チャージバックとはなにか。 3Dセキュア2.0と急増するフレンドリー詐欺 | PCI DSS Ready Cloud

チャージバックとはなにか。 3Dセキュア2.0と急増するフレンドリー詐欺

  • このエントリーをはてなブックマークに追加
ECなどのオンライン事業や、店舗でのクレジットカード決済に対応されている加盟店の方で「チャージバック」という言葉を知らない方はいないはずだ。「支払いの取り消し」という意味だ。

利用者がクレジットカード決済をした場合、加盟店にすぐ現金が振り込まれるわけではない。数日に一度から月に一度などのあらかじめ定められた支払日にまとめて振り込まれる。この時、決済に問題があった支払いに対して、カード会社が振り込みを拒否する=支払いを取り消す。これがチャージバックだ。

加盟店は商品は帰ってこない、支払いは受けられないという二重の打撃を受けることになる。失うのは商品と売上だけではない。チャージバックが生じると、加盟店は調査をしてカード会社に対して反証をしなければならない。このような調査費用がかかる上に、カード会社からはチャージバック手数料を請求される。

国際的な決済セキュリティの非営利団体「MRC」(Merchant Risk Council)の統計によると、アジア太平洋地区のEC事業者で、2022年に全注文の2.9%にチャージバックが発生をし、経費や失われた売上は全売上の4.3%となった。


加盟店からしてみればずいぶんとひどい仕組みのように見えると思うが、チャージバックは本来、悪質な加盟店からカード利用者を保護する仕組みだった。たとえば、店舗で過大請求をされてしまう、ECで商品を発送しないで代金だけ請求する。このような被害に合ったカード利用者がカード会社に異議申し立てをし、カード会社は加盟店への支払いをいったん停止をする。加盟店が反証を行い、最終的にカード会社が支払いをどうするかを判断するというものだ。

つまり、チャージバックが生じる加盟店というのは、悪質な商売をしているか、消費者に対して誠実さが欠ける業者であり、カード会社はカード利用者の立場にとって利用者を保護する。そのため、加盟店に対して厳しい制度になっている。

しかし、このような悪質な加盟店というのは今ではほとんど存在しない。スタッフの手違いにより請求金額を間違えたり、商品の発送が遅れることはあり得るとしても、通常は利用者と加盟店の間での話し合いで解決することが多く、チャージバックにまで至ることはほとんどない。チャージバックは、本来、真面目に商売をしている加盟店にとっては無縁のことだった。

しかし、そうとも言えなくなっている。ひとつはフィッシング詐欺などによるカード番号の流出で、そのような不正なカードをECなどのオンライン加盟店で使われてしまうという問題だ。カードの所有者からしてみれば、覚えのない不正利用をされたことになるので、当然カード会社に異議申し立てをする。カードを使ったのは本人ではなく犯行集団であるため、加盟店の本人確認に落ち度があったとみなされて、チャージバックの対象になってしまう。

このような不正利用に対する対策としては、「3Dセキュア2.0」が有効だ。3Dセキュアは、ECなどでカード情報を入力したのち、カード会社が運営する確認ページに飛び、利用者自身がカードに設定したパスワードを入力させるというもの。パスワードさえしっかり管理してれば、そこで不正利用を防止できる。

しかし、以前の3Dセキュアは加盟店からの評判が非常に悪かった。オンラインショッピングの最中にまったくデザインの異なる3-Dセキュアページに遷移をすることから、多くの利用者がエラーを起こしたのではないか、何か詐欺に巻き込まれたのではないかとかえって不安になり、購入プロセスから離脱をしてしまう。あるいは、カードに設定したパスワードを忘れる、メモを見なければならないという煩わしさからやはり購入プロセスから離脱してしまうという問題があった。

しかし、3Dセキュア2.0ではその点が改良され、リスクベース認証が導入された。これはカードの決済履歴からリスクを判定するというものだ。たとえば、いつも数千円の決済しかしていない人が突然数十万円の決済をしようとしているとか、突然大量の買い物を始めたなどの行動からリスクを判断する。

リスクが低いと判定された利用者はそのまま購入に進むことができるため、パスワード入力などの操作は発生しない。一方、リスクが高いと判定された利用者は、3-Dセキュアページに飛び、パスワードの入力が求められる。全員にパスワードの入力を求めていた以前の3-Dセキュアと異なり、リスクの高い利用者にのみ求めるため、加盟店にとっては離脱率を上げずにセキュリティを確保することができるようになる。

この3Dセキュアを導入するということは、本人確認をしっかりと行なったということになり、チャージバックが発生しても反証の強い材料となり、チャージバック率を下げることにもつながる。

2022年10月、経済産業省が主催をしたクレジットカード番号等不正利用対策の強化検討会」の第3回会合で、3-Dセキュア2.0の導入を国内EC事業者に義務付ける方針が提言され、委員全員が賛成をした。これにより、2025年をめどに国内EC事業者のすべてで3-Dセキュア2.0を導入することが目標となった。


もうひとつチャージバックの原因として今後増えそうなのが「フレンドリー詐欺」だ。米国ではすでに急増をして、欧州でも増え始めているため、日本でも今後増えることを警戒しておく必要がある。

フレンドリー詐欺とは「悪意の薄い詐欺」あるいは「有効的であるはずの消費者が起こす詐欺」といった意味だ。消費者が自分のカードで買い物をし、チャージバックをすることで支払いを逃れようとするものだ。

例えば、利用者が店舗で商品を買ってカード決済をしたが、商品を買ったことを忘れてしまい、「商品を受け取っていない」と主張するケース。悪意はないものの困った状況で、加盟店と利用者の間で水掛け論になりがちだ。利用者は不満に思い、カード会社に支払い拒否の異議申し立てをすることになる。カード会社では、どちらの言い分が正しいのか判定できないため、チャージバックを行い、加盟店に反証の機会を与える。加盟店では、販売記録や防犯カメラの映像などを提出して反証をしなければならなくなる。

さらにやっかいなのが、ECの配送で「置き配」が増えていることだ。宅配ロッカーが整備されている集合住宅などでは配達の記録がきちんと残るが、場合によっては玄関前に置き配をするケースもある。宅配企業では配達直後の写真を撮影し配達記録とするが、利用者から「届いていない」と主張されれば反証のしようがなくなる。その利用者は留守の間に窃盗にあってしまった同情すべき人なのか、あるいは反証ができないことをわかった上で取り込み詐欺を働こうとしているのか、見分けることは非常に難しい。


米国では、次のような6つの要因でフレンドリー詐欺が生じるとされている。

1)返金の遅延
利用者がECで商品を購入したが、商品に問題を感じ、返品をした。しかし、返金の時期が明確に告げられず、なかなか返金がされないため、しびれを切らしてカード会社に連絡を取り、異議申し立てを行った。

2)無料期間をすぎたサブスクリプションサービス
映像や音楽などの月額固定料金サービス=サブスクの多くが、最初の1ヶ月を無料にしている。ある利用者がサブスクの1ヶ月無料にカードを登録して入会したが、そのことを忘れてしまった。数ヶ月後、自動的に有料期間に移行をして引き落としが行われていることを知り、カード会社に連絡をして異議申し立てを行った。

3)返品の案内不足
利用者がECで商品を購入したが、商品に問題を感じ、返品をしようと思った。ところが、返品の仕方の案内がどこに書いてあるのかわかりづらく、とにかく先に代金を返金してもらおうとカード会社に連絡を取り、異議申し立てを行った。

4)返品期間をすぎた返品
ある利用者がECで商品を購入したが、しばらくの間開封もしなかった。その後、開封をしてみると、気に入らない商品であるため、加盟店に連絡を取り、返品を申し出たが、返品期間がすぎているため返品ができないと告げられた。その利用者はすぐに開封をしなかった自分にも落ち度はあるものの、返品期間が短かすぎると腹を立て、カード会社に連絡を取り、異議申し立てを行った。

5)家族による使用
ある利用者が、毎月少額の利用料がカードから引き落とされていることに気がついて、カード会社に異議申し立てをした。カード会社が調査をしてみると、その利用者の息子が父親のカード番号を使って、オンラインゲームに入会をしていたことが発覚をした。家族のカード管理にも問題はあるが、ゲーム運営側のカード本人確認に問題があったとしてチャージバックの対象となった。

6)置き配による商品の行方不明
ある利用者がECで商品を購入したが、配達されていないと主張をして、カード会社に異議申し立てを行った。配達が玄関に置き配をするという方法であったため、盗まれた可能性を否定できず、チャージバックの対象となった。これに味をしめて、オンライン万引きを繰り返す人もいる。


このようなフレンドリー詐欺は3つのレベルに分けられる。

1)チャージバックに対する理解不足
2)チャージバックの乱用
3)意図的な詐欺犯罪

消費者はチャージバックの仕組みについて詳しく知らない。単なる払戻し、返金だと気軽に考えている。先ほどの1、2、3の事例がそれにあたる。加盟店に迷惑をかけようとは思っていないが、気軽にカード会社に連絡をして相談する。カード会社では利用者=会員が「支払いをしたくない」という意思表示をすれば、チャージバックを行うしかない。

また、消費者として立場が強いことを利用して、多少理不尽であるとは感じているものの、なんとかならないかとカード会社に相談をする場合もある。先ほどの4、5の事例がそれにあたる。子どもが父親のカードを勝手に使ってしまうなどというのは家族側の管理の問題も大きいと常識では思えるが、本人確認をきちんとせず、未成年でもカードが利用できる状態にしていたゲーム運営側にも問題があるとして、チャージバックが成立をする例が多い。

しかも、多くの消費者がこのような場合は「保険で充当される」という誤った認識を持っている。これにより、カード会社に多少無理な状況でも相談をする例が多くなっている。

このような消費者保護が手厚いことを利用して、明らかな犯罪に手を染める利用者もいる。多くの場合は、理由をつけて支払いに異議申し立てを行い、商品をフリマサービスなどで売却してしまうというものだ。このような利用者はいずれ警察の捜査の対象となり逮捕に至ることになるが、それまでの間、加盟店は大量のチャージバックに悩まされることになる。

また、加盟店側も、チャージバックが発生した時には、失われる売上と反証のための調査作業を秤にかけ、反証をせずにチャージバックを認めてしまうことが多いことも、利用者の乱用や犯罪を結果的に促してしまう原因のひとつになっている。


このようなフレンドリー詐欺によるチャージバックを減らすには、ECサイトなどの顧客対応のレベルを高めておくが何よりも重要だ。特に、返金、返品、退会といったネガティブなメニューをわかりやすく表示しておくことが重要になっている。フレンドリー詐欺の多くは「返金の仕方がわからない」「返品の仕方がわからない」というところから始まり、カード会社に相談をするようになり、次第に乱用が始まっていくからだ。

チャージバックに関する情報サイト「Chargeback911.com」には面白いツールが公開されている。それはチャージバックの件数と平均単価を設定すると、加盟店がどの程度の損害を被るかをシミュレーションしてくれるツールだ。もちろん、米国の仕組みでの計算となるため参考程度にしかならないが、試されてみることをお勧めする。

ちなみに、月に100件のチャージバック、商品の平均単価が100ドルだと設定すると、商品代金は年間で100ドル×100件×12ヶ月=12万ドルになるはずだが、このツールによるとチャージバック費用やネットワーク管理費用、配送費用などが加わり、損失は年間で26万400ドルと2倍以上になる。素直に返品、返金に応じた方が利益率を上げられる。

店舗運営、ECサイト運営も「売上、会員数」の考え方から、「投資効率、利益率」の考え方に頭を切り替えなければならなくなっている。(執筆:牧野 武文氏)



図1:地域別の2022年のチャージバック件数の割合とそれに伴う収入の売上高に占める割合。アジア太平洋地区は、チャージバック件数は2.9%と世界平均よりも少ないが、それによる損失は売上の4.3%と高くなっている。
「Global payments & Fraud Report 2022」(MRC)より作成。


図2:EMV Co.による3-Dセキュアの解説ページ。カード会社のウェブでも同様の解説ページを用意している。そちらの方が日本語情報であるため読みやすいかもしれない。https://www.emvco.com/emv-technologies/3-d-secure/


図3:2022年に攻撃を受けた経験がある加盟店の割合(世界)。よく知られているフィッシング詐欺などもあいかわらず高いが、フレンドリー詐欺が上昇をしてきている。
「Global payments & Fraud Report 2022」(MRC)より作成。


図4:地域別に見たクレジットカード関係の詐欺件数の順位。北米、欧州でフレンドリー詐欺が上昇をしてきている。
「Global payments & Fraud Report 2022」(MRC)より作成。


図5:Chargback911.comにあるチャージバックによる被害算定のツール。あくまでも北米での基準だが、参考にはなる。1ヶ月に100件のチャージバックがあり、平均単価が100ドルだとすると、年間での損失額は26.04万ドルにもなってしまう。
https://chargebacks911.com/

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加