不正顕在化加盟店とは?認定されるとどうなる?

      

更新日|2026/01/05

この記事の目次

不正顕在化加盟店とは、文字通り、継続的に一定金額以上の不正利用が発生しているクレジットカード加盟店のことを言います。

背景には、クレジットカード不正利用被害の増加と、それに対する法律の改正があります。

2018年6月に施行された「改正割賦販売法」において、クレジットカード加盟店における、より厳格なカード情報の管理や、実効性のある不正対策の実施が義務付けられ、多面的・重層的な不正対策が求められるようになりました。

一方で、加盟店管理を行うアクワイアラー(加盟店を獲得する業務をしているクレジットカード会社を指す)に対しても、これまで以上に加盟店に対する管理義務が強化されています。

具体的には、家電やチケット、オンラインゲームなどのデジタルコンテンツ、電子マネーといった高リスク商材を取り扱うクレジットカード加盟店に対する不正対策の推進や、継続的に一定金額以上の不正利用が発生しているクレジットカード加盟店に対する追加的な不正対策の推進などが挙げられます。

不正顕在化加盟店認定の主な基準は、カード会社(各社)が把握する不正利用金額が「3ヵ月連続50万円超」となっています。

不正顕在化加盟店に認定されると

継続的に不正利用が発生するクレジットカード加盟店として「不正顕在化加盟店」に認定されてしまうと、加盟店情報交換センターにその情報が登録されてしまいます。カード業界内で不正利用が継続的に発生しているとして、ブラック登録されてしまうイメージです。

不正顕在化加盟店に対してはさらなる不正対策の実施が要求されますが、改善が見られない場合はカード加盟店契約の停止措置が取られる可能性があります。更には、VisaやMasterCardといったブランドからのペナルティとして、金銭的な負担を強いられるリスクもあります。

不正者が「不正しやすい加盟店を選好できる」環境構造

不正者は「不正が通りやすい店」を選択的に狙う傾向があります。 即時性の高いデジタル商材や転売しやすい商品、配送前に本人確認が行われないECサイトなどを狙い、一気に不正を集中させ、痕跡を残さず撤退します。
一度突破されると “継続的に不正が発生しやすい構造” が生まれます。

3Dセキュア導入だけでは「見えない不正」が蓄積する構造

従来方式の3Dセキュア(3Dセキュア1.0)による本人認証の実施があります。本人しか知りえない(と言われている)パスワードを決済時に求めることで、成りすましによるクレジットカード第三者利用を防止する手段です。

3Dセキュアによる本人認証済取引は、不正利用が発生したとしてもカード会社が被害を補償するといった規定になっています。

“当社は3Dセキュアを実装しているので大丈夫”

この様に考えているカード加盟店が、実は一番危険だと言っても過言ではありません。

EC業界を見渡すと、比較的早期に3Dセキュアの導入を決めた加盟店ほど、不正顕在化加盟店に認定されるリスクが高い傾向にあります。

特に、本人認証パスワードを未登録であるカード取引はそのままスキップする、任意認証(Attempt取引許容)の方式で実装している加盟店は要注意です。

日本クレジット協会の資料でも、不正顕在化加盟店には「不正手口に応じた追加の重層的対策」が求められ、2025年4月には全てのECサイト加盟店においてEMV 3-D セキュアの導入が原則必須となっています。

参考:一般社団法人日本クレジット協会『不正利用顕在化加盟店の考え方と実務』2025/5/23

不正顕在化加盟店となりやすい業種やシーンでは、以下のような典型的手口が確認されています。

事例①:デジタルコード・ギフト券の大量購入

  • カード番号が盗用された状態で決済が通る
  • 数分以内に第三者へ転売または送金
    追跡が困難なため、加盟店側に返品負荷が残らない
    → 即換金性の高さから、最も多い典型例といわれています。

事例②:高額家電・チケットの転売

  • 住所情報もセットで盗用され、正常注文に見える
  • 商品受け取り後に転売
  • 物理商品でも転売スピードが高速化
    → チケット・ライブ物販など「需給が逼迫している商品」は特に狙われやすい。

事例③:海外IP・VPN経由での一斉攻撃

  • 大量IPから同一商品を短時間で注文
  • 深夜帯に集中するケースが多い
    → ログ監視の弱い加盟店では検知が遅れ、そのまま“継続的な不正”となる。

事例④:BOTによるカード番号の“総当たり攻撃”(カードクレジットアタック)

  • カード番号の一部を固定し組み合わせる
  • 失敗・成功レスポンスをもとに有効カードを絞り込み
  • 成功カードを“テスト購入”で特定
    → 未対策の加盟店は「攻撃の踏み台」となり、顕在化リスクが一気に上昇する。

不正顕在化加盟店は、「単一の対策では不正が抑えきれなかった加盟店」に対して位置づけられるものであり、日本クレジット協会の資料でも 「不正手口に応じた適切な不正利用対策の追加導入(リスクベースの措置)」が求められると明記されています。

これは、EMV3-Dセキュアなど、特定の施策だけに依存するのではなく、複数の防御策を組み合わせる多面的・重層的対策が前提になるという考え方です。

ここでは、協会資料で示されている考え方に沿って、加盟店が取るべき多層的な不正対策の代表例を整理します。

不正手口に応じた追加対策の導入(リスクベースの措置)

日本クレジット協会は、不正顕在化加盟店には「不正手口に応じた適切な不正利用対策の追加導入」が必要だとしています。

この“リスクベースの考え方”が重要で、以下のように、発生している手口に応じて防御策を組み合わせていく必要があります。

例:番号盗用が疑われる場合

  • 決済データのモニタリング強化
  • 不審IPアドレス・時間帯のブロック
  • 高額・大量購入のルール設定

例:BOT などで試行回数が増えている場合

  • CAPTCHA の導入
  • カード番号の試行回数制限
  • 決済アプリケーションのログ解析

例:アカウント乗っ取り型の不正が疑われる場合

  • ログイン時の追加認証
  • パスワードリセットフローの強化
  • ユーザーへの通知機能(ログインアラートなど)

「手口に応じて必要な対策を追加する=固定的ではなく動的な防御」が求められるとしています。

不正ログイン対策(アカウントの安全確保)

協会資料では、不正顕在化加盟店に求められる措置の一つとして 「適切な不正ログイン対策」 が明記されています。

非対面取引における不正の多くは、

  • 盗用カード
  • 盗用アカウント

の複合で成立するため、不正ログイン対策の強化は不可欠です。

代表的な対策には以下が含まれます。

  • パスワードポリシーの強化
  • ログイン試行回数の制限
  • 二要素認証(2FA / MFA)
  • ログイン時のデバイスチェック
  • 異常ログインの自動検知

これらは「不正顕在化加盟店への措置」として示されており「必須レベルの対策」として扱われています。

キャッシュレス決済が社会基盤として定着する一方で、番号盗用を中心とする不正利用は年々巧妙化し、2024年には過去最高額を記録しました。
不正対策は「ひとつ導入すれば十分」というものではありません。 日本クレジット協会が示すように、

  • EMV 3-Dセキュアの導入
  • 不正ログイン対策
  • 取引モニタリングの強化
  • 手口に応じた追加施策の実装

といった 多面的・重層的な対策 を組み合わせてはじめて、不正対策といえるでしょう。
不正の増加は、決済事業者だけでなく、加盟店のブランド価値にも直接影響します。
不正者の手口は日々変化しますが、「不正の兆候を可視化し、早期に手を打てるかどうか」が、事業を守る最大の要点です。

             
新着記事

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。

お問い合わせ 資料ダウンロード