不正検知システムを利用したほうがよいのは、どんなECサイト?

2017/08/24

前回は、クレジットカードの不正利用対策としてECサイトが最低限実施すべき対策をご紹介しました。


※本コラムは全3回のコラムです。第1回/第3回もぜひご覧ください。


今回は、不正利用やチャージバックのリスク抑止に加え、EC事業を安定運用させるためには、どのようなECサイトが不正検知システムを導入・利用したほうがよいのかまとめました。

それでは、貴社の不正利用のチェックに関する状況を思い浮かべてみてください。

  • チェック 増え続ける目視確認件数に今後が不安
  • チェック 目視確認の件数が多い(1日20〜30件/人 くらいが上限)
  • チェック 目視確認では発見しづらい取引でチャージバックが発生する
  • チェック 担当者が疲弊してきている

上記に当てはまるようであれば要注意です。
100%目視運用から不正検知システムへの切替を検討するタイミングです。

この記事の目次

目視確認件数の増加

商品発送前の目視確認をある程度怪しいものに絞ったとしても、売上の増加などにつれ発送までの時間や担当者のリソースなどから、限界がきてしまう時があります。

ざっと目で見て確認するとはいえ、やはり怪しい注文となると、氏名、住所、電話番号、金額、注文商品など、Googleから検索してみたり、ストリートビューで発送先を見てみたりしますので、1件につき3分〜5分はすぐに経過してしまいます。

発送前の忙しい午前中に40分〜50分、ルーティンワークとはいえ地味で成果も出しにくく、生産性の 高い業務とは言いづらいですね。

また高額商品かつ換金性の高い商品を販売されているお店では、売上増加に伴い、全ての注文を目視確認することは困難となります。


目視確認の限界

発生したチャージバックの注文情報をチェックしてみると、パッと見た目では怪しい感じも何もないなんてことがあるかもしれません。

過去のチャージバックは氏名が明らかな偽名や有名人名、ひどい時はアニメの主人公名などというものも存在していましたが、今は不自然ではない氏名が使われることが多くなっています。
氏名、住所や郵便番号に不審な点はなく、実際に存在する集合住宅などの住所であれば、特段怪しい注文には見えず、決め手がなければ誰も配送を止めることはできないかもしれません。


目視確認担当者のプレッシャー

目視確認を担当している方に話を聞いてみたところ、プレッシャーを感じながら注文情報とにらめっこをしているということでした。

一件一件にじっくりと時間をかけてチェックできるのならいいのですが、他の業務もある中、また発送前の限られた時間ということで、素早くかつ丁寧に、不自然な点はないか、注文情報をみていく必要があります。集中力と直感力が求められ思っている以上に疲労のたまる業務です。

また、怪しい注文を見つけ、不正を未然に防いだとしても大して評価されることはなく、また逆に不正を発生させてしまうと、上司だったり他の部署のメンバーだったりがボソッと発した心無い一言で心が折れそうになることもしばしばだとか。

また慣れた担当者がお休みの間に数十件のチャージバックが起きてしまうようなこともよく耳にしますが、マネジメントとしても一人ないしは二人の担当者にチャージバックによる損失を全て任してしまうのは問題がありそうです。

発送前の相当数の目視確認件数があり、止められないチャージバックが発生し、担当者のストレスが溜まってきている様子なら、その業務にはメスを入れる必要がきているといえます。


そこで検討したいのが不正検知システムの利用です。
では不正検知サービスではどんなことができるのでしょうか?

一言でいうと、人の目では見えない情報を炙り出してリスクを示してくれるシステムということになります。

利用のメリット

  • ① 不正を減らすことができる
  • ② 目視確認をシステム化できる
  • ③ スキルの平準化や、時間の短縮が可能
  • ④ コストの削減が可能

デメリット

  • ① 業務の再設計が必要となる
  • ② 100%不正を防ぐことは困難

不正検知サービスに、注文時に獲得した情報(氏名、住所、電話番号、メールアドレス、金額、日付、商品名、端末情報、IP情報など)を渡すと、即座にその注文についてのリスクとその理由を出してくれる便利なサービスです。

例えば・・・注文情報が以下のような場合、表面だけ見ると不正注文だと断定するほどではありません。

  • 注文者名:鈴木○○○(不自然ではない氏名)
  • 住所:東京都○◯区○○1−1−1−○○○号室(不自然ではない住所)
  • 電話:090-○○○○-××××
  • 金額:38,000円
  • 商品:ブランドキーケース
  • 個数:2個
  • メールアドレス:suzuki○○○○@excite.com

これを不正検知システムに通してみると、以下のような結果が出たとします。

  • 住所 → ウィークリーマンション、他社がブラック登録した住所と一致
  • 電話 → 不通
  • メールアドレス → 不通
  • IPアドレス → 他社がブラック登録したIPアドレスと一致
  • デバイス(端末)情報 → 他社がブラック登録したデバイス情報と一致
  • その他 → 12時間以内に同デバイスから多額の注文実績あり


この結果から、ウィークリーマンションを受け取り場所にして、偽名、実在しない電話番号、メールアドレスで不正注文を繰り返しているのではないかと容易に想像することが可能となり、「発送しない」決断も時間をかけずにくだせそうです。

注文情報の配送先住所から、短期滞在先(ウィークリーマンションやホテル、その他商業施設など)であることや、宅配業者の営業所だったり(営業所留めと記載されていなくても住所から営業所であることが判別可能)、転送会社などであることを示してくれたり、また住所と郵便番号や電話番号が一致しない、電話番号やメールアドレスが疎通されていないなど、目視チェックだけでは判別できないものをチェックし回答が出てきます。

また前述の例のように、直近で不正検知サービス利用者である他の加盟店がチャージバック被害に遭い、ブラック登録された注文情報(氏名、住所、電話番号、デバイス情報など)との合致についても教えてくれます。自社だけではなく他社での被害データが共有されるのも不正検知システムならではの特徴です。

特に不正利用者は同じデバイスを使って大量の不正注文を出す傾向にあるようですので、デバイスの特定に強い不正検知システムは特に有効だと思われます。



不正注文判別イメージ図

では、不正検知サービス導入すると業務フローなどはどのようになるのでしょうか?


不正検知サービスの業務フロー

従来、発送前目視確認のみの場合


  • ① 注文情報から一定の条件に合致する取引を抽出(300件)
  • ② 目視確認を実施(300件)
  • ③ 怪しい取引を抽出(5件)
  • ④ 怪しい取引について判断(発送する:300件、しない:0件)
  • ⑤ 発送

下向き矢印画像

不正検知利用


  • ① 注文情報から一定の条件に合致する取引を抽出(300件)
  • 不正検知システムへ投入(300件)
  • 不正検知システムの結果を受領(300件のうち、要確認13件、NG2件)
  • 不正検知システムより「要確認,NG」となったものを目視確認(約15件)
  • 怪しい取引について判断(発送する:297件、しない:3件)
  • ⑥ 発送

不正検知システムを導入しても、人の目での確認との併用は必要となります。
システム、人の目のダブルチェックにより不正をより多く食い止めることができるからです。

ただし、目視確認の労力が不正検知サービス利用時では随分軽減されます。
どのように変わるかというと、不正検知を利用すると、以前は300件目を通していたものが、15件(NG含む)となります。 しかもその15件はすでに、電話やメールアドレスの疎通がない、住所がウィークリーマンションになっている、ブラックデータと合致しているなどといった、発送可否の判断をするヒントが多く含まれていて、決裁者も突合せ調査に時間をかけずに判断ができます。

具体的に行う目視チェックでは、要確認となったシステム結果の回答を確認し、その注文の動きを見てみるのも一つの手です。注文成立の前に何度もエラーが出ているといったことが分かれば、注文者は何枚もの不正クレジットカードを使って注文してきていると想像もできます。

不正検知システムは人の目では炙り出せない不正取引を大量のデータと突合させ、分かりやすい結果を出してくれる非常に優れたツールとなっています。

不正検知利用時のフロー図


不正検知システムの費用対効果

このように不正検知システムは非常に優れたツールではあるものの、導入や利用にあたり多額の費用が発生するのであれば導入はできません。
どんな費用がどれくらいかかるものでしょうか?

必要な費用としては概ね初期費用とランニング費用となります。
また不正検知システムの導入費用(自社システムへの組み込み)と、将来のチャージバックで出て行く費用が費用対効果を見るのに最低限必要となります。

初期費用


  • 不正検知システム事業者への初期費用
  • 不正検知システムとの接続のためのシステム改修費用
    (APIかCSVか、システム改修のタイミング、自社対応か外注かなどにより異なる)

ランニング費用


  • 不正検知システム利用代金(月額、トランザクション費用)

費用対効果の有無については、以下のように算出すると良いでしょう。

費用対効果の有無の算出例

( ①<③、②<④となるはずですが、目安としては、① ≒ ③×10~70%、② ≒ ④×30~50% )


自社ブランド物を販売されているネットショップでは、不正利用された商品が市場に安く出回ることによるブランド毀損リスクなども加味して、検討されるケースもあります。
また不正対策を強化しなかったことで、自社のサイトが狙われてしまい、想定の数倍のチャージバックが発生したり、システムの優先順位を無視して突貫工事で不正対策を行い多額の費用が出たりするケースもよく耳にしますので、対策をしないという選択肢をとる場合は、将来のチャージバック発生額について余裕をもって見積もるなど、より慎重な比較資料を使って社内で検討が必要かもしれません。


今回は自社での不正対策に限界を感じ、不正検知の利用を検討されているご担当者様向けに不正検知システムの一般的な内容について説明をしてきましたが、今までチャージバックは経験がなく、不正対策も行っていないネットショップにおいても、システム改修などのチャンスがあれば、不正検知システムはいつでも使える状態にしておいたほうがいいかもしれません。いつどこで突然不正の矛先が自社サイトに向けられるかわかりません。備えあれば憂いなしです。

次回は、より高度な不正検知システムでどのようなことができるのかについて触れてみたいと思います。



執筆者
株式会社アクル 取締役COO 渡辺 貴宏氏

運用改善やチャージバック保証サービスなど、不正対策コンサルティングサービスを提供する株式会社アクルの取締役COO。
EC黎明期の2000年代初頭からクレジットカード決済やさまざまなチャージバック関連業務に携わる。

>>株式会社アクル

      
セキュリティvol.2

ビジネスの成長を
DGフィナンシャルテクノロジーが
お手伝いします

ご不明な点はお気軽にお問い合わせください。
スタッフがさらに詳しくご説明します。