チャージバックとは?増加している理由と事業者が取るべき対策

2022/04/20

チャージバックとは?増加している理由と事業者が取るべき対策

チャージバックとは、クレジットカードの不正利用や商品の未発送、届いた商品の破損といった理由でカードを保有する消費者が決済に対して同意しない場合、クレジットカード会社が売上を取り消して消費者に返金する仕組みです。

チャージバックはクレジットカードを利用する消費者を保護するためのものですが、事業者はチャージバックが発生すると商品・サービスを提供しているにもかかわらず、カード会社から代金が入金されずに損失を被るリスクがあるため、事前に適切な対策を取る必要があります。

この記事の目次

チャージバックの件数は増加傾向にあり、対策をするには増加の背景を知っておくことが重要です。ここではチャージバックの件数が増加している3つの理由を紹介します。

クレジットカードの不正利用の増加

まず、クレジットカードの不正利用が年々増加傾向にあることが挙げられます。

経済産業省の調査によると、国内のBtoC-ECの市場規模は2020年時点で約19.3兆円でした。

出典:経済産業省『令和2年度 電子商取引に関する市場調査』

総務省の「通信利用動向調査」によると、インターネットで購入する際の決済方法は、クレジットカード払いが79.8%と圧倒的なシェアを占めています。

■インターネットで購入する際の決済方法(2020年)

出典:総務省『令和3年版 情報通信白書|インターネットの利用状況』

一方、一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は年々増加しており、2020年は約251億円でした。最も被害額が大きかったのは番号盗用によるものです。番号盗用の主な事例としては、流出したクレジットカード番号がネットショッピングでのなりすましに利用されるといったケースが挙げられます。

クレジットカード情報の流出には、フィッシング詐欺やスキミング、架空のネットショップを利用した詐欺など複数の手口がありますが、最近ではECサイトからの漏洩が増加傾向にあります。

■カード不正利用被害の発生状況(単位:億円)

出典:一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』

CtoC-EC市場の拡大と転売の増加

個人間のインターネット取引の拡大も、チャージバック件数の増加に影響していると考えられています。

2019年のCtoC-EC市場規模は1兆9,586億円で、前年比12.5%の増加でした。この主な要因としては、フリマアプリの成長が挙げられます。また、2020 年は新型コロナウイルス感染症拡大に伴うEC需要の増加に加えて、外出自粛によって家の中を整理する人が増え、リユースの利用が広がったのも、CtoC-EC市場規模が伸長した要因のひとつに挙げられます。

CtoC-EC市場が拡大するにつれて、クレジットカードの不正利用によって購入された商品がフリマアプリなどで転売されるケースが増えています。そのため、不正利用の対象となるのは家電やブランド品といった高額商品だけでなく、フリマアプリで転売しやすい衣料品や日用品などの少額商品も多い傾向にあります。

出典:経済産業省『令和2年度 電子商取引に関する市場調査』

VISA国際チャージバックルールの導入

チャージバックを巡る国際ルールが導入されたことも、件数の増加につながっていると考えられます。

以前日本国内で運用されてきたチャージバックにおいては、クレジットカードの発行会社(イシュア)と加盟店(アクワイアラ)が協議した上で、ある程度柔軟な対応が可能でした。

しかし、VISAやMasterCardなど国際ブランドが定めるチャージバックルールが日本にも適用されるようになり、カード会社の判断で不正利用に対する支払いを拒否することが可能になりました。カード会社にとっては、不正利用が疑われる決済については協議を経ずにチャージバックできるようになったため、チャージバックの件数が増加しやすくなったと言えます。

現行のルールでは不正決済の事案に対して事業者の主張が反映されにくくなったため、チャージバックにおける事業者のリスクが以前より高くなりました。

チャージバックによって売上が入金されなくなると加盟店にとっては損失になります。ただし、どのような場合でもチャージバックが実行されるわけではなく、いくつかのプロセスを経るため、あらかじめ仕組みを知っておくことが大切です。ここではチャージバックが決められる流れや、加盟店側が拒否できるのかについて紹介します。

(1) カードユーザーによる異議申し立て

不正利用、商品の未発送、届いた商品の破損といった理由により、クレジットカードを利用する消費者がクレジットカード会社に異議申し立てを行います。

(2) 異議申し立てへの対応を決定

クレジットカード会社と加盟店の間で、受入か反証かのどちらで対応するか協議します。受入とは、消費者からの異議申し立てを受け入れて、加盟店が返金を実行することです。反証とは、加盟店がクレジットカードを利用する消費者本人による注文であることを証明する資料を提出し、再度売上を請求することを指します。

(3) チャージバック実行

クレジットカード会社が異議申し立てを受け入れるか、反証が認められなかった場合はチャージバックが実行されます。引き落とし前なら利用情報を削除し、引き落とし後なら返金手続きという対応です。

現状、加盟店はチャージバック時にカード会社からの指摘を受け入れるケースがほとんどです。反証が認められ、チャージバックを回避できる可能性はかなり低いと言えます。

カードの盗難・紛失

クレジットカードの不正利用の手口で多いのが、置き引きやスリ、ひったくり、車上荒らしなどでクレジットカードそのものを盗むというものです。実店舗では決済時に暗証番号やサインの照合で本人確認を行っていますが、不正利用対策としては十分ではなく、最近ではサインレス決済も広がっているため盗難・紛失によるリスクは高まっています。

また、オンライン決済において、本人認証サービス(3Dセキュア)を導入していない場合は、カードに記載されている情報だけで決済できてしまうため、不正利用を未然に防止することは困難です。

その他、クレジットカードの磁気ストライプの情報を不正に読み取り、記録されているカード情報を盗むスキミングという手法による被害もあります。

カード情報の漏えい・盗用

オンラインショッピングでは、セキュリティ対策が十分でなければ、クレジットカード番号、有効期限、セキュリティコードなどを取得することで第三者が不正利用できる可能性があります。

クレジットカード情報を悪意のある第三者が不正に取得する事例としては、フィッシングサイトへの誘導、カード所有者のパソコンやスマートフォンにスパイウェアを潜り込ませる、といったケースが挙げられます。

また、近年多くなっているのがECサイトからの情報漏えいです。外部からのサイバー攻撃・ハッキングによるものもありますが、担当者の人為的ミスによる漏えいも少なくありません。情報漏えいによる不正利用が発生すると、チャージバックだけでなく、信用失墜や顧客への謝罪対応など、ECサイト事業の存続に関わる重大な損害を被る恐れもあります。クレジットカード決済を導入している事業者は情報漏えいに対する十分な対策が必須です。

クレジットマスター(コンピュータプログラム)

クレジットマスターは、カード番号の規則性をもとにカード番号を予測し、セキュリティコードや有効期限を何通りも組み合わせてECサイトなどでテストを行い、実在するクレジットカード情報を割り出すコンピュータプログラムです。

各カード番号は完全なランダムではなく、「ISO/IEC 7812」という磁気ストライプカードの国際規格と、「BIN」(Bank identification number)という銀行識別番号から構成されているため、ある程度絞って予測することが可能となっています。

すでにどこからか流出して闇サイトなどで取引されているカード情報を取得した上で、クレジットマスターによる大量の有効性テストを行う手口もあり、事業者側の対策は難しくなっています。

全てのEC事業者は、現状被害が発生しているかどうかにかかわらず、不正利用防止対策の導入・実施が欠かせません。

後述する「クレジットカード・セキュリティガイドライン」では、不正利用リスクが高い商材として、デジタルコンテンツ・家電・電子マネー・チケット・宿泊予約サービスなどが挙げられています。

これらの商材・サービスをメインとして扱う事業者は、上記ガイドラインが提示する4つの対策(本人認証サービス・セキュリティコード認証・不正検知システム・配送先情報)のうちひとつ以上、不正利用被害がすでに多発しており不正利用金額が3か月連続50万円超の事業者は同2つ以上の対策を講じることが求められています。

以下では、不正利用防止対策の詳細について説明します。

チャージバックを防ぐためには、不正利用を抑止するための対策を加盟店が実施する必要があります。特に、チャージバックを未然に防ぐには3Dセキュアの導入は必須です。

チャージバックの際に取り消された売上は、カード利用者の本人確認がされていない場合は加盟店が負担し、本人確認がされている場合はカード会社が負担します。そのため、加盟店は3Dセキュアにより本人確認をしていれば、チャージバックの発生時の損害を回避できる可能性が上がるのです。

3Dセキュア以外にも不正利用を防止する施策はいくつか考えられます。しかし、3Dセキュアを導入していなければチャージバックが発生した場合、加盟店が売上を負担しなくてはなりません。事業者側の負担を減らし、なおかつユーザーの安全を守るためには、3Dセキュアに加えチャージバックを防ぐ仕組みを複数用意しておくことが大切です。

本人認証サービス(3Dセキュア)

本人認証サービス(3Dセキュア)は、ユーザーがあらかじめ登録したパスワードを決済時に入力させ照合することで、第三者による不正利用を防ぐ仕組みです。4大国際ブランドで採用されている世界標準のシステムです。現在はクレジットカード利用者がより安全に便利に決済するために、従来の3Dセキュアをバージョンアップした「EMV3Dセキュア(3Dセキュア2.0)」が提供されています。

EMV3Dセキュア(3Dセキュア2.0)は、クレジットカード利用者の決済情報などをベースにリスクが高いと判断される取引にのみ、「リスクベース認証」と呼ばれる端末認証やワンタイムパスワードなどの追加認証を実施します。 従来の3Dセキュアと異なり、リスクの高い取引のみ認証を実施するため、ECサイトでのかご落ち(途中離脱)のリスクが削減されるといった特徴があります。

先述の通り、3Dセキュアを導入するなど本人確認を徹底していれば、チャージバックが発生しても、加盟店側が損失を負担するリスクを避けられる可能性があります。

しかし、現在複数の国際ブランドが2022年10月までに、3Dセキュアの従来のバージョンである3Dセキュア 1.0における認証済取引に関して、クレジットカード会社がチャージバックを補償する「ライアビリティシフト」やサポート自体を終了することを発表しています。

つまり、3Dセキュア 2.0に移行済みのカード発行会社と契約している場合、2022年10月のカード国際ブランド各社のサポート終了日以降、カードの不正利用発生時は3Dセキュア 1.0での本人確認が実施されている取引であってもチャージバック補償の対象外となってしまうので注意が必要です。

券面認証(セキュリティコード認証)

券面認証とは、決済時にカード番号だけでなくセキュリティコードを入力させることで、不正利用を防止する仕組みを指します。セキュリティコードとは、クレジットカードの裏面または表面に記載されている3桁または4桁の数字です。

券面認証は100%普及しており、パスワードのようにユーザーが忘れることがないというメリットがあります。一方でカードの盗難・紛失などによりカード番号とともに情報が流出してしまうリスクがあるため、券面認証だけでは対策としては不十分です。

セキュリティコード認証

不正検知システム(属性・行動分析)

不正検知システムとは、決済情報を機械的に分析することで不正をあらかじめ防ぐ仕組みです。

カードの不正利用による注文では、短時間で同じサイトから大量注文している。同一ユーザーが同時刻に複数のサイトで注文している。といった不自然な行動が見られるケースが多くあります。こういった不正利用は、注文情報や注文履歴を分析することで不正と見破れる可能性がありますが、膨大な注文データを人の目で逐一チェックするのは手間がかかり、現実的ではありません。

不正検知システムでは、氏名、クレジットカード番号、メールアドレス、利用者のデバイス情報、IPアドレス、過去の取引情報、取引頻度といった情報を多面的に検証することで、不正利用リスクを事前に検知します。このような仕組みを導入すれば、不正利用を未然に防げる可能性が高まります。

■DGフィナンシャルテクノロジー(DGFT)が提供する不正検知サービスの流れ
DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)が提供する不正検知サービスの流れ

配送先情報

配送先情報の活用方法としては、不正利用時の配送先情報を蓄積し、取引成立後であっても商品などの配送を事前に止めることで被害を防止することが挙げられます。

自社だけでデータを蓄積しても情報量が足りないため、より精度を高めるために外部の実績あるサービスを利用することが基本です。

配送先情報を活用した不正利用の防止対策は、DGフィナンシャルテクノロジーでもオプションとして提供しています。

属性確認

属性確認とは、カード利用者の注文情報と、カード会社が保有するクレジットカード所有者に関する情報が一致するか否かの照合を行うサービスです。

DGFTではこの仕組みもオプションとして提供しています。

DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら

安全安心なクレジットカードの利用環境の整備を進めるため、クレジット取引セキュリティ対策協議会はカード会社や加盟店などのセキュリティ対策やその取組事項を取りまとめた「クレジットカード・セキュリティガイドライン」を発表しました。これは、すべてのカード加盟店に対応が求められているものです。

クレジットカード・セキュリティガイドラインでは、不正利用対策に加え、近年増加しているECサイトからの情報漏洩を防ぐために、クレジットカード情報の非保持化を実現することも盛り込まれています。

出典:一般社団法人日本クレジット協会『「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要』

なお、DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)では上記に挙げた不正利用対策をすべて提供しています。総合決済サービス「VeriTrans4G」は、クレジットカード情報の非保持非通過に完全対応しており、ECに必要な決済手段を一括導入できるマルチ決済サービスです。

クレジットカード決済の不正利用対策として、本人認証サービスの「セキュリティコード認証」を標準提供しているほか、3Dセキュア2.0の利用を推奨しています。

また、DGFTの不正検知サービスは、事業者の業種・商材や、不正利用の発生状況、予算などに応じて5種類から選択でき、不正被害やチャージバックのリスクを高い確率で抑止することが可能です。

チャージバックリスクに対するご不安がある事業者様は、ぜひお気軽にご相談ください。

公開日 2020/12/03、最終更新日 2022/04/20

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。