クレジットカード決済のオーソリとは?安全性をさらに高める対策も紹介

2019/12/16

クレジットカード決済のオーソリとは?安全性をさらに高める対策も紹介

EC事業者がクレジットカード決済を導入する場合、その仕組みについて知識を深めておくほうが良いでしょう。カード決済での重要なプロセスである「オーソリゼーション(信用照会)」は「オーソリ」とも呼ばれ、不正使用の防止や利用可能額を確認するための処理を指します。

今回はオーソリの仕組みや目的に加え、さらに安全性を高めるための対策について解説します。

この記事の目次

はじめに、オーソリが持つ意味や実行するタイミングなど基本的な知識をご説明します。

1-1.オーソリの意味

「オーソリ(オーソリゼーション)」とは、信用照会などとも呼ばれ、カード会社に利用者の与信情報を照会し、クレジットカードで決済ができるかを確認する作業です。

オーソリには、カードの有効性確認とカードの利用枠確保の2つの意味があります。加盟店はカード会社の定める規約により、消費者が一定金額以上の買い物をする際には、オーソリを行わなければならないと義務づけられる場合があるのです。決済可能かどうかを確かめるため、事業者のなかには1円などの少額で模擬決済を実行するケースもあります。

オーソリの流れ

オーソリを行う目的には「不正利用防止」「限度額の確認」の2つがありますが、この内容を詳しく説明します。

2-1.不正利用の防止

クレジットカードの不正利用による被害額は、年々増加する傾向にあります。一般社団法人日本クレジット協会の「日本のクレジット統計」によれば、2018年の被害額は約235億円です。

クレジットカード不正利用被害の発生状況

出典:一般社団法人日本クレジット協会『日本のクレジット統計 2018年(平成30年)版』

不正利用被害を防止するために、消費者の対策を促すだけではなく、クレジットカード決済を導入している事業者も対策が必要になります。その1つの手段がオーソリなのです。オーソリを行うことで、紛失などの理由により利用停止中のクレジットカードの悪用を防ぐことができます。また、偽造カードや盗難カードの不正利用防止にもつながるのです。

ただし、オーソリが完了したというのは、あくまでも「カード会社から承認が下りた」だけに過ぎません。カード自体に問題はなくとも、利用者が本人だとは限らないという点に注意しましょう。

ECサイトでのカード決済では、オーソリに加えて、3Dセキュアやセキュリティコードなどの本人確認、不正検知サービスなどのセキュリティ対策を実施し、不正利用されるリスクを軽減することが望ましいといえます。

2-2.利用限度額の確認

オーソリを実施するもう1つの目的が、「利用限度額の確認」にあります。一般的にクレジットカードには利用限度額が設定されており、その範囲内でしか利用することができません。月ごとの限度額だけではなく1日の利用回数や限度額に制限がかかっているケースなどもあります。

しかし、事業者自身では消費者のカードが利用限度額に達しているかどうかをその場でチェックすることができません。そのため、オーソリを実施しないまま決済を行うと、事業者はそのカードが限度額をオーバーしていることに気づかない可能性があります。オーソリ処理を行うことで、カード会社に利用限度額の確認をすることができるのです。

オーソリを実施する方法は、主に2つあります。1つは「自動オーソリ」、もう1つは「手動オーソリ」です。自動オーソリ方式の場合、オーソリ処理は事業者が指定したタイミングで即時に実行されます。自動的に実施されるためEC事業者の手間を省くことが可能です。

例えば、ユーザーがECサイトでの支払いのために、クレジットカード情報を登録したタイミングや、注文確定をした時点で自動的にオーソリ処理が行われます。在庫の確保ができる場合や確実にサービスを提供できる場合には、この方法が選択されることが多いです。

一方、手動オーソリ方式では、担当者が任意のタイミングでオーソリ処理を実行します。「在庫があるかチェックしたい」「出荷前に商品の品質を確かめたい」など、確実に商品やサービスを提供できる状態か不明なケースで利用される方式です。どちらを利用すべきか、状況に応じて変わるため注意が必要です。

自動オーソリ
  • 即時実行される
  • 在庫が確保できる場合に利用される
手動オーソリ
  • 事業者が手動で行う
  • 在庫が流動的な場合に利用される

オーソリを行い、きちんと承認を受けられれば、売上げ処理へ進むことができます。しかしオーソリで非承認が発生する可能性もあります。オーソリが非承認になってしまう理由について、詳しく見ていきましょう。

4-1.不正利用・事故に関する理由

オーソリが非承認となる理由に、「不正利用」「支払い遅延」があります。

盗難・紛失したカードが第三者に渡り、不正利用されそうになっても、本来の所有者が盗難・紛失の届出を行っていれば、オーソリによって非承認になります。これは退会手続きを済ませたカードも同じであり、カード会社から承認されません。また、支払いが遅延しているユーザーのクレジットカードも非承認になります。

不正利用であったり支払い遅延が発生していたりするカードでの決済を認めると、売上金が事業者に支払われない可能性があります。きちんとオーソリを行うことで、売上金不払いによる損失を回避することができます。

4-2.事前の設定に関する理由

オーソリが承認されない別の理由として、「事前の設定に反する使用」もあります。ユーザーとクレジットカード会社との間で結ばれた契約や設定の内容と、異なる使用が試みられた場合も承認を受けることができません。

例えば、カードの与信限度額を上回って使用しようとするケースがあげられます。ほかにも、「ボーナス一括払い」を行おうとした際、事前に設定されたものとは異なるボーナス月を入力した場合も承認されません。

これと同様に、「分割払い」や「リボ払い」といった機能を利用するケースでも、事前に設定されている内容と違う選択をしようとすれば、オーソリの非承認が発生します。

4-3.その他の理由

有効期限が切れたカードが使用された場合も、オーソリで承認されません。

また、クレジットカード会社が不自然な取引であると判断した場合も、オーソリが保留になるケースがあります。不自然な取引とは、例えば、「これまでの利用状況に対して明らかに大きな金額での利用」などがあります。

店舗で非常に多い非承認の理由は「暗証番号の間違い」です。そのほかに、店舗が用意している決済端末の通信状況が悪いため、承認作業が途切れてしまい非承認になるといったケースもあります。

オーソリが承認されなかった場合は、どのような理由で非承認になったかを確かめた上で、カード会社に問い合わせるなどの対応をすることが必要です。

オーソリは、事業者がクレジットカードの不正利用リスクを軽減するために必要なものです。ただし、オーソリだけで全ての不正利用が防げるわけではありません。

例えば、フィッシングサイトなどでカード番号と暗証番号を盗まれ、ECサイトで不正利用されるケースだと、カード情報を詐取した不正者が正しいカード情報を入力すればオーソリでそのまま承認される可能性があります。

最大限にリスクを抑えるためには、オーソリ以外のセキュリティ対策も検討しておく必要があります。どのような方法があるのかを見ていきましょう。

5-1.クレジットカードの不正利用対策

前述しましたが、クレジットカード決済の不正利用による被害額は、年を追うごとに増加しています。

2014年の被害額は約114億円でしたが、2017年には約236億円、2018年も235億円上っています。相当額の被害をもたらしている不正利用の内訳は、被害額のおよそ80%が番号盗用で占められており、偽造カードによる被害は6.8%ほどに留まっています。

2018年クレジットカード不正利用被害額の内訳

出典:一般社団法人日本クレジット協会『日本のクレジット統計 2018年(平成30年)版』

そのため、不正利用による被害は、実店舗よりECサイトの方が大きいといわれているのです。クレジットカードの不正利用から消費者を守る仕組みとして、チャージバック(返金)の仕組みがあります。

チャージバックとは、クレジットカードを保有する消費者が不正利用などの理由により代金の支払いに同意しない場合に、カード会社がその代金の売上げを取り消すことで、その際の代金は事業者が負担することとなっています。

不正利用によるチャージバックが発生した場合、加盟店である事業者は商品を取り戻せず、売上金も回収できない可能性が高く、消費者にとっては安心できる補償の仕組みですが、事業者にとっては大きなリスクです。そのため、事業者側はユーザー保護とリスク回避を考え、セキュリティ対策が必要になります。

5-2.セキュリティを強化する対策

クレジットカード決済における不正利用を防ぐ代表的な仕組みは、大きく分けると2種類あります。1つ目はカードを利用しているのがカード保有者本人かどうかを確認する「本人認証」です。本人認証の方法には、「3Dセキュア」と「セキュリティコード」があります。

3Dセキュアとは、消費者がカード決済時にクレジットカード情報およびカード会社に事前に登録したパスワードを入力、照会することで第三者のなりすましを防ぐ本人認証サービスを指します。

セキュリティコードは、消費者にクレジットカードの裏面に記載されている番号を入力させることで、カード保有者以外の利用を防ぐという方法です。

不正利用を防ぐ2つ目の仕組みは、「不正検知サービス」です。これはカード番号の悪用を未然に防止するための検知システムであり、クレジットカード情報・住所・メールアドレス・アクセス端末など複数の情報を元に、不正判定を高い精度で行ってくれるサービスになっています。

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)が提供する不正検知サービスの流れ

他には「発送前の目視チェック」も有効です。例えば、「新規の利用者による大量あるいは高額の注文」は、不正利用の可能性があります。そうした取引を抽出し、注文者の氏名・住所・メールアドレスなどを目視確認することで、不正利用かどうかを判別できるケースもあるのです。

これらとは別に、不正利用につながるカード情報の漏洩防止に向けた対策も重要です。特に、事業者から情報が漏洩したとなれば、経営危機に陥る可能性もあります。

もしも、事業者からクレジットカード情報が漏れ、それが不正に利用されれば、サイトの閉鎖、漏洩原因の調査コスト、顧客へのお詫びと対応費用、訴訟に対する対応などが発生し、社会的信用が失墜する可能性があります。

そうした事態に陥らないためにも、EC事業者が自社にカード情報を保持しない「非保持化」への対応は必須といえます。事業者のもとに情報が残らない非保持化を実施すれば、仮に不正アクセスなどがあってもクレジットカード情報が漏れることはありません。

また、セキュリティ対策はすべてを自前で用意するだけではなく、対応する外部サービスを利用することで充実させることも可能です。

DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)が提供する「VeriTrans4G」では、3Dセキュアとセキュリティコードは標準対応しており、オプションとして複数の不正検知サービスを提供しています。また、非保持化にも完全対応しています。セキュテリィ対策を入念に行うことで、未然にリスクの発生を防ぐことができます。

クレジットカード情報の漏えいやクレジットカード不正利用対策については過去のコラムをご覧ください。

オーソリは、クレジットカードの不正利用や利用限度額を確認するための処理であり、不正利用による事業者の被害を未然に防ぐ仕組みになっています。しかし、クレジットカード決済の不正は、オーソリだけで完全に防げるわけではありません。消費者と事業者自身を守るためにも、セキュリティ対策は不可欠です。

決済代行会社DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)なら、事業者の業種・商材などに応じて最適なセキュリティソリューションの提案が可能なため、一度問い合わせてみることをおすすめします。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

関連する導入事例

au損害保険株式会社 様
保険

木下様

継続課金機能は生命線とも言える機能。今後の業界動向を見据えた多方面からのサポート・コンサル力を評価。

株式会社ビックカメラ 様
小売

ビックカメラグループが導入!実行計画対応に加えグループ3社の会員情報の横断利用を実現したDGフィナンシャルテクノロジー(DGFT、旧ベリトランス)の決済ソリューションとは?

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。