ECサイトはクレジットカードのリスク対策も必要
2020.06.05
クレジットカードは、ECサイトの決済方法の主流です。クレジットカードの存在は主にBtoC向けの小売でオンラインショップを盛上げるのに一役買ってきました。
ECでは基本的な決済方法として普及し、多くのサイトで導入されています。しかし、実際にECサイトを運営する側はセキュリティに注意しなければいけません。
ここではECサイト運営で、犯罪の被害者にならないためのクレジットカード機能について解説します。
CONTENS
ECサイトには欠かせないクレジットカード決済
統計的に見てもECサイトの売上の大半を占めているのがクレジットカード決済です。現在ではたくさんの決済方法があり普及してきましたが、それでも、ECサイトでのクレジットカード普及率は圧倒的です。
ビジネスユースでは少し事情が違いますが、BtoCについてみる限りでは、この流れはおそらく変わることはないでしょう。少なくともあと数年は余程のことが無い限り、こうした状況は変わらないと考えられます。
クレジットカードの決済を導入することで、ユーザーは金銭のやりとりについての手間をあまり考えず画面を見たままで買い物ができます。ECサイトの運営側は料金の回収を気にせずビジネスに集中できます。料金のやりとりはクレジットカード会社が代行してくれます。
クレジットカードの存在はネットと相性が良く、様々な場面で利用できるようになりました。また、クレジットカードを決済方法に加えずにサイトの運営をしている場合、せっかく集客したユーザーも決済方法で尻込みしてしまうことも少なくありません。
手数料を差し引いても導入のメリットはある
小さな小売り店ではECサイトでの決済導入を見送るケースがあります。この際に問題にしているのは手数料の存在です。
クレジットカードの手数料は、事業者側が持つ必要があります。この負担は現在では概ね3%〜5%程度ですが、粗利の悪い商品であれば、この分率が負担になると考えてしまうことがあります。
しかし、実際に考えて見るとECでのクレジットカード決済は理にかなっています。実店舗であれば、発生しているレジでの人件費などの作業コストはかからず、また銀行振込であれば必要な入金確認の作業も発生しません。
クレジットカード決済の導入で購入する人の利便性があがって、今まで以上に受注量が伸びるのであれば手数料分を埋めることにつながるかもしれません。
実店舗だけで導入した場合のイメージで、クレジットカードの導入を見送っているのであれば、今一度、冷静に計算してみることが重要です。
ECサイトへの導入については決済代行会社を利用しよう
クレジットカード決済を導入するには、カード利用者と同じく審査が必要です。以前は、カード会社それぞれと手続きや審査が必要でした。
しかし、現在では決済代行会社との手続きと審査だけで済みます。決済代行会社は様々な決済方法に対応して提供しているので、同じような作業を繰り返す必要はありません。一度の申し込みでさまざまな決済サービスに対応することが可能です。これによって支払い方法を増やすことは簡単になってきました。
ASPを利用している場合は、その事業者が対応している支払い方法に限定されていました。しかし、最近は少し事情が変わりつつあります。有料ASPであれば、クレジットカードだけではなく、コンビニ払いやキャリア系の電子マネーなどといった幅広い決済手段にも対応し、中には決済代行会社を選択できるようになっている場合もあります。
決済代行について詳しく説明している記事もあります。興味のある方はぜひリンクの記事も参考にしてください。
【参考】 ECサイトは決済代行会社を利用して決済方法を増やそう
EC運営にとって他人事ではないカードの不正
ECサイトの主な決済方法であるカードの利用は、複数の面で犯罪者に狙われる情報です。個人情報の抜き取りを不正アクセスによって盗み出す犯罪がなくなりませんが、彼らが狙う情報の本丸は多くの場合、クレジットカードの情報です。
また、実際のところ、プログラムの脆弱性をついたサイバー攻撃などに対し、サイトの運営側がアップデート作業を怠っていたなどのことが露呈した場合、そのサイトは社会的な信頼を根こそぎ失うことになります。
これはたとえ事故であったとしても顧客からだけでなく、社会での信用の失墜はまぬがれません。また、運営者は場合によっては損害賠償や裁判などの費用が発生することもあります。サイトの事業どころか企業の事業そのものに大きな打撃を与える可能性があるのです。
そうなると事業の運営自体が困難になっていきます。そのため、防衛策を複数に渡って講じることは決して無駄ではありません。
ユーザーは不正利用から守られる
しかし、クレジットカードでの買い物はものすごく簡単になってきました。そのうえでクレジットカードの不正利用は大きな社会問題になっているということです。
クレジットカードを持つ多くの人はスキミングなどの犯罪行為に関心があり、情報の管理に注意深くなっています。当然ですが、誰もが被害者にはなりたくありません。
そのため、「信頼できない」と思われるECサイトではクレジットカードの利用は躊躇われます。ECサイトはセキュリティの管理を徹底し、信頼を勝ち取っていくことが重要です。もちろん、加害者に加担しない社会的責務もあります。ビジネス的な信頼の全てを失う可能性があるからです。
そのためには情報漏洩を起さないようセキュリティ対策をしっかりと行い、常に万全の体制で臨む必要があります。
信頼性とカード利用に関しては下に記載したリンク内の記事でも説明しています。
【参考】 ECサイトのクレジット決済から考えるサイトの信頼の重要度
実際には不正利用であると確認されれば、カード会社に手続きすることでユーザーは保護されます。
不正利用とは「情報漏洩」や「盗難・紛失」、そして、クレジットカード番号を割り振るシステムの規則性を分析してカード番号を割り出し不正利用にあたる「カードマスター」という方法などが主な不正利用の手口です。また、クレジットカードの不正利用を疑われる被害額は国内では2019年の4〜6月だけで約68億円ととても大きな金額で、よくある詐欺行為になっているのです。
カードの持ち主を守る「チャージバック」という仕組みがある
不正利用されたカードの持ち主が正当な理由でその利用を認めなければ、カード会社はカードの持ち主にその金額を請求しない「チャージバック」というシステムを利用できます。
しかし、もしオンラインショップ側が不正利用されたクレジットカードで決済された場合はどうなるのでしょうか。実は「チャージバック」となった場合、基本的にその代金は保証されていないのです。
つまり、不正利用は発生しやすい犯罪でありながら、ECサイト側は守られていません。もし、悪用されたカードで決済された商品が、発送されてすでに第三者に受け取られており取り戻すことは困難であっても、クレジットカード会社からは基本的にECサイト側への補償はないのです。
つまり、カード情報を漏洩すれば加害者に、そして不正利用のカードで決済されれば被害者にもなる可能性があります。
ECサイト側の事業ができる不正対策
要するにECサイトにとってクレジットカードはなくてはならない決済方法ではありますが、被害者にならないようにする意味でもそのリスク対策は必ずしなければいけないものといえます。
説明したとおり、不正利用対策は必ずしもユーザーの信頼性を高めることだけが目的ではなく、ECサイト側にとっても、不正利用被害から守るためにも重要なことなのです。
また、クレジットカード会社はクレジットカードの不正利用に対して対策手段を講じています。ECサイトがその機能を組み込むことで、不正利用のリスクを大きく減らすことができるような仕組みが存在します。
ユーザーとして利用時に気をつけるだけでなく、ECサイトの運営側も対策して、安全に安心して利用できるようなサイトにし、運営に対するリスクを減らすことができるのです。
なかにはECサイト向けにチャージバックに対して保証するサービスもあります。しかし、そうしたシステムの利用だけでなく、サイト自体で工夫しておくことは利用者双方の安全を守るためにも重要です。
具体的に以下に説明していきます。
セキュリティーコードの入力
セキィリティコードとは、表面に記載されているカード番号以外にカードに記載されている数字です。裏面などにあり、3桁、カード会社によってはあるいは4桁の数字が割り振られています。
この数字はICチップや磁気テープには記載されていない情報なので、カードを手に持つ人のみが知りうる情報です。この数字をカード番号とは別に入力して承認を得る方法です。
盗難されたカードや、フィッシングサイトなどで抜かれた情報の場合は対策にならないため、完全な方法ではありません。しかし、ある程度の防衛機能は持っています。
ユーザーが事前に登録する本人認証システムー3Dセキュア
3Dセキュアはカード会社が利用者の安全性を高めるために、さらに別ページでの認証ページでパスワードを入力して利用する本人確認のシステムです。
3Dセキュアを導入することはECサイト側にもメリットがあり、3Dセキュアでの確認後に販売した商品がチャージバックになった場合であっても、保証されます。これはすでに本人確認されているものと判断されるためです。
ただし、利用者がパスワードを忘れてしまうことで、決済が完了せずカゴ落ちに繋がることもあります。また、すべてのカード会社が導入しているものではないという点についても注意が必要です。つまり、すべての取引が安全ではないということになります。
不正使用検知システムも導入されている
統計的な利用データを蓄積してカードの利用状況を確認し、疑わしいカード利用を検知するシステムがあり、クレジットカード会社でも導入されています。決済時にこうしたシステムを通すことで、妖しげな決済を事前に通さずにすることで未然に被害を防ぎます。
ECサイトでも防犯は重要
インターネット上のサービスであっても、情報漏洩をおこして意図せずとも犯罪に加担してしまったり、犯罪の被害にあうことがあります。そうしたことに加わらないようなサイトづくりをすることは、経済的な損失という意味だけではなく、社会的な面でも重要なことです。クレジットカードの利用はとても手軽な存在になってきました。サービス提供する側としては油断することなく、個人情報保護だけでなく、被害を想定して未然に防ぐよう運営を続けていきたいものです。