不正注文検知サービスの重要性とキャッシュレス決済の未来 - {R}FraudDetector

キャッシュレス決済

クレジットカード不正利用

不正注文検知

{R}FraudDetector

対策

不正注文防止

チャージバック

セキュリティ対策

本日は現在進めているプロジェクトの一つである、
不正注文検知サービスに関するメモ記事となります。

「キャッシュレス決済比率は40%超え」、という記事を最近見かけました。そしてそれとほぼ同時に、「この10年でカード不正利用被害額が5倍になった」、という記事を読みました。この２つの因果関係は明確で、何かしら手を打てるのではないか、ということで急に始まった次第です。

クレジットーカードは誰でも持っている！？

JCBの調査によると、日本人のクレジットカード保有率は87％、コード決済は78%、電子マネーは78%、デビッドカードは29％と、なにかしらのキャッシュレスを持っている人は、94%と言われています。

また平均でクレジットカードを2.8枚保有し、そのうち2枚は携帯しているという回答からも、複数枚クレジットカードをもっているのが一般的のようです。

なので答えは、はい。ほぼ誰でもがクレジットカードを持っているようです。

キャッシュレス決済比率ってどこまで伸びるの？

同じ調査にて60%の人が、1年前よりもキャッシュレス利用回数が増えたと回答されています。
政府が発表した、キャッシュレス決済利用率約40%という資料から計算すると、2035年には目標としている80%となる見込みです。

クレジットカードの不正利用被害額540億円は多いのか？クレジットカードという、便利な支払いのコストとは

クレジットカード決済は、お客様にとっても事業者にとっても便利な手段ですが、不正利用のリスクもあります。そのリスクとはどんなものなのかみてみましょう。

クレジットカード不正利用の被害額は、2023年度で540億円となり、約10年前の2014年度の113億円の約5倍に増えています。同じ年の「オレオレ詐欺」などの特殊詐欺被害額が441億円と言われていますので、それを超える詐欺被害額になります。

ちなみにアメリカでは、クレジットカード不正利用の被害額は126億ドルと言われています。1ドル150円で計算すると、1兆8900億円相当になります。また、世界での被害総額は343.6億ドルとされており、同じく1ドル150円で計算すると、約5兆1540億円になります。同じ時期にクレジットカードで決済された金額は40.645兆ドルとされていますので、クレジットカード不正利用被害総額の343.6億ドルは全体の約0.0085%と小さい割合です。

2023年、日本でのクレジットカード決済金額は約110兆円と言われていますので、被害額の540億円は約0.049%となり、世界全体と比較して高い割合です。

本当はもっとあるのでは？

そして別の調査では大半の方（57%）が、どうしてクレジットカードを不正利用されたのかわからないと回答しています。同じく不正にあったと回答された方の54.2%の方がそもそも不正利用に気付かず、カード会社からの連絡で発覚した、と回答しています。　

また別の設問では24%の人が、カード利用明細を見て確認した時に、不正利用に気づいたとなっています。ということは、被害報告されていない実際の被害額は、相当多いものであると推測できます。

被害の区分は？テクノロジーの進化で手口も変わってきている

10年前の被害区分は、偽造クレジットカードでの被害が17.1%、番号盗用での被害が58.6%でしたが、
最近ではチップ入りのクレジットカードが主流となったためか、偽造カードは3.1%に下がっています。そしてインターネット上での決済が広がったためか、現在では全体の93.3%が、クレジットカード番号盗用での被害となっています。

クレジットカード不正利用は海外のサイトで多発している、という想像を持ちがちですが、盗用番号の被害の国内・国外比率は、国内74%・海外26%と、国内での被害が圧倒的です。

そもそも、なぜクレジットカードは不正利用されてしまうのか？

そもそもクレジットカード情報を盗む人たちは、盗んだクレジットカード番号を使い、何故買い物をするのでしょうか。その特定の商品がほしいからとは考えにくく、転売が目的ではないかと思われます。実際にクレジットカードを不正利用している人たちにインタビューしたわけではないので、ここから先の話は完全に憶測の世界となりますので、予めご了承ください。

いわゆる商品の現金化が目的になります。ですので新品で二次流通サイトなどに掲載されているものは、もしかしたら盗難品かもしれません。そういう意味で二次流通時に電子レシートが必須となるのは、これらをストップする有効な方法だと、強く個人的には信じています。クレジットカード番号を盗んでも、現金化できないのでは意味がなくなるので、自然とそのようなケースが減っていくと思われます。これに関しては近い将来プロジェクトにしていきます。

誰が被害額を払うのか？

あなたのクレジットカードが不正利用されても、カード会社に報告することで、不正額を高い確率で取り戻すことができます。その場合カード会社は店舗に対して、不正利用されたことを通知し、払戻すようにリクエストします。その際に通常店舗はそのリクエストに応じて、払戻すこととなります。店舗側は不服を申し立てることなどもできますが、申し立て回数が多いと手数料が上がったり、取引停止となってしまうため通常は払戻す事となります。

不正注文を検知する

ここで今弊社で開発している、クレジットカード不正利用対策用のプログラム、 {R}FRAUD DETECTORの中身を簡単にご紹介します

不正クレジットカード利用を検知し注文できなくするのは、カード会社のセキュリティー問題であり、3Dセキュアを導入するなどで防げる部分が多くあります。ですのでレシートローラーでは、どうのように不正利用されても、例えばオーソリが取れた後でも不正注文と検知し、商品を発送せず注文を取り消せるかをポイントとしています。店舗としては既に在庫から差し引いたため、販売機会損失にはなるかもしれませんが、そのまま進むと商品を発送し、さらにチャージバックに対応することとなるため、この損失は避ける必要があります。

アメリカでは決済会社から、住所確認をとる方法があります（日本にはありません）。　AVSと呼ばれる、住所確認コードとなります。これはカード会社に登録されている住所と、一致しているかどうかで確認します。一致してもしていなくても、クレジットカード決済はできてしまいますので、これを確認するのかどうかは、店舗側の判断となります。例えばVISAカードの場合は、A-Zまで下記のように戻ってきます。

A (Address): ストリートアドレスは一致しますが、郵便番号が一致しません。
Z (ZIP): 郵便番号は一致しますが、ストリートアドレスが一致しません。
N (No Match): ストリートアドレスも、郵便番号も一致しません。
Y (Yes): ストリートアドレスと、郵便番号の両方が一致します。
R (Retry): システム障害のため、AVSサービスを再試行してください。
S (Service not supported): 発行者が、AVSをサポートしていません。
U (Unavailable): 住所情報が、発行者から利用できません。
W (Whole ZIP): 9桁の郵便番号は一致しますが、ストリートアドレスが一致しません。
X (Exact match): ストリートアドレスと、9桁の郵便番号の両方が一致します。
G (Global Unavailable): アメリカ以外のカード発行者が、AVSをサポートしていません。

こんな風に識別コードが戻ってくると、不正注文も検知しやすくなります。

ということで下記の指標を確認し、スコアリングしていきます。実際のスコアリング、分析方法やデータの保持方法などは、企業秘密となるので詳しく触れませんが、何を確認しているかは、ここでご紹介いたします。