて実施してね、という、なんとも歯切れが悪いというか曖昧なルールになっています。以下、「実行計画」に挙げられた各方策に関する記述(メリットや課題)を要約してお伝えします。勝手な要約なので、正確なところは原文を見てください(p.39-43あたり)。
□本人認証(3Dセキュアや認証アシスト)
・課題は「カゴ落ち」(販売機会の逸失)
・パスワード未登録のカードは通ってしまう
・パスワード使い回しや漏えいで効果なし
→「動的(ワンタイム)パスワード」
「指紋等の生体認証」に期待
*認証アシスト
・カード会員の属性情報を照合する方法
・パスワード失念の懸念はないが、漏洩リスクは同じ
□券面認証(セキュリティコード)
・注文者がカード会員本人かまでは確認できない
・番号とともに「セキュリティコード」が窃取されたら終わり
□属性・行動分析
・デバイス情報、過去の取引情報等に基づくリスク評価(スコアリング)
・小規模加盟店が独自でモデル構築は困難
→サードパーティのサービス利用に期待
□配送先情報
・取引成立後でも配送を止めて被害防止
・大手加盟店は独自のデータベースを運用
・カード会社複数社での共同運用サービスあり
・過去のブラック情報を提供するサービスも存在
・しかし配送を伴わない取引には利用できない
・ブラック判定されていない住所への配送は止められない
□その他
・カード利用時にイシュアーから利用確認メール
・メール等受信に関するカード会員の同意が必要
・メールアドレス管理等、イシュアーの負担
以上、不正購入対策には(これ一つでOK!というものはないですが)いろいろな方法があるようです。外部サービスを使うにしても、結局は、ショップ側での不正判断ノウハウの蓄積や体制構築がキーになる感じですね。ご自身のサイトに課題が残っているか、更にできることがあるかについて、「非通過」の件と併せ、ご契約のPSP、カートさんにご相談いただくと良いのではないかと思います。
カード会社(アクワイアラー)及びPSPは、不正使用被害が顕在化している加盟店のうち、「カード番号+有効期限」のみで決済を行い、何らの不正使用対策も講じていない加盟店に対して、本実行計画で整理した具体的な方策を中心とした不正使用対策の導入を促進することとする。
また、すでに何らかの不正使用対策を講じているが、不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店に対しては、従来の対策を見直し、必要な追加策を講じる等の対応を求めていくこととする。
カード不正使用(ショップにとっては不正購入)については、カード会社は原則リスクを負ってくれないので、ショップ側で既にいろいろ自衛手段を講じていることと思います。それでもまだ不十分ということで割賦販売法に規定され、「不正使用被害が顕在化している加盟店」は、漏えい対策と同様に、アクワイアラーから対策を求められることとなりました。まずは、ご自身のショップが「不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店」に当たってしまうかどうか、ご契約のPSP(決済代行会社)やカートさんに確認していただくのが先決かも知れません。不正使用被害が多い「特定5業種」として、「実行計画」では、デジタルコンテンツ(オンラインゲーム含む)、家電、ECモール、電子マネー、チケットが指定されています。(ECモールって「業種」なんですかね??)
さて、その上で、必要に応じ「対策を講じる」訳ですが、
それぞれの方策に課題等があるため、加盟店の業種及び商材等に応じた有効な方策を講じることが重要であり、それぞれのリスクの状況に応じて、以下の方策を基本としつつ、追加的な対策をとることを含め、多面的・重層的な対策を講じていくことで不正使用防止効果を高めていくことが求められる。
のだそうです。具体策がいくつか並べられているものの、どれも万能ではなく、何をやるべきかについては一律に決められない。それぞれ自社の状況に合った方策を組み合わせて実施してね、という、なんとも歯切れが悪いというか曖昧なルールになっています。以下、「実行計画」に挙げられた各方策に関する記述(メリットや課題)を要約してお伝えします。勝手な要約なので、正確なところは原文を見てください(p.39-43あたり)。
□本人認証(3Dセキュアや認証アシスト)
・課題は「カゴ落ち」(販売機会の逸失)
・パスワード未登録のカードは通ってしまう
・パスワード使い回しや漏えいで効果なし
→「動的(ワンタイム)パスワード」
「指紋等の生体認証」に期待
*認証アシスト
・カード会員の属性情報を照合する方法
・パスワード失念の懸念はないが、漏洩リスクは同じ
□券面認証(セキュリティコード)
・注文者がカード会員本人かまでは確認できない
・番号とともに「セキュリティコード」が窃取されたら終わり
□属性・行動分析
・デバイス情報、過去の取引情報等に基づくリスク評価(スコアリング)
・小規模加盟店が独自でモデル構築は困難
→サードパーティのサービス利用に期待
□配送先情報
・取引成立後でも配送を止めて被害防止
・大手加盟店は独自のデータベースを運用
・カード会社複数社での共同運用サービスあり
・過去のブラック情報を提供するサービスも存在
・しかし配送を伴わない取引には利用できない
・ブラック判定されていない住所への配送は止められない
□その他
・カード利用時にイシュアーから利用確認メール
・メール等受信に関するカード会員の同意が必要
・メールアドレス管理等、イシュアーの負担
以上、不正購入対策には(これ一つでOK!というものはないですが)いろいろな方法があるようです。外部サービスを使うにしても、結局は、ショップ側での不正判断ノウハウの蓄積や体制構築がキーになる感じですね。ご自身のサイトに課題が残っているか、更にできることがあるかについて、「非通過」の件と併せ、ご契約のPSP、カートさんにご相談いただくと良いのではないかと思います。