EN

NRIセキュア ブログ

MRC Vegas 2024 参加レポート【後編】加盟店における不正利用対策の動向

目次

    MRC Vegas 2024 参加レポート|加盟店における不正利用対策の動向(後編)

    世界各国の加盟店が中心となって設立されたMerchant Risk Council(以下、MRC)の主催イベントであるMRC Vegas 2024が、2024年3/25(月)~3/28(木)の4日間、米ラスベガスにて開催されました。NRIセキュアは今回初めての参加であり、2名体制でセッション参加やブース視察等を行いました。

     

    本稿ではイベントの様子とともに、現地での情報収集を通じて見えてきたカード決済をはじめとした決済全般に関わる不正利用対策のグローバルな動向と、それらを踏まえた日本国内における加盟店の不正利用対策に関する考察について、前編・後編の2回に分けてお伝えします。

     

    前編はこちら

     

    参加セッションレポート②Issuer/Merchant Collaboration to Improve Chargeback Defense Evidence Documents and Detect True Fraud

    近年、欧米の決済市場ではチャージバックによる不正利用の問題が深刻化しています。本セッションでは、J.P. Morgan Chase(米国最大のイシュア)と加盟店として大量の決済取引を扱うGoogleによるコラボレーションの事例を基に、加盟店とイシュアの協力による証拠書類の改善、チャージバック処理の効率化、およびフレンドリー詐欺[1]を識別するための革新的な取り組みについて発表されていました。

     

    チャージバック問題は、決済エコシステムを構成するステークホルダに影響を及ぼしていますが、特にイシュアと加盟店が抱えている課題は深刻です。Javelin Strategy & Research社の調査[2]によると、イシュアはカードユーザからの膨大な数の異議申立て処理に追われており、約76%のカードユーザは加盟店経由での連絡ではなく、イシュアに直接連絡しています。また、米国連邦準備制度理事会(FRB)の調査[3]では、詐欺取引による損失の33.5%をイシュアが負担していることが明らかになりました。

     

    現行のプロセスでは、イシュアは購入明細、デバイス、ユーザデータ等の情報に直接アクセスできないため、詐欺の検出が困難であり、異議申し立ての検証プロセスが複雑化しています。また、イシュアには規制を遵守する義務があり、コンプライアンスコストや運営上の制約が発生します。したがって、証拠のレビューにかかる時間とコストなど、業務上の負担が大きいのが現状です。

     

    一方、加盟店も同様に厳しい状況に置かれています。同じFRBの調査によれば、詐欺取引による損失の47%を加盟店が負担しているという結果が報告されています。後述の紛争管理プロセスにおいて、加盟店がアクワイアラー経由でイシュアに証拠書類を提出する際に、カードブランド等から課される高額な手数料の支払いや証拠提供に必要な情報収集の負荷が大きいことが課題となっています。加えて、加盟店はカードブランドの紛争・チャージバックと詐欺監視プログラムを遵守する義務があるため、チャージバックが頻繁に発生してしまうと、カードブランドからの制裁[4]や罰金が科されるリスクがあります。

     

    これらの課題に対処するためには、イシュアと加盟店が緊密に連携し、情報共有や共同の詐欺対策システムの構築を進めることで、紛争管理プロセスの効率化とチャージバック問題を改善することが重要であると推察されます。以下の図は、紛争[5]管理プロセスを簡単に説明したものです。なお、アクワイアラーやプロセッサー等は重要な情報仲介として機能しますが、本図では主要な紛争処理フローに焦点を当てるため省略しています。

    紛争管理プロセス紛争管理プロセス

    カード取引における紛争管理プロセスは、主に「異議申立て前(Pre-dispute)」と「異議申立て後(Post-dispute)~事前仲裁(Pre-arbitration)」の2段階に分けられます。

    異議申立て前(Pre-dispute)段階

    ①カードユーザによる異議申し立て

    カードユーザがイシュアに対して取引の異議を申し立てることから紛争プロセスが始まります。

    ②イシュアによる初期調査

    イシュアはカードブランドに取引データを要求し、カードユーザからの情報を元に、取引が正当かどうかを確認します。(例えば、カードユーザが取引内容を誤って認識していた場合、ここで問題が解決されることがあります。)

    ③イシュアによるチャージバックの有効性判断

    イシュアは、調査結果に基づいてチャージバックが有効かどうかを判断します。

    異議申立て後(Post-dispute)~事前仲裁(Pre-arbitration)段階

    ④イシュアによるチャージバックの発行

    イシュアが異議申し立てを有効と判断した場合、正式にチャージバックを発行してカードブランドに転送します。チャージバックが発行されると、カードユーザの口座に該当する金額が返金されます。この時点でカードユーザは返金を受け取りますが、後のプロセスでチャージバックが取り消された場合、再度請求が発生する可能性があります。

    ⑤加盟店による証拠提供

    加盟店は、チャージバック発行の通知を受け取った後、異議申し立てのための証拠書類を収集・準備し、アクワイアラーを通じてイシュアに提出します。

    ⑥イシュアによる再評価

    イシュアは、加盟店から提供された証拠を精査し、チャージバックが正当であったかどうかを再評価します。チャージバックの取り消しが行われない場合、紛争は次の段階である事前仲裁に進みます。

    なお、J.P. Morgan Chaseでは以下のような方法を採用することで本プロセスの効率化を実現しています。

    • 加盟店の書類にイシュアの記録と一致する重要な証拠(顧客名、住所、電子メールなど)が含まれている場合、イシュアは無効な異議申し立てと判断する可能性が高くなります。
    • イシュアの記録と一致しない場合、取引はシステム上で自動的に再度異議申し立てされ、イシュアは書類を確認せずに加盟店に返送します。
    • 加盟店の書類にIPアドレスまたはデバイスIDが含まれている場合、イシュアは非常に高い確率でカードユーザに対して再度支払いを請求します。

    ⑦カードブランドによる判断(事前仲裁)

    カードブランドは、提供された証拠に基づいて、責任をイシュアまたは加盟店に割り当てます。必要に応じて、最終的な仲裁の前に加盟店に追加の証拠を要求することもあります。事前仲裁の目的は、紛争が仲裁(arbitration)に進む前に解決することです。チャージバックが取り消される場合、カードユーザには再度取引金額が請求され、取引金額は加盟店に返還されます。

     

    事前仲裁段階で問題が解決しない場合、紛争は正式な仲裁へとエスカレーションされ、カードブランドが最終的な仲裁を実施します。

     

    加盟店が上記のプロセスを最大限に活用し、不当なチャージバックをできる限り防ぐためには、各段階で明確かつ有効な証拠を効率的に収集することがポイントになると思います。このような背景により、VISACompelling Evidence 3.0 (CE3.0)と呼ばれる新たな基準を策定しました。CE3.0では、加盟店が不正なチャージバックに対抗するにあたり、収集すべき証拠のフォーマットについて言及されたガイドラインです。このガイドラインにより、加盟店が過去の正当な取引情報とチャージバック申請のあった取引情報を比較し、より効率的に取引の正当性を確認できるようになります。

     

    CE3.0では、加盟店は詐欺や未承認取引に対して、以下のような情報を含む証拠を準備することが求められています。

     

    • 購入明細:取引日、金額、加盟店の名称等のレシートに記載されている情報
    • 過去(異議申立て発生日から計算された120-365日)の取引証拠:過去の紛争のない取引と今回の紛争のある取引を比較し、以下の要素のうち2つ以上が一致することを示す必要があります。さらに、その一致する要素のうち1つは必ずIPアドレスまたはデバイスID/フィンガープリントのいずれかである必要があります。

      ―カード番号(マスクされたもの)
      ―顧客識別情報(ログインID/ユーザID/メールアドレス)
      ―送付先住所
      ―IPアドレス(取引時に使用されたデバイスのIPアドレス)
      ―デバイス識別情報
      ID:デバイスを一意に識別する情報(例:IMEI番号)、または
      フィンガープリント:デバイスの特徴を示す2つ以上の属性の組み合わせ(ブラウザの種類とバージョン+タイムゾーン設定等)
    • 証拠は常に簡潔かつ整理された方法で提示すること。

     

    VISAのCE3.0に加えて、Mastercard社も同様の目的で First-Party Trust Program (FPTP) を今後公開する予定です。

     

    CE3.0などの新しい紛争管理プロセス改善プログラムの導入は、決済業界全体のセキュリティ向上と、より公平な紛争管理プロセスの実現につながる重要な一歩であると考えます。これにより、加盟店は以前よりも強力な証拠を提示できるようになり、正当な取引を守るための手段が強化されました。

     

    しかし、これを効果的に活用するためには、加盟店側で綿密な取引記録の管理や、迅速な証拠提供のためのシステム整備が必要です。また、イシュア側の効率化を図るための対策も重要であり、両者の緊密な協力が不可欠です。この協力関係は、紛争管理プロセスの効率化と不正取引の防止において極めて重要な役割を果たします。加盟店は必要な証拠を迅速かつ正確に提供し、イシュアはそれらの証拠を公平かつ効率的に評価することで、双方にとって有益な結果を導き出すことができると考えられます。

     

    J.P. Morgan Chaseは、イシュアとして加盟店が異議申立て時の証拠提出において特に注意すべき点を挙げています。VISA CE3.0を適用する場合、強力な証拠としてデバイスIDなどの必要な要素を確実に含めること、カード所有者の基本的な情報(名前、メールアドレスなど)が利用者の情報と一致していることを慎重に確認する必要があります。また、提出する証拠が適切に整理されていることも求められます。

     

    例えば、取引のタイムラインに従って証拠を並べたり、関連性の高い情報をグループ化したりすることで、イシュア側の調査担当者が理解しやすくなり、その結果プロセスの効率化に繋がるでしょう。これらのポイントは、VISA CE3.0に限らず、他のカードブランドの紛争管理プロセスにも適用可能だと考えられます。

     

    他にも、前編のEMV 3DセキュアとCE3.0などのプログラムを併用することは、効果的な戦略であると考え、VISAにも推奨されています。これらは互いに排他的ではなく、両方を導入することでより包括的な保護が実現できます。CE3.0等のカードブランドのプログラムはグローバルに展開されており、多くのイシュアが参加しているため、EMV 3Dセキュアを導入していないイシュアも含めて広範な保護が提供されることになります。

     

    また、EMV 3Dセキュアは認証時点で紛争を防ぐことが可能ですが、仮に当該認証が突破されたとしてもCE3.0等を活用した効率的な紛争管理プロセスの事前仲裁により、二段階で紛争防止が可能となります。例えば、フレンドリー詐欺のケースでは、カードが正当でありEMV 3Dセキュアを通過して決済が承認された後、商品が到着していないという異議が申し立てられた場合でも、加盟店はCE3.0のフレームワークを通じて適切な証拠を提示し、正当性を効果的に主張できるようになります。

    参加セッションレポート③MRC Payments & Fraud Report

    MRCとVISAが共同で発行しているEC決済と不正利用に関する調査レポート『2024 Global eCommerce Payments & Fraud Report[6]によると、多くの加盟店で複数種類の決済手段が導入されていることに伴い、不正利用の手法も複雑化・多様化しています。また、地域や企業規模によって直面する脅威が異なる点も特徴的です。

    2024 Global eCommerce Payments & Fraud Report』より、過去12ヶ月間に発生した不正攻撃の傾向(地域別・規模別の順位)『2024 Global eCommerce Payments & Fraud Report』より、過去12ヶ月間に発生した不正攻撃の傾向(地域別・規模別の順位)

    欧米の企業は、「リファンド/ポリシーの悪用[7]」と「ファーストパーティの悪用[8]」を主要な脅威として認識しています。一方、日本を含むアジア太平洋地域では、フィッシング・ファーミング[9]・ホエイリング[10]が最も蔓延している不正の形態であり、欧米とは異なる傾向を示しています。

     

    これらの不正行為は、EC加盟店に深刻な影響を与えています。同レポートの調査によると、EC加盟店の売り上げのうち、毎年3%が不正利用によって失われています。さらに、EC加盟店は不正の疑いがあるとして年間6%の注文を拒否していると推定されますが、そのうち210%は偽陽性(正当な顧客からの注文を誤って不正と判断している)であると報告されています。不正利用の影響は金銭的損失だけにとどまりません。顧客やイシュア、パートナー企業との関係悪化や、レピュテーションリスクも加盟店の大きな課題となっています。

     

    不正利用の手法が複雑化・巧妙化しているこの状況下で、加盟店の不正利用対策には新たなアプローチが求められています。現在、多くの加盟店が社内リソースの不足に直面しており、特に購入後の不正な返品要求やチャージバックへの対応に課題を感じています。この課題に対する一つの解決策として、前述のVISA CE3.0のようなカードブランドによるチャージバック申請のルールは、購入後の不正防止に役立てられています。

     

    今後の加盟店の対応に焦点を当てると、変化が見られます。同レポートの調査によると、約半数の加盟店が現状の投資レベルを維持しつつ対策の向上を目指す一方で、残りの半数は今後2年間で不正利用対策への投資を増やす予定だと回答しており、特にAIやマシンラーニングを活用した不正管理や対策の自動化に関心が集まっています。このようなデータから、今後国内外においてこれらの先進的なツールを活用する加盟店の数は増えていくと予想しています。

    おわりに

    MRC Vegas 2024では、本記事で取り上げたテーマを中心に、加盟店の不正利用対策について活発に議論が交わされました。今回のMRCは歴代最大の参加人数を記録し、国内市場で馴染みのない企業との交流や、グローバルな加盟店が直面している問題、過去の対策の成果を知る絶好の機会となりました。

     

    例えば、欧米の加盟店ではファーストパーティによる不正利用の増加傾向が他地域よりも極めて高いです。国内市場の縮小に伴い日本企業のグローバル化が進んでいくことを踏まえると、今後国内加盟店でもファーストパーティ詐欺等の不正利用対策の重要性が増すと考えられます。この観点から、国内加盟店が参加者・講演者・スポンサーとしてMRCに参加することの重要性が浮かび上がります。こうした活動を通じて、日本およびアジア市場の問題についてグローバルな認知を広げ、同時にアジア市場でのシェアと影響力を拡大することができるでしょう。

     

    一方で、日本独自の非保持化の考え方により、国内加盟店の責任意識は曖昧になっている印象があります。しかしながら、EMV 3Dセキュアの義務化やセキュリティ・チェックリストの導入を契機として、国内加盟店の意識変革が進むことも期待されます。ただし、国内加盟店の大半を占める中小規模の企業ではソリューションへの投資が難しいため、海外の先行事例をどのように収集・活用するかには課題が残っています。

     

    今後も不正利用対策に関するグローバルな動向は国内の加盟店向け施策へ取り入れられると考えられるため、こうした動きを注視することは加盟店にとって重要な活動であると考えます。

     

    弊社では今回のようなカンファレンスでの情報収集の他、加盟店の不正利用対策に関する様々なご支援も提供しておりますので、現在抱えている課題がありましたら是非ご相談下さい。

     

    関連サービスはこちら

     

    [1] フレンドリー詐欺(Friendly Fraud)は、正当な取引に対してカードユーザが不当にチャージバックを要求する行為。主に偶発的なフレンドリー詐欺(サブスクリプションの自動更新に気づかず返金を求める行為や、家庭内で子供の無断購入に対し親が返金を求める行為等)と、意図的なフレンドリー詐欺(商品が問題なく到着しているにも関わらず、未着であると虚偽の主張をして返金を求める行為等)の二種類があり、広義のファーストパーティ(正当なカードユーザ)による不正利用(First-Party Misuse, 後文「ファーストパーティの悪用」を参照)に含まれている。

    [2] https://www.verifi.com/wp-content/uploads/2018/04/The-Chargeback-Triangle_Verifi-Javelin.pdf

    2017年10月にJavelin Strategy & Research社は、2000人の米国カードユーザ、収益1000万ドル以上の米国商社でチャージバックポリシーに影響を与える300人の管理職、および米国小売金融機関でチャージバックポリシーに影響を与える200人の管理職を対象にオンライン調査を実施した。

    [3] https://www.federalreserve.gov/paymentsystems/2021-Interchange-Fee.htm

    FRBが2022年に実施した調査では、合併資産が100億ドルを超える米国のデビットカード発行機関163社を対象にデータを収集した。この調査は、デビットカードを対象として実施されたものであるが、カード取引全体の傾向を示唆する結果となっていると考えられる。

    [4] カードブランドの特別監視プログラムへ登録されることにより、取引の厳格な監視と追加報告が義務付けられる。重大な違反や改善が見られない場合、決済処理の一時停止や加盟店契約の解除といった厳しい措置が取られる可能性がある。

    [5] 本稿では、「異議申立て」と「紛争」という2つの用語を、以下のように定義する。

    ・異議申立:カードユーザが、特定の取引に対して異議を正式に申し立てる行為を指す。異議申立ては、チャージバックプロセスの初期段階である。

    ・紛争:異議申立てが解決されず、取引の正当性を確認するプロセスが継続している状態を指す。紛争は、異議申立ての後に発生する。

    [6] https://merchantriskcouncil.org/learning/mrc-exclusive-reports/global-payments-and-fraud-report

    本調査は2023年10月から12月にかけて、北米、ヨーロッパ、APAC、中南米の35カ国・1,100社以上の加盟店からの回答を基に作成。

    [7] 商品やサービスの使用後に返品・返金を要求したり、偽の領収書から返金を受けたりするなど、加盟店の返金ポリシーを悪用する行為。

    [8] 虚偽の理由に基づく返品・返金要求のほか、不正利用被害を装って返金を要求するなど、イシュアのチャージバックポリシーを悪用する行為。

    [9] DNS(ドメインネームシステム)サーバーを不正に操作したりすることで、ユーザを偽のWebサイトに誘導し、個人情報を盗むためのサイバー攻撃の一種。

    [10] 企業の経営者や上級管理職などの高位層をターゲットにした標的フィッシング攻撃の一種。