JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

ECサイトクレジットカード不正対策ソリューション ~ECサイト事業者がチャージバックを発生させないための仕組みとは~

ECサイトクレジットカード不正対策ソリューション ~ECサイト事業者がチャージバックを発生させないための仕組みとは~

訪日外国人観光客の増加や、海外から日本の製品・サービスの利用増加に伴い、海外から日本のECサイトを利用する人が増えています。その背景では、クレジットカードの不正利用の問題がますます深刻化しています。ECサイトを運営する事業者は、この不正利用への対策が遅れると、大きな損害が広がるおそれもあります。ジャパンシステムの「ECサイトクレジットカード不正対策ソリューション」では、不正利用の手口、および対策のポイントを解説するとともに、不正対策におけるサービスをご紹介します。

ECサイトでのクレジットカード不正利用対策に注目が集まる

旅行業界

近年、訪日外国人観光客が増加しています。それを象徴するデータの1つが、国内の延べ宿泊者数における外国人の人数(※1)です。日本人と外国人を合わせた延べ宿泊者数の推移(図1左)は、2012~2016年の5年間で横ばい傾向であるのに対して、外国人延べ宿泊者数は年々増え続け、5年間で2倍以上に伸びています。

また、訪日外国人観光客の推移の実績・予測(※2)(図1右)は、東京オリンピック・パラリンピックを迎える2020年には3600万人強に達し、2014年に比べて3倍近くまで急増することが予測されています。

図1 延べ宿泊者数と訪日外国人観光客推移予測

図1 延べ宿泊者数と訪日外国人観光客推移予測

  • ※1 出典:観光庁 宿泊旅行統計調査
  • ※2 出典:2011年~2015年は日本政府観光局(JNTO)データから引用、2016年~2020年は矢野経済研究所予測値

通販業界

ECサイトの決済手段の中心であるクレジットカード。近年はECサイトでクレジットカードを悪用した詐欺が増加しており、深刻な問題となっています。被害額は2016年から急激増え始め、特に2017年1月~9月の9カ月間ですでに前年超えとなる176.8億円にまで達しており、2年間で倍増しています(※3)。その手口は番号盗用が74%を占めています。

これらの統計は、国内で発行されたクレジットカードのみが対象です。現在は中国における為替交換金額制限などを受け、海外の顧客が日本のECサイトにてクレジットカード決済で購入する消費行動が増えつつあります。海外で発行されたクレジットカードの利用増に伴い、詐欺の被害拡大も懸念されています。

図2 クレジットカード不正使用被害の発生状況

図2 クレジットカード不正使用被害の発生状況

  • ※3 出典:一般社団法人日本クレジット協会資料

ECサイト事業者を狙ったクレジットカード不正利用の手口とは

チャージバックの仕組みを利用した不正が増える

チャージバックとは、消費者(クレジットカード所有者)が不正使用などの理由によって、利用代金の支払いに同意しない場合、クレジットカード会社がECサイト事業者などの販売元に対して売上を取り消し、消費者に返金する仕組みです。本来、消費者を守るためのチャージバックの仕組みですが、不正ユーザによってカード番号を盗用され悪用されると、ECサイト事業者は商品だけが不正ユーザに渡り、売上は取り消され、結果的に損失を被ってしまいます。実際に旅行業界や通信販売業者などで大きな被害を受けた例もあります。

こうした被害を発生させないために、ECサイト事業者には不正ユーザの悪用によるチャージバックを発生させないための対策が求められます。従来のクレジットカードの不正利用防止策である決済時の「与信(オーソリ)」は、あくまでもカード自体の有効性の確認であって、利用者が所有者本人であるか不正ユーザであるかの判別は困難です。そのため、対策には不正利用を見抜くことができる新たな仕組みを備える必要があります。

図3 チャージバックの仕組み

図3 チャージバックの仕組み

お急ぎの方はご連絡ください。さらに詳しい資料をご用意しています

オンラインクレジットカードの不正利用を徹底的に防ぐ対策とは

ECサイトクレジットカード不正対策のプロセス

ジャパンシステムは、ECサイト事業者向けに「ECサイトクレジットカード不正対策ソリューション」を提供しています。図4にあるような5つのプロセスからなるサイクルを回すことで、チャージバックの仕組みを悪用したクレジットカードの不正から守ります。ITテクノロジーと人による考察や検証をバランスよく組み入れることにより、高度な不正判別や不正対策を効率的に実施。さらに、このサイクルによって常に最適化していくため、不正の手口が巧妙化しても追随することができ、継続的にリスクを最小化することができます。その結果、クレジットカードの不正による被害額の削減と対策コストの削減を両立できるようになり、不正対策の投資対効果を最大化することができます。

図4 ECサイトクレジットカード不正対策ソリューションのプロセス

図4 ECサイトクレジットカード不正対策ソリューションのプロセス

レビュープロセス改訂

「レビュー」とは、商品購入や宿泊施設予約などのクレジットカード利用(トランザクション)の内容を精査して、不正利用か正常利用かを切り分ける作業をいいます。サイクルでは最初にレビュープロセス設計として、どのような点に重きを置いて不正を判定するかなど、レビューの方針や方法などを決定します。レビュープロセスは画一的なものではなく、業種や業務などお客様の要望や状況に合わせて設計するため、より現実に則した効果的な不正対策が可能となります。サイクルが一周したら、評価分析の結果を踏まえてレビュープロセスを改訂していきます。

ルールセット改訂

不正対策の原理は、不正が疑わしいクレジットカードの利用を検出し、調査することで不正かどうかを判定します。検出は過去の不正被害の痕跡から機械学習した傾向に基づいて行います。この不正が疑わしいクレジットカード利用の傾向を明確化したものが「ルール」です。ECサイトクレジットカード不正対策ソリューションでは、カード利用の振る舞いに着目し、5種類のルールに沿って多角的な視点で検出します。ルールセット策定では、レビュープロセス設計の結果を踏まえ、各ルールを具体的にどう組み合わせ、どの程度の厳格さや幅で不正を判別するかなどを決めていきます。サイクルの中で、ルールセットも随時改訂しブラッシュアップしていきます。

桁外れに多い購買パターンで検出(Velocity)

クレジットカード利用における数量の不自然な多さから検出するルールです。航空券予約のECサイトなら、同じIPアドレスの端末から、複数会員による予約が短期間に多数実施されたら、疑わしい不正と判断します。さらに、たとえ異なるIPアドレスの端末から複数会員による予約が実施されたとしても、会員登録が行われた端末が同一IPアドレスなら、不正が疑わしいと判断するなど、高度な検出も行います。

図5 桁外れに多い購買パターン(Velocity)

図5 桁外れに多い購買パターン(Velocity)

ありえない行動パターンで検出(Unusual Behavior)

クレジットカードの利用内容が物理的に困難であったり、論理的にありえなかったりする際に検出するルールです。例えば、クレジットカードの発行国や所有者の住所、端末の場所ですべて国籍が異なれば、不正が疑わしいと判断します。他にも、海外から海外への航空券をわざわざ日本のECサイトから購入したり、カード所有者の住所が実際は倉庫になっていてありえない住所であったり、所有者の国籍と使用されたWebブラウザの言語が食い違っていたりするなど、あらゆる視点で検出します。

図6 ありえない行動パターン(Unusual Behavior)

図6 ありえない行動パターン(Unusual Behavior)

優先度の高さで検出(Priority)

不正の頻度が多い場所や商品、および金額の大きさから判断し、優先的に検出するルールです。たとえ同じ内容のクレジットカードの利用であっても、過去に詐欺が多い空港、商品、国での利用なら、不正の疑いはより強いと判断します。また、高額な商品の場合は不正被害も大きくなるため、より厳しい基準で不正の疑いを判断します。

図7 優先度の高さ(Priority)

図7 優先度の高さ(Priority)

チェックポイント(Check Point)

不正被害に直接関わるかは不明ですが、有効な情報かどうかを検証するため、比較的低い疑わしさの条件で検出します。例えば、航空券の予約日からチェックイン日まで24時間未満、クレジットカード名義人がスペースを含まないなどで検出します。検出した情報を分析して今後の検出に活かします。

ブラックリストで検出(Negative List)

過去に詐欺と特定されたクレジットカードの情報をリスト化しておき、それをもとに検出します。自社で発生した不正はもちろん、世界中の同業会社で発生した不正もリストに登録します。あわせて、不正に準ずるカード利用と見なした際の情報も、必要に応じてリストに登録して検出に用います。

レビュー

実際のカード利用に対するレビューを実施します。不正なカード利用と正常なカード利用を適切に判別し、詐欺の被害を最小化するとともに、正常な利用の誤判別よる機会損失も防ぎます。不正が疑わしいパターンのカード利用の中に正常な利用が混じっているケースがあり、機械学習などITによる自動判別だけでは限界があるのが現状です。本ソリューションでは、高度な知見を備えた専門家であるレビュアーを擁し、高精度での判別を実現します。

図8 レビュー

図8 レビュー

レビューの範囲

一人あたりのアナリストが1日にレビューできる量には限りがあります。不正被害と機会損失を防ぎ、かつ、不正対策の費用対効果を高めるには、すべてのクレジットカードの利用履歴の中から、疑わしい利用内容を的確に検出する必要があります。ECサイトクレジットカード不正対策ソリューションでは、配属されたレビュアーがレビュー可能な範囲にルールを調整しています。これにより、限られた人的リソースのなかで、適切なレビューを実現しています。

図9 レビューの範囲

図9 レビューの範囲

レビューの基準

不正の判定は、ルールセットをもとに算出したスコアで行います。例えば、基本的にスコアが5000点以上なら不正、3999点以下なら正常と判別します。その間である4000~4999点の範囲なら、不正が疑わしいクレジットカードの利用と見なしてレビューを実施します。ただし、疑わしいパターンであっても正常な利用であったり(偽陽性)、逆に一見正常でも不正な利用(準不正)であったりケースも生じるため、その範囲外のスコアでも適宜レビューして判定する必要があります。

図10 レビューの基準

図10 レビューの基準

レビューフロー

まず、レビュアーがルールセット合計スコアを確認します(①)。そのスコアをもとにカード事業部と連携しながら、電話連絡などで本人確認やクレジットカード会社への確認によって、不正判定を行い対処していきます(②~⑤)。不正と判定した場合、不正なチャージバックとして、データベースに登録します(⑤)。また、レビュアーからのエスカレーションを受け、レビュアーマネージャーがルールなどを改善してデータベースに反映することで、不正検知率を向上させます。

図11 レビューフロー

図11 レビューフロー

①ルールセット合計スコア確認
1000〜4999、4000〜2500の範囲でスコアリング

②本人確認
過去、不正と疑われるチャージバック情報については、電話確認などで本人確認

③レビュアーとカード事業部の連携
クレジットカード不正利用の確認のため、カード事業チームへエスカレーション

④カード事業部の対応
フォローアップ機能または注釈の内容を確認。クレジットカード会社へ確認を行う

⑤クレジットカード会社への確認後の対応
カード事業部からの回答をもって、キャンセルなどを実施。場合によってはネガティブ情報データベースへチャージバックデータとして登録

⑥レビュアーマネージャーへ報告
一連の対応内容をエスカレーション

⑦レビュアーマネージャー対応
エスカレーション内容をもとに不正検知率の向上を実施する。スコア改善、ルール追加、運用フロー改善、レビュアー人員確保など

レビュー開始・運用

不正の判定は、世界中のECサイト事業者から集められたネガティブ情報データベースをもとに行います。運用開始当初は、不正利用のしきい値(図12では5000点)を超える高いスコアであっても、偽陽性の利用が多く含まれています。そこで、最初の約1カ月間は高いスコアでもレビューを実施します。偽陽性であると判明した顧客はポジティブリストに登録することで、不要なリジェクト(クレジットカード利用の拒否)による機会損失を防ぎます。約1カ月を過ぎてポジティブリストがある程度整ったら、レビュー対象を本来のスコアに戻します。

図12 レビュー開始・運用

図12 レビュー開始・運用

チャージバック

チャージバックが発生したクレジットカード利用(トランザクション)に対しては、ネガティブ情報を登録するだけに留まらず、適切な処置を実施することが重要です。発生したチャージバックを分析して原因や傾向を追及し、必要なレビュープロセスやルールを追加したり、スコアリング方式を変更したりするなど、改善につなげることで、その後の不正なチャージバックを発生させないようにします。また、より有効な分析が行えるよう、不正なチャージバックのデータを適切な形で管理・蓄積する必要もあります。

図13 チャージバック分析

図13 チャージバック分析

ネガティブ情報登録の運用

不正なチャージバックのネガティブ情報の登録も適切に行う必要があります。例えば、航空券予約サイトなら、不正なチャージバックが発生した予約について、メールアドレスとデバイスID、搭乗者氏名、予約者氏名、IPアドレスなどを登録します。以降の予約において一致するデータが複数あれば、不正の未然発見につながるでしょう。このようにネガティブ情報の適切な登録は不正ユーザの締め出しに効果を発揮します。

芋づるリストの作成

不正は芋づる方式でつながるケースが多くあります。宿泊予約サイトなら、過去にチャージバックが発生した予約の宿泊者名やデバイスID、メールアドレスなどのユニークデータが同じである予約が芋づる方式で複数たどることができます。1件のチャージバックから複数の予約につながり、もしそれらの予約でチャージバックの発生割合が高ければ、不正の可能性が高いと判断できます。このような対策を行うための芋づるリストを作成します。

表1 芋づるリストの例

表1 芋づるリストの例

ECサイトクレジットカード不正対策ソリューションの運用管理

チャージバックの結果から考案された新しいルールなどをもとに評価分析を行います。この評価分析では、さらに図14のようなサイクルを回します。「適用」で新しいルールを設定したら「効果測定」でその効果を測定します。次に「不正パターン分析」にて、不正のあったクレジットカード利用から傾向を分析し、「スコアリング新ルール検討」で、分析結果から新たなルールを検討します。そして「新ルールシミュレーション・偽陽性評価」で、偽陽性がどの程度発生するのかを評価します。このようなサイクルを回すことで、さらに細やかで適切な評価分析を実現します。

図14 チャージバック分析

図14 チャージバック分析

このように、ECサイトクレジットカード不正対策ソリューションでは、的確にサイクルを回すことで、不正なチャージバックを減らします。ITテクノロジーと人的リソースをうまく活用することで、クレジットカードの不正による被害額の削 減に加えて、対策コストの削減も実現できるようになり、不正対策の投資対効果を最大化することができます。

ECサイトクレジットカード不正対策ソリューション 関連情報

ジャパンシステムが運用する旅行業不正検知共通プラットフォーム「JIRSTA」にエイチ・アイ・エスが新たに加入しました。

旅行業界、共同で不正利用対策を強化 〜ジャパンシステムが旅行業不正検知共通プラットフォーム「JIRSTA」を運営