2023年のクレカ不正利用被害額は540.9億円で過去最高！　三菱UFJニコス×かっこに今有効な対策を聞いた

2024/06/11

ECのミカタ編集部 [PR]

（左より）三菱UFJニコス株式会社加盟店管理部次長吉岡徳氏、かっこ株式会社 O-PLUX事業部ディビジョンマネジャー小野瀬まい氏

2023年のクレジットカードの不正利用被害額は、前年比23.9％増の約540億9000万円だった（※1）。こうした中、「EMV 3-Dセキュア」と呼ばれる、カード業界共通の規格である本人認証システムの導入が必須化されるなど、EC業界でも不正被害防止への意識が高まっているが、一方でセキュリティの強化による“カゴ落ち”が気になるという事業者は、まだ多いだろう。では過去最悪のペースで増え続ける被害を抑制するため、EC事業者はどのようなセキュリティ対策を講じればいいのか――。大手クレジットカード会社の三菱UFJニコス株式会社の吉岡徳氏と、不正検知サービスを提供するかっこ株式会社の小野瀬まい氏に話を聞いた。

加速度的に増える被害額は年間540億円超

――クレジットカードの不正利用被害の現状について教えてください。

かっこ　小野瀬まい氏（以下、小野瀬）　日本クレジット協会によると、2023年におけるクレジットカードの不正利用被害は前年から100億円以上増え、過去最高の約540.9億円（前年比23.9％増）でした。被害の内訳は、ECにおけるクレジットカード番号の盗用被害が9割以上を占めています（※1）。

被害が多いのはデジタルコンテンツ、家電、チケット商材、宿泊予約サービスなど。比較的高額な商材が狙われがちですが、最近はコスメや健康食品など決して単価の高くない低価格帯の商品も狙われるようになってきました。

――近年、不正利用被害が急増しているのにはどのような背景があるのでしょうか。

画像提供：かっこ株式会社

小野瀬　クレジットマスター（※2）やフィッシング被害の増加、ダークウェブにおけるカード情報の売買など、犯罪者の手口が巧妙になってきたのは間違いありません。個人間取引のプラットフォームやオークションサイトが充実したことで、不正取得した商品を転売しやすくなったことも被害の増加に拍車をかけています。

三菱UFJニコス　吉岡徳氏（以下、吉岡）　クレジットカードの不正利用被害は世界的な問題ですが、国内のEC事業者さまでの不正対策はまだ途上段階と言わざるを得ません。

――何も対策を取らなければ、被害額は加速度的に増加していく可能性がありますね。

小野瀬　そうですね。こうした現状に危機感を持ち、日本でもクレジットカード会社、加盟店、決済代行業者などを対象に、カード取引において各事業者が実施するべきセキュリティ対策をまとめた「クレジットカード・セキュリティガイドライン【5.0版】」（※3、4）が発表されました。重要なのは、不正対策を「点」ではなく「線」で考えること。決済前・決済時・決済後のそれぞれの場面で、多面的・重層的に不正利用対策を講じることが求められています。

「点」ではなく「線」で多面的・重層的な対策を

――ガイドラインの改訂ポイントについて教えていただけますか。

吉岡　このガイドラインは、クレジットカードの不正利用防止のためのクレジットカード取引の関係事業者が実施すべきセキュリティ対策を記載した割賦販売法の実務上の指針です。原則すべてのEC事業者さまに2025年3月末までに「EMV 3-Dセキュア」の導入が求められており、【5.0版】では継続的な安定稼働やイシュアーにおける会員登録推進と動的パスワード等への移行目標設定、EC事業者さまへの導入優先順位の考え方が明記されました。

また、EC事業者さまにおけるカード情報保護対策の考え方も記載されています。先ほど小野瀬さんがおっしゃったように、不正利用に対しては決済前後を含む各場面で対策を検討すべきという全体像も新たに示されました。

――現在、EC事業者におけるEMV 3-Dセキュアの導入率はどれくらいですか。

小野瀬　昨年行った当社の調査によると、不正対策としてEMV 3-Dセキュアを導入しているEC事業者は36.1％でした。ランニングコストや“カゴ落ち”発生リスクの懸念から、導入率は4割に満たない状況です。（関連記事：「3社に1社は不正注文の被害経験あり！　減らないECの不正注文に2024年の対策は？」）。

吉岡　EMV 3-Dセキュアの大きなメリットは第三者による不正利用を抑制できることで、万が一、不正利用が起きた場合でもチャージバックの発生リスクを抑えられます。そのため、導入されていないEC事業者さまには早期導入のご検討をおすすめします。

――優先的にEMV 3-Dセキュアの導入を検討しなければならないのは、どのような事業者ですか。

吉岡　EMV 3-Dセキュアは、不正利用のリスクが大きい加盟店さまから順に導入を進めることが有効です。【5.0版】では①不正利用金額が3カ月連続で50万円を超えている不正顕在化加盟店、②直近2年で不正が5件以上または累計で10万円以上発生した加盟店、③高リスク商材取扱加盟店、④それ以外の加盟店の順で、導入優先順位の考え方が明記されました

――EMV 3-Dセキュアを導入した上で、さらに多面的・重層的な不正対策が必要ということですね。

吉岡　残念ながら、EMV 3-Dセキュアの導入だけでは不正被害が完全に防ぎきれない場合があります。
ガイドラインにも示されている通り、不正利用が減少しない場合には、EC事業者さまは「属性・行動分析（不正検知システム）」等の追加対策を多面的・重層的に導入することが求められます。

当社はかっこさまの不正検知サービス「O-PLUX（オープラックス）」のEC事業者さまにおける不正使用被害の抑止効果を確認済みです。EC事業者さまに対しては当社が取り次ぎを行い、かっこさまがサービス提供および導入後の運用サポートなどを行うことで、両社で不正対策の強化を支援して参ります。

EMV 3-Dセキュアと不正検知サービスを併用

――「O-PLUX」とは、どのような不正検知サービスなのですか。

小野瀬　「O-PLUX」はデータサイエンスを活用した独自の審査ロジックにより、不正注文をリアルタイムに検知し、クレジットカードのなりすまし注文、悪質転売、後払い未払い等の不正被害の防止及び審査業務の自動化を実現するクラウドサービスです。累計11万サイト以上で導入実績があり、各サイトから集まる不正情報や、不動産の空き室情報、国内の電話番号の疎通情報など多様なデータベースを検知に活用することで高精度を実現しています。トライアルにより精度や運用イメージを導入前に確認することもできます。

――導入にあたり費用はどれくらいかかるのですか。

小野瀬　初期費用30万円・月額3万円からご利用いただけます。また、「O-PLUX」の一部機能を制限した「不正チェッカー」は、初期費用10万円・月額4千円からご利用いただけます。EC事業者さまのコストや不正状況に合わせて選べるラインナップを用意しています。

吉岡　不正注文の手口は巧妙化しており、3Dセキュアと目視チェックだけでは防ぐことが難しくなってきています。そのため、EC事業者さまには不正対策のひとつとして、不正判定・検知精度の高い「O-PLUX」や「不正チェッカー」を中心とした不正検知システムの導入を推奨しています。

――今後の目標や計画、EC事業者へのメッセージなどがあればお願いします。

吉岡　不正対策には一定の費用がかかるため、被害が出るまでは取り組みに積極的でないEC事業者さまが少なくありません。ただ、一度不正利用犯のターゲットになると継続して狙われ、不正転売によりブランド価値を毀損し、実害以上の影響が生じる可能性があります。

特に不正注文が多いECサイトは、カード会社のオーソリ（販売承認）審査が厳しくなり、オーソリ承認率の低下をまねきます。その結果、通常ユーザーがクレジットカードを利用できず“売上機会の損失”が発生してしまいます。穴の空いたザルで水をいくら汲んでも、水が一杯になることはありませんよね。同じように、ECビジネスでも“守り”を固めなければ売上は伸ばせません。クレジットカードの不正利用対策が売上げに直結するという考えを、かっこさまと一緒にEC業界に向けて啓発していきたいと思います。

小野瀬　不正の手口が複雑・巧妙化する中で、EC事業者さまが自社だけで対策をとるのは限界があります。そんなときは、ぜひ当社のような外部の専門業者へのアウトソーシングをご検討ください。「O-PLUX」は3Dセキュアと併用することで、より高い精度で不正な注文をを検知し、結果として売上向上に寄与していきます。

加えて「O-PLUX」は継続的なチューニングを行っていきますが、三菱UFJニコスさまから不正発生情報をかっこに直接連携する取り組みも行っています。これにより早期にチューニングができ、精度向上やEC事業者さまの運用負荷の軽減につながっています。今後もこういった取り組みを広げ、三菱UFJニコスさまとともに安心・安全な決済の実現を目指していきます。