オンラインショップは、何が大変なのか?⑥ カード詐欺
(U.S. FrontLine誌 2012年11月5日号 掲載分)
前回、数年前よりカード会社が提唱するPCI DDSという 世界的なセキュリティ基準にショップが準拠していなけれ ばならなくなったこと、そしてその基準は年々厳しくなる 一方で、日本語圏の仕事がメインの業者にショップ構築を 依頼する場合、PCI DDSコンプライアンス(準拠)におけ る知識や経験がない場合が多々あり、特に注意が必要であ ることをお話ししました。今回はカード決済機能を実装し てからの話です。
割を食うのはショップ側だけ
まず消費者は、自分のカードを他人に使用されているなど、 カード詐欺に遭っていることにさえ気付けば、大抵の場合、カ ード会社に要求して、失った金額を取り戻すことができます。
ところが、ショップが既に商品を発送してしまった後で、 カード詐欺による注文だったと発覚した場合、カードの持 ち主は前述のチャージバックにより、損失を回収できます が、ショップは商品や送料を失った上、カード会社からチ ャージバックを受け、入金を全額引き上げられてしまう上、 そのプロセス費用まで要求されます。
また実質的な金銭面以外にも、詐欺へ対応するスタッフの 人件費もロスしていることになります。更にカード詐欺が 多発すると、カード会社への手数料のレートも上げられて しまう可能性があり、正に踏んだり蹴ったりです。
ちなみに昨年のアメリカ及びカナダのオンラインショップ では、詐欺による損失は34億ドルにのぼりました。大体売 上の1%から2%は、詐欺で失うと覚悟しておいた方がよい でしょう。勿論それ以上の損失を抑えるための手立ては考 えるべきです。
カード詐欺の防衛策
前述のとおり、ショップ運営者にとってカード詐欺は、断 固阻止せねばならないテーマであることは、お分かり頂け たと思います。勿論、詐欺防止のために、ショップ側も色 んな制御を設けることは可能です。
例えばAVS(Address Verification System)という住所 認証システムはご存知の方も多いかと思います。カードに 登録されている請求先住所と、注文画面で入力する請求住 所とでマッチングを行うもので、盗難されたカードかどう かを見分けるのに有効な場合があります。
ただ設定を厳しくし過ぎると、正規ユーザーでも、PCや オンラインでの注文に慣れていない等で、入力した情報が 微妙に違うことではじかれてしまい、結果注文を逃してし まうこともあり、完全制御するのはZIPコードのマッチング にとどめているショップも多いのです。
では更に何ができるか? アルゴリズムもしくは設定によ り、色んなフラグを立てる有料サービスが存在します。勿 論有料でなくとも、例えば運用上で、
A)送り先と請求先が違う
B)普段あまり出ない個数、商品の組み合わせ、金額の注文
C)早く届く発送方法を指定
これらいずれか2つ以上の条件が合致した注文には社内的 にフラグを立て、詐欺でないかの確認プロセスを入れると いうルールを強いても良いわけです。 勿論色んな例外もありますが、詐欺の傾向としては、盗難 したカードで買い物したものを、後で売り捌 いて換金しよ うとするケースが多く、できるだけ早くバレる前に、大量 (大金)の商品を獲得しようとするので、これだけでもある 程度は把握できます。
また誰でもできる確認方法として、例えば電話帳などで請 求先を元に人物調査した上で、電話で本人確認を行ったり、 請求先住所と注文を入れた際のIPアドレス(から分かる地域) とのマッチングを行ったりするだけでも、かなりの精度で 詐欺注文を防ぐことは可能です。勿論こういった確認プロ セスを有料サービスに委ねることもできます。
ショップ側のジレンマ
仮に詐欺と判明していれば、送り先の受取人が簡単に捕ま るのでは? と疑問に思われた方もいるでしょう。実際我 が社も詐欺に遭い、スタッフが警察へ通報したこともある と言っていました。ただ警察曰く、送り先住所には、長期 不在と分かった他人の住所や、犯人の知人宅が使われてい るケースが多く、それだけで受取人自身を犯人とは断定で きないそうです。
また管轄も被害のあったショップの地域になるので、送り 先が州外の場合、FBIの管轄になります。その場合、金額的 に最低2万ドル以上のケースでなければFBIは動かないとの ことです。
過去に、海外配送専門の物流センターを送り先に指定され ていたケースもあったそうです。勿論バレバレなので、未 然に詐欺を把握して被害は回避したらしいのですが、そん な分かり易いケースでも、やはり警察もFBIも動いてはくれ ないのです。
前回、数年前よりカード会社が提唱するPCI DDSという 世界的なセキュリティ基準にショップが準拠していなけれ ばならなくなったこと、そしてその基準は年々厳しくなる 一方で、日本語圏の仕事がメインの業者にショップ構築を 依頼する場合、PCI DDSコンプライアンス(準拠)におけ る知識や経験がない場合が多々あり、特に注意が必要であ ることをお話ししました。今回はカード決済機能を実装し てからの話です。
割を食うのはショップ側だけ
まず消費者は、自分のカードを他人に使用されているなど、 カード詐欺に遭っていることにさえ気付けば、大抵の場合、カ ード会社に要求して、失った金額を取り戻すことができます。
ところが、ショップが既に商品を発送してしまった後で、 カード詐欺による注文だったと発覚した場合、カードの持 ち主は前述のチャージバックにより、損失を回収できます が、ショップは商品や送料を失った上、カード会社からチ ャージバックを受け、入金を全額引き上げられてしまう上、 そのプロセス費用まで要求されます。
また実質的な金銭面以外にも、詐欺へ対応するスタッフの 人件費もロスしていることになります。更にカード詐欺が 多発すると、カード会社への手数料のレートも上げられて しまう可能性があり、正に踏んだり蹴ったりです。
ちなみに昨年のアメリカ及びカナダのオンラインショップ では、詐欺による損失は34億ドルにのぼりました。大体売 上の1%から2%は、詐欺で失うと覚悟しておいた方がよい でしょう。勿論それ以上の損失を抑えるための手立ては考 えるべきです。
カード詐欺の防衛策
前述のとおり、ショップ運営者にとってカード詐欺は、断 固阻止せねばならないテーマであることは、お分かり頂け たと思います。勿論、詐欺防止のために、ショップ側も色 んな制御を設けることは可能です。
例えばAVS(Address Verification System)という住所 認証システムはご存知の方も多いかと思います。カードに 登録されている請求先住所と、注文画面で入力する請求住 所とでマッチングを行うもので、盗難されたカードかどう かを見分けるのに有効な場合があります。
ただ設定を厳しくし過ぎると、正規ユーザーでも、PCや オンラインでの注文に慣れていない等で、入力した情報が 微妙に違うことではじかれてしまい、結果注文を逃してし まうこともあり、完全制御するのはZIPコードのマッチング にとどめているショップも多いのです。
では更に何ができるか? アルゴリズムもしくは設定によ り、色んなフラグを立てる有料サービスが存在します。勿 論有料でなくとも、例えば運用上で、
A)送り先と請求先が違う
B)普段あまり出ない個数、商品の組み合わせ、金額の注文
C)早く届く発送方法を指定
これらいずれか2つ以上の条件が合致した注文には社内的 にフラグを立て、詐欺でないかの確認プロセスを入れると いうルールを強いても良いわけです。 勿論色んな例外もありますが、詐欺の傾向としては、盗難 したカードで買い物したものを、後で売り捌 いて換金しよ うとするケースが多く、できるだけ早くバレる前に、大量 (大金)の商品を獲得しようとするので、これだけでもある 程度は把握できます。
また誰でもできる確認方法として、例えば電話帳などで請 求先を元に人物調査した上で、電話で本人確認を行ったり、 請求先住所と注文を入れた際のIPアドレス(から分かる地域) とのマッチングを行ったりするだけでも、かなりの精度で 詐欺注文を防ぐことは可能です。勿論こういった確認プロ セスを有料サービスに委ねることもできます。
ショップ側のジレンマ
仮に詐欺と判明していれば、送り先の受取人が簡単に捕ま るのでは? と疑問に思われた方もいるでしょう。実際我 が社も詐欺に遭い、スタッフが警察へ通報したこともある と言っていました。ただ警察曰く、送り先住所には、長期 不在と分かった他人の住所や、犯人の知人宅が使われてい るケースが多く、それだけで受取人自身を犯人とは断定で きないそうです。
また管轄も被害のあったショップの地域になるので、送り 先が州外の場合、FBIの管轄になります。その場合、金額的 に最低2万ドル以上のケースでなければFBIは動かないとの ことです。
過去に、海外配送専門の物流センターを送り先に指定され ていたケースもあったそうです。勿論バレバレなので、未 然に詐欺を把握して被害は回避したらしいのですが、そん な分かり易いケースでも、やはり警察もFBIも動いてはくれ ないのです。
