2015年1月30日金曜日

オンラインショップは、何が大変なのか?⑥ カード詐欺

(U.S. FrontLine誌 2012年11月5日号 掲載分)

前回、数年前よりカード会社が提唱するPCI DDSという 世界的なセキュリティ基準にショップが準拠していなけれ ばならなくなったこと、そしてその基準は年々厳しくなる 一方で、日本語圏の仕事がメインの業者にショップ構築を 依頼する場合、PCI DDSコンプライアンス(準拠)におけ る知識や経験がない場合が多々あり、特に注意が必要であ ることをお話ししました。今回はカード決済機能を実装し てからの話です。

割を食うのはショップ側だけ

まず消費者は、自分のカードを他人に使用されているなど、 カード詐欺に遭っていることにさえ気付けば、大抵の場合、カ ード会社に要求して、失った金額を取り戻すことができます。

ところが、ショップが既に商品を発送してしまった後で、 カード詐欺による注文だったと発覚した場合、カードの持 ち主は前述のチャージバックにより、損失を回収できます が、ショップは商品や送料を失った上、カード会社からチ ャージバックを受け、入金を全額引き上げられてしまう上、 そのプロセス費用まで要求されます。

また実質的な金銭面以外にも、詐欺へ対応するスタッフの 人件費もロスしていることになります。更にカード詐欺が 多発すると、カード会社への手数料のレートも上げられて しまう可能性があり、正に踏んだり蹴ったりです。

ちなみに昨年のアメリカ及びカナダのオンラインショップ では、詐欺による損失は34億ドルにのぼりました。大体売 上の1%から2%は、詐欺で失うと覚悟しておいた方がよい でしょう。勿論それ以上の損失を抑えるための手立ては考 えるべきです。

カード詐欺の防衛策

前述のとおり、ショップ運営者にとってカード詐欺は、断 固阻止せねばならないテーマであることは、お分かり頂け たと思います。勿論、詐欺防止のために、ショップ側も色 んな制御を設けることは可能です。

例えばAVS(Address Verification System)という住所 認証システムはご存知の方も多いかと思います。カードに 登録されている請求先住所と、注文画面で入力する請求住 所とでマッチングを行うもので、盗難されたカードかどう かを見分けるのに有効な場合があります。

ただ設定を厳しくし過ぎると、正規ユーザーでも、PCや オンラインでの注文に慣れていない等で、入力した情報が 微妙に違うことではじかれてしまい、結果注文を逃してし まうこともあり、完全制御するのはZIPコードのマッチング にとどめているショップも多いのです。

では更に何ができるか? アルゴリズムもしくは設定によ り、色んなフラグを立てる有料サービスが存在します。勿 論有料でなくとも、例えば運用上で、
A)送り先と請求先が違う
B)普段あまり出ない個数、商品の組み合わせ、金額の注文
C)早く届く発送方法を指定
これらいずれか2つ以上の条件が合致した注文には社内的 にフラグを立て、詐欺でないかの確認プロセスを入れると いうルールを強いても良いわけです。 勿論色んな例外もありますが、詐欺の傾向としては、盗難 したカードで買い物したものを、後で売り捌 いて換金しよ うとするケースが多く、できるだけ早くバレる前に、大量 (大金)の商品を獲得しようとするので、これだけでもある 程度は把握できます。

また誰でもできる確認方法として、例えば電話帳などで請 求先を元に人物調査した上で、電話で本人確認を行ったり、 請求先住所と注文を入れた際のIPアドレス(から分かる地域) とのマッチングを行ったりするだけでも、かなりの精度で 詐欺注文を防ぐことは可能です。勿論こういった確認プロ セスを有料サービスに委ねることもできます。

ショップ側のジレンマ

仮に詐欺と判明していれば、送り先の受取人が簡単に捕ま るのでは? と疑問に思われた方もいるでしょう。実際我 が社も詐欺に遭い、スタッフが警察へ通報したこともある と言っていました。ただ警察曰く、送り先住所には、長期 不在と分かった他人の住所や、犯人の知人宅が使われてい るケースが多く、それだけで受取人自身を犯人とは断定で きないそうです。

また管轄も被害のあったショップの地域になるので、送り 先が州外の場合、FBIの管轄になります。その場合、金額的 に最低2万ドル以上のケースでなければFBIは動かないとの ことです。

過去に、海外配送専門の物流センターを送り先に指定され ていたケースもあったそうです。勿論バレバレなので、未 然に詐欺を把握して被害は回避したらしいのですが、そん な分かり易いケースでも、やはり警察もFBIも動いてはくれ ないのです。

2015年1月7日水曜日

オンラインショップは、何が大変なのか?⑤ PCI準拠

(U.S. FrontLine誌 2012年10月20日号 掲載分)

前回、SEOライティングは、制約や項目数がとても多く て、頭と時間をかなり使う作業であること、大量データの 登録作業では、作業効率向上のために、一覧画面上で一括 入力・編集をしたくなるかもしれないが、Webの技術的・ コスト的な問題で、一般的なパッケージソフトでは、なか なかそういった画面構成にはなっておらず、1レコードの単 票形式による入力・編集画面が一般的であり、我が社のよ うに完全カスタムのシステムを持っていなければ、そうい ったものはなかなかないことをお話ししました。今回はシ ョップがカード決済を実装する上での話です。

PCIコンプライアンスとは?

VISAやMASTER CARDといったカード会社が、世界的な セキュリティ基準として、PCI DSS(Payment Card Industry Data Security Standard=PCI準拠)というものを 提唱するようになったのは、今から5〜6年前のことです。 世の中的に個人機密情報の漏洩やハッキングなどが取り沙 汰され、その防御策として、カード決済など機密情報を取 り扱っているサイトや実店舗などで、このPCI DSSを満た していることを義務付けるようになったのです。ちなみに このPCI DSSの内容は、年々厳しくなってきています。

カード決済を実装するには

オンラインショップや実店舗が、カード決済を行うために 必要な基本的仕組みを、念のためご説明しておきます。通 常はカード決済代行会社と契約をし、マーチャントアカウ ント(銀行口座のようなもの)を取得します。直接VISAや MASTER CARDといったカード会社と個別に契約できなく もないのでしょうが、決済代行会社がそういった複数のカ ード会社とすでに契約しているので、中間マージンは取ら れるにしても、ショップ側としては一元管理ができる上、 色んなメリットが得られます。

ちなみにオンラインショップの場合、オンライン決済専用 のマーチャントアカウントを取得する必要があります。さ らに、Authorize.netなどに代表されるPayment Gateway と呼ばれる、ショップと決済代行会社とをつなぐ仕組みも 別途必要になります。なお、どこのPayment Gatewayが使 えるのかは、決済代行会社により異なります。 前述のPCIコンプライアンス(準拠)を要求しているのは カード会社ですが、その直接の要求相手は決済代行会社に なります。ただ決済代行会社もそれを受けて、ショップに 対してサービスを提供するために、PCIコンプライアンスを 要求しなければならなくなった、ということです。

ですから特に厳しくなった近年では、マーチャントアカウ ント取得申請時の審査だけでなく、取得後も毎月、決済代 行会社からソフトウェアのスキャンなどで、ショップや環 境がPCIコンプライアンスしているかを審査されるようにな ってきています。以前はルーズな決済代行会社は、こうい った審査が甘かったのですが、近年のアメリカでは、どこ でも必須になってきたようです。>

PCIコンプライアンスでないとどうなる?

ただ、例えば日本はまだ遅れており、そういった審査もな く、PCIコンプライアンスでないショップが、実はいまだに 山のようにあります。ですから日本の業者さんは、PCIコン プライアンスの存在すら、知らないというのも珍しくはあ りません。またアメリカの日系業者さんでも、ほとんど日 本語圏の仕事しかされていないと、やはり知識も経験もな く、そういう業者さんがアメリカのショップ開設に携わっ ている場合、注意が必要です。

もしもPCIコンプライアンスでないとみなされた場合、期限 内に改善を求められ、それをクリアできなければ、高い罰 則金を課金され続けるか、最悪はサービスを停止されます。 勿論それらの責任はショップ側にすべて掛かってきます。 本当に細かい規定まであるのですが、勿論内容的に妥当な ものばかりです。ファイヤウォールやアンチウィルスソフ トを実装しろとか、常に最新のパッチを適用せよとか、通 信は暗号化して行えとか、データは暗号化して保管せよな ど、当然のことがかなり含まれています。

ただそれこそ決済代行会社が要求されているようなPCIを 実現するには、単純にハード的なコストだけでもかなりな ものになります。

ショップ側への要求は多少緩いのですが、それでもメール サーバーのあるバージョンのパッチを適用した際、こうい う設定になっていなければNGのような細かい話も入ってき ます。また同じサーバー内で主要機能を複数持たせている のもNGで、例えばウェブサーバー内で、データベースやメ ールサーバーを兼用してはダメ、というシンプルながら、 おそらく多くの日系IT業者さんが知れば、冷や汗をかきそう な要件もあるのです。