ECサイト運営の中で、「クレジットカード決済」は、顧客使用頻度が高い決済方法と言えます。
コロナ禍を経て、ECサイトを利用した購入が増えている今、比例するようにクレジットカードの不正利用も増加しています。

ECサイト運営をしている者としても、チャージバックが発生したら、販売後(手元に商品がなくなった状態)でも、売上取り消しを行うことになるので、ただただ損失です。
チャージバック保険もありますが、その分保険料がかかるわけですから、クレジットカードの不正利用は迷惑でしかありません。

このクレジットカードの不正利用の増加を受けて、国規模で対策をとる動きが出ています。

そもそも不正利用はどのくらい増えているのか?

ECサイト運営をしていて、日々の業務で「カードの不正利用が増えた」と肌で感じていたとしても、それはあくまで一部にすぎません。国が動き出そうとしている現状を、ECサイト運営者は知っておく必要があります。
2023年3月、一般社団法人日本クレジット協会から、2022年のクレジットカード不正利用被害額まとめが公開されました。

2022年1月~12月までのクレジットカード不正利用被害額は、過去最高の436億円。昨年と比べても106億円もアップしています。

この増加も、コロナの影響が裏にはあると推測されています。
2020年以降、コロナ対策として不要不急の外出が制限されテレワークが導入されるなど、「外出する」機会が減りました。これにより、各業種の実店舗での販売売上が下がりました。この状況下で成長したのがEC事業です。とくにファッションや化粧品のジャンルは、ECへの進出が劇的に進みました。
新たにEC事業に参入した新店舗は、ECサイトの運営に不慣れで、「まずは立ち上げること」「まずは売上を伸ばすこと」を、目指しているため、不正注文対策が不十分であることが多いといわれています。
この新規店舗を狙って、クレジットカードの不正利用が発生し、被害額の増加の一端を担っているといわれています。

ECサイト運営者は確認すべき、
経済産業省が発表した「クレジットカードの不正利用防止に向けた対策」

上記記載のように、クレジットカード不正利用の被害額は年々増えており、その額は非常に多く、無視できない規模となっております。
これを受けて経済産業省は、クレジットカードの不正利用防止に向けた対策について検討会を開いています。

検討会での報告書は、下記の3つの軸で対策強化に取り組むとまとめられていました。

①カード情報の漏洩防止
②不正利用防止
③犯罪抑止・広報周知

ECサイト運営者は、以下の内容をしっかり把握しておく必要があります。
というのもこの報告書内で、「ECサイトなどのログイン時に一定時間のみ有効な数字列を発行する『ワンタイムパスワード』や、指紋や顔を事前に登録して照合する生体認証を通じてカードの利用者本人であることを確かめる仕組みの導入を義務化する」と明記されているからです。

また、この報告書の後に開催された「クレジットカード番号等不正利用対策の強化検討会」の第3回会合(2022年10月11日)では、『3Dセキュア2.0(EMV 3Dセキュア)の導入を日本国内における全てのEC事業者に義務付ける方針』であるとし、検討会に出席した委員全員がこれに賛同しました。

つまりどういうことかというと、ECサイト運営をしている店舗はすべて、2025年を目途に3Dセキュア2.0(EMV 3Dセキュア)を導入しなくてはいけないということです。導入の時期は2025年を目途ととしているので、多少ズレる可能性はありますが、本人確認の方式としては、具体的に3Dセキュア2.0(EMV 3Dセキュア)の導入が義務付けられたと言えます。

第3回「クレジットカード番号等不正利用対策の強化検討会」で提言された
不正防止義務引き上げに向けたスケジュール案

ECサイト運営で理解しておきたい!
3Dセキュア2.0は3Dセキュア1.0と、どう違うのか?

元々、ECサイト運営の中で「3Dセキュア1.0」を導入していた店舗もあると思います。
3Dセキュア1.0は、クレジットカードの番号やセキュリティコードのほかに、クレジットカード発行時に登録したパスワードを入力することで本人確認を行う方式です。
ただし、パスワードを忘れてしまうこともあるため、かご落ちリスクが発生しやすい方法でした。
この3Dセキュア1.0は、2022年10月より3Dセキュア2.0に移行となり、提供が終了しています。

3Dセキュア2.0になって何が変わったか?

カード発行会社が、怪しいと判断した場合だけ追加認証をとるため、3Dセキュア1.0で懸念されていたかご落ちリスクが減ります。
また、国が推奨しているワンタイムパスワードや生体認証にも対応しています。

ECサイト運営をしていて、3Dセキュア1.0を導入していた店舗は注意!

国が義務化している2025年の3Dセキュア2.0の導入よりも前に、急ぎ切り替え対応が必要になる可能性があります。
というのも、各社クレジットカードブランドとしては、3Dセキュア1.0による本人確認は「終了」しているからです。今までの3Dセキュア1.0の利用のまま、万が一不正利用が発生した場合は、カード会社ブランド側では補填せず、店舗側負担となります。これは、3Dセキュア1.0での本人確認は、本人確認方式として認めていないので本人確認なしの決済という判断になるためです。
3Dセキュア1.0を利用していた店舗は、早めに3Dセキュア2.0への切り替えをした方が良いでしょう。

ECサイト運営者は知っておきたい、3Dセキュアの<3D>とは何か?

ECサイト運営の中で義務化される3Dセキュアについて、あらためて用語をおさらいしておきましょう。
3Dセキュアの3Dとは3社のドメイン(Domain)からきています。

3社とは
・EC事業者などの加盟店
・カード発行会社(ex:楽天カード、イオン銀行、りそなカード)
・3Dセキュア提供元(ex:Visa、マスターカード、アメリカン・エキスプレス、JCB)

セキュアの意味は「安全な、安心な、頑丈な」などの意味があります。
カード利用者の安全性を、3社間で確保していくことを目指したのが「3Dセキュア」です。

まとめ

ECサイト運営をしている上で、必須対応になる3Dセキュア2.0の導入ですが、導入に向けて動き出していますでしょうか?3Dセキュア2.0では、クレジットカード情報に付随する情報(生年月日や氏名など)、ECサイト運営している側で取り扱う情報が増えます。
個人情報保護法に基づいて、サイト内で情報利用の同意を得る必要があります。
また、ECサイト運営のためのセキュリティ対策について厳格な施策を行う必要があります。
セキュリティ対策について、周知することも義務の1つです。

また実際に3Dセキュア2.0の導入については、自社のECサイト運営の状況によって、対応が変わりますので事前に確認しておきましょう。

自社が運営しているECが、モール型の場合は決済サービスとして用意されていることが多いです。
自社でECサイトを構築している場合は、システム開発が必要です。これは、3Dセキュア1.0と3Dセキュア2.0では仕様が異なるからです。つまり、現在3Dセキュア1.0を導入していたとしても、3Dセキュア2.0の導入については別途改修が必要になります。
ASPカートの場合は、契約カートごとに決済代行会社との追加契約やサイト内で必要な修正箇所の情報が提示されていると思いますので、対応を進めていくことになります。

自社のECサイトの状況を確認し、導入に向けて計画を立てていきましょう。

今回は、義務化される3Dセキュア2.0について紹介しましたが、3Dセキュア2.0の導入で100%クレジットカードの不正利用が防げるわけではないため、ECサイト運営の中では、常にクレジットカード決済の安全な利用については意識して取り組み続ける必要があります。
店舗によっては、別の不正検知ツールを導入している場合もあると思います。

お客様にとって利用しやすく、安全な店舗運営を目指していきましょう。
ベイクロスマーケティングでは、ECサイトの運営をサポートしております。何かお困りごとがありましたら、ぜひご相談ください。
運営サポートのお問い合わせはこちら

Written by

売上が上がらない、人手が足りない…EC運営代行歴15年のプロが解決