クレカ「不正利用」 被害を負担しているのは誰?
クレジットカードの不正利用は増加傾向が続いています。2022年は2021年を上回る勢いで被害額が増えている中、その対策として新たな技術の導入が進んでいます。
カード不正利用、負担は「加盟店」?
カードの不正利用について、8月25日にはサイバーセキュリティクラウド、9月1日にはセーファーインターネット協会が説明会を開き、最新の状況が明らかになりました。
日本クレジット協会によれば、不正利用の被害額は2021年に330億円に達しています。カードの偽造は減る一方、情報漏洩やフィッシング詐欺などで盗まれたカード番号を用いた非対面決済が、いまでは94%を占めているといいます。
ところで、不正利用の被害は誰が負担しているのでしょうか。これは「カード会社との契約に基づいて、加盟店が負担する」(三菱UFJニコス 加盟店管理部 次長の吉岡徳氏)としています。
カードの不正利用が明らかになると、その売上は取り消され、カード所有者に返金する「チャージバック」が発生します。この仕組みがあるので消費者は安心してカードを持てるわけです。
一方、加盟店にとっては売上に対する入金がなくなり、すでに商品を発送していれば損害を被ります。こうした場合に備えたチャージバック保険などはあるものの、加盟店にとっては理不尽な話です。
この対策として重要なのが、カード利用時の本人認証「3Dセキュア」です。これを導入しておけば、「加盟店側は国際ブランドが求める対策をしていることになり、不正利用時にはカード発行会社側(イシュアー)の負担になる」(吉岡氏)といいます。
なお、Eコマース事業者を対象に、かっこ株式会社が2021年12月に実施した調査では、不正利用を誰が負担するのか3社に1社は「知らない」、4割は不正利用の「対策をしていない」と回答しています。
ほかにも加盟店のリスクとして、不正利用の増加による決済の停止や契約解除、カード承認率の低下による売上減少、風評被害が挙げられており、対策は必須といえそうです。
メルカリの不正利用は「10分の1」に
3Dセキュアの導入が進むことで、追加のパスワード入力を求められる機会は増えています。問題は、このパスワードを忘れる人が多いという点です。
ここで買い物をあきらめる「カゴ落ち」が増えると、売上の減少につながります。そうなると、あえて対策を入れず、多少の不正利用は我慢する事業者も出てきます。
最新の3Dセキュア2.0(EMV 3-Dセキュア)ではここが改善されており、さまざまな条件を考慮し、必要な場合のみパスワード入力を求める「リスクベース認証」が採用されています。
そのパスワードも、その都度SMSなどでワンタイムパスワードとして送られてくるため、忘れることがありません。また、ブラウザだけでなくアプリからの決済にも対応しています。
2022年10月からは、不正利用時の売上補償を受けるには3Dセキュア2.0への移行が必要になることから、最近では事業者が続々と対応を進めているようです。
この3Dセキュア2.0を導入した事業者の1つが、カードの不正利用で大きな被害を被っていたメルカリです。
2月にメルカリは3Dセキュア2.0を導入。その結果、カゴ落ちの影響は小さくとどめながら、不正利用額は2021年12月と比べて約10分の1に減ったとしています。
2月以降に不正利用が増えた月もありますが、これはあえて旧バージョンのアプリを使ったり、3Dセキュア非対応のカードを使ったりと、3Dセキュア2.0を嫌って他の経路に逃れる動きによるものといいます。
3Dセキュアのサービス名は国際ブランドによって異なり、Visaの場合は「Visa Secure」、Mastercardなら「Mastercard ID Check」、JCBでは「J/Secure」、アメリカン・エキスプレスは「American Express SafeKey」という名前で提供されています。
国内でも多くのカード会社が対応しています。これまで気にしたことがなかった人は、手持ちのカードやよく使うショッピングサイトが対応しているか、確認してみるとよいでしょう。