決済市場全体で見るとBNPL市場はまだ小規模ではあるものの、近年右肩上がりで成長しており注目が集まっている。本記事では、BNPLの概要や不正リスクとその対策、国内外の法規制の動向について解説する。
矢野経済研究所が2022年4月に発表した調査によると、国内のECサービス市場における2016年のBNPL取引高が2,900億円であったのに対し、2025年には1.9兆円に達すると予測されており、約10年の間に約6.5倍の成長率が見込まれている。
EC市場におけるBNPL決済の割合で表すと、2016年では2.9%であったのに対し2025年には5.6%になる見込みである。また国外に目を向けると、2025年のEC市場におけるBNPL決済の割合がヨーロッパでは12%、北米では9%へ達する見込みであり、国外ではさらに成長が期待されている分野である。[1]
図1:BNPL市場規模推移・予測
出典:矢野経済研究所調べ「後払い決済サービス(BNPL)市場規模推移・予測」をもとにNRIセキュア作成
BNPLを使用した決済の流れは以下の通りとなる。
まず消費者が商品購入時に決済手段としてBNPLを選択するとBNPL事業者から支払い方法(翌月一括払い、3回払い、等)が提示される。消費者が希望の支払い方法を選択すると、BNPL事業者が小売店に対し立て替え払いをした上で商品が消費者の手元に届く(小売店はBNPL事業者に決済手数料の支払いを行う)。消費者は商品が手元に届いたことを確認後、自身が選択した方法でBNPL事業者に代金を支払う。
これにより、消費者は商品の現物を確認した後に支払いができる上に、商品購入時にまとまった金額が用意できない場合であっても商品を手に入れることが可能である。
図2:BNPLの仕組み(NRIセキュア作成)
上記の通りBNPLは商品の代金を「後で支払う」という観点ではクレジットカードと同様であるが、大きな違いとして以下3点が挙げられる。
クレジットカードは一括払いであれば手数料は発生しないが、分割払いやリボ払い[2]を選択した場合には消費者は手数料を支払う必要がある。一方BNPLでは支払い方法として分割払いを選択した場合でも手数料は小売店が負担するため、消費者は原則手数料無料で分割払いが可能となる。[3]
クレジットカードは、名前・生年月日・住所・メールアドレス・電話番号等の基本情報以外に、職業・勤務先・雇用形態・居住状況(持ち家、賃貸)・家族構成・年収等の属性情報の入力に加え、免許証やマイナンバーカード等の本人確認書類を使った本人確認が必要となり、利用開始までに手間や時間がかかる。一方BNPLは、メールアドレスや電話番号等の基本情報の入力のみで手軽に始めることができるものが多い。
日本で提供されている代表的なBNPLサービスの「Paidy」ではメールアドレスと電話番号の入力およびSMS認証のみで利用を開始することが可能であり、「atone」では氏名・生年月日・住所・メールアドレス・電話番号の登録のみで利用を開始できる。
クレジットカードは、信用情報機関[4]を使った与信審査[5]が法律上求められており、過去に他ローンでの支払い延滞がある場合や多重債務状態(複数のローンの利用がある状態)の場合には利用が開始できない又は利用が途中で止められる可能性がある。
一方BNPLでは利用開始時の与信審査が不要又は簡易的なものとなっており、途上与信[6]も決済の都度利用者の取引履歴等を使用したBNPL事業者独自のスコアを用いて行われる。与信の簡便さから利用限度額は数万円とクレジットカードより少額ではあるものの、当該BNPLサービスにおいて支払い延滞なく正当な取引ができていれば、他ローンの支払い状況や年齢制限に関係なく取引を行うことができる。
つまりBNPLは、分割払いをしたいが手数料の支払いを避けたい方、煩雑な申し込み処理等をせずに手軽に後払い決済を始めたい方、年齢・雇用形態・過去の延滞履歴等によりクレジットカードの審査に通らなかった方等、クレジットカードでは満たすことのできない消費者の需要に応えられる新たな決済手段であることがわかる。また加盟店としても新規顧客の獲得を見込めるため、手数料を支払ってでもBNPLを決済手段として導入するメリットがある。
クレジットカードとは異なる「後払い」の決済手段として昨今成長しているBNPLだが、利用ユーザが増加すると同時に攻撃が成功した場合の影響範囲が大きくなることから、悪意のある者による攻撃リスクがますます高くなっていくことが考えられる。
以下に、BNPLサービスにおける不正や不適切利用の例を挙げる。
本ケースはクレジットカード決済でも起こりうるものではあるが、フィッシングやダークウェブ等で入手した既存のBNPLユーザの情報を使用してアカウントを乗っ取り、既存のBNPLユーザになりすまして決済を行うという不正である。なりすました攻撃者がBNPLを決済手段として商品を購入し、配送先を自身の情報に変更することで、アカウントを乗っ取られた被害者は商品の購入も受け取りもしていないにもかかわらず、支払い請求が届くことになる。
BNPLは手軽に利用開始できることをメリットとしていることから本人確認が厳格に行われない場合が多い。この特徴を利用し、悪意のある者が架空のアカウントを不正に作成してBNPLでの決済を行い、その後の支払いを踏み倒すという不正である。
クレジットカードでは信用情報機関で信用情報の共有がされるため、踏み倒しをした場合自身の信用情報に傷がつくことになり、他クレジットカード発行や住宅ローンを含む借り入れができなくなる可能性が高い。一方BNPLではクレジットカードのような仕組みがないため、例え踏み倒しをしたとしても他の借り入れに影響しない可能性もあると考えられる。
このパターンによる不正事例としては、2022年に発生した決済アプリのBNPL機能を利用した不正が挙げられる。本機能では、ユーザが必要な金額[7]をアプリ内で申し込むとBNPL事業者(A社)からユーザのアプリ残高に該当金額が入金される(ユーザは入金額を利用しVisa加盟店で決済を行うことができる)。
その後ユーザはBNPL事業者(A社)からの入金額の返済を翌月末までに行うというBNPLサービスである。本サービスでは「商品」の購入は行わないが、Visa加盟店で利用できる「価値(入金額)」を「商品」と見なして購入を行い、後でその支払いを行うというBNPLの仕組みになっており、CNPL(Charge Now Pay Later)とも呼ばれる。
本件の具体的な不正手口を以下に示す。
図3:決済アプリのBNPL機能を利用した不正の手口(NRIセキュア作成)
BNPLサービスの仕様を突いた不正も存在する。
具体的には、2020年に発生したBNPLサービスとフリマサイトの組み合わせを使用した不正が挙げられる。本件は、当該BNPLサービスの仕様である「メールやSMSでの請求が無視された場合、商品の送付先に請求を行う」という部分と、フリマサイトの仕様である「匿名配送以外の配送方法を利用する場合、出品者が取引画面で購入者の住所を確認できる」という部分を使った不正である。
具体的な手口を以下に示す。
図4:BNPLサービスとフリマサイトの組み合わせによる不正の手口(NRIセキュア作成)
ではこれらの不正に対しBNPL事業者はどのような対策を実施すべきだろうか。BNPL事業者によっては既に実施しているものもあるが、まずは以下の対策を実施することを推奨する。
上述の通りBNPLではメールアドレスや電話番号等のみでアカウント作成ができてしまうため、e-KYCによる本人確認の実施により、不正(架空)アカウントを作成できないようにすることが考えられる。
しかし厳格な本人確認の実施によりセキュリティを強化できる一方で、BNPLの「手軽に始められる」という利点が損なわれる。そのためe-KYCを実施しない場合には、電話番号の使用履歴等から不正利用の電話番号を判定できる外部サービスを使用し、不正アカウントを作成しようとした時点で検知できる仕組みを実装することも一つの対策になるだろう。
不正検知は決済を行っている端末情報(IPアドレス等)や配送先情報を含む属性情報の変更履歴、過去の購入の傾向等を利用して行うものである。しかし攻撃者は様々な新しい不正手口を利用するため、不正検知精度の向上が重要である。既にクレジットカード業界では、カード会社間で不正利用データをシェアする業界横断型の不正検知サービスが検討されており、今後クレジットカード業界全体へ広く展開されることが見込まれる。
BNPLおいても、BNPL事業者間での不正に関する情報連携の強化や、クレジットカードを含む他決済手段で蓄積された不正情報やブラックリスト等を活用していく仕組みづくりを行い、不正の早期発見に向けた対策を検討する価値があると考える。
BNPLサービスの仕様を洗い出し攻撃者による不正が行われる可能性があるシナリオの特定を行い、そのリスクを評価することも重要である。
ただし、想定されるセキュリティリスクを網羅的に洗い出し評価することは難易度が高い上に、実際にどこまでセキュリティ対策を実施すべきであるかの判断も難しいため、セキュリティの専門家による支援を受けることも有効な手段である。
既にBNPLサービスでは実施済みのところも多いが、実際に不正が発生した場合の被害を軽減するための対策として、初回利用時には与信枠を小さめに設け取引が正当に行われていることを確認後に段階的に与信枠を上げていくという方法が有効である。また、本人確認の有無によって利用限度額を変動させる方法も一つの手段である。
セキュリティを考慮する上で「この対策をすれば必ず不正を防ぐことができる」という対策は存在しない。また、セキュリティを強化すると利便性が損なわれる場合もあるため、BNPLのように簡便さをメリットとしたサービスは特に、事業体としてどのようなリスクをどこまで許容するかを定義し、バランスを取った対策をしていくことが重要である。
最後に、BNPLにおける法規制の動向について解説する。
まず日本国内においては、現時点でBNPLのための法規制は存在しない。
日本における後払式取引に関する規制としては割賦販売法が該当する。割賦販売法では、2か月を超える期間での後払式取引を業務として行う事業体[8]は、指定信用情報機関からの情報を利用した与信(支払い可能見込み額の算出)が求められている。
また、2か月以内での後払式取引であってもクレジットカードを使用する場合には犯収法(犯罪による収益の移転防止に関する法律)が適用され、本人確認書類による本人確認が必要となる。
一方で、BNPLの中でも「消費者による支払期間が2か月を超えず、かつクレジットカードを用いない」形でのサービスを提供する事業者は、割賦販売法および犯収法の規制対象外となる。
表1:割賦販売法・犯収法とBNPLの関係性
さらに、消費者に貸し付けを行う事業者は貸金業法の対象となり本人確認が必要となるが、上述の決済アプリのBNPL機能を使用した事例においては入金額を品物と見なすことで規制対象外となる。このようにBNPLはサービス提供の仕方によっては法規制の影響を受けないサービスであり、それ故に簡易的な与信や基本情報のみでの利用開始が可能となっている。
一方で、2021年5月に設立された日本後払い決済サービス協会[9]では、加盟店審査に係る自主ルールとして加盟店との契約時や契約後の取引の種類や取引内容の調査、利用者からの苦情対応の観点を含むルールを策定する取り組みが行われている。
ただし、これはあくまでも日本後払い決済サービス協会に所属している会員間にて遵守すべきルールという位置づけであり、日本国内のすべてのBNPL事業者に向けた規制ではない。
国外では、規制や法案の成立に向けた動き出しが始まっている。
国外ではリボ払いが主流であることやそもそもクレジットカードの保持率が低い地域もあることから、分割手数料なしで手軽に後払い決済を開始できるBNPLは日本に比べて需要が大きい。そのため国外では日本よりも急速にBNPL市場が拡大しているが、それと同時に消費者が過剰債務を抱え返済困難となる事例が数多く発生しており、規制強化を計画している国も多い。
米国では2021年9月に実施した5大BNPL事業者を対象とした調査から、過剰債務の割合が増加している傾向があることが判明したため、今後BNPLに関する規制を強化することを発表した。また英国では2022年2月にBNPL事業者に対し規約の改定を促しており、2023年には法案制定に向けた計画も立てている。さらにオーストラリアやシンガポールにおいてはBNPLの業界標準が既に公開されている。
このように国外では2021年から2022年にかけて法規制強化が始まっており、2023年は多くの国でBNPLの法整備が進んでいく年になると考えられる。国内ではまだ国外ほどBNPLが浸透していないものの、前述の予測通りにBNPLの需要が高まり、不正利用や債務超過も今後増えた場合、問題点が指摘され国レベルでの法規制が始まる可能性もあるだろう。
表2:海外におけるBNPLの法規制
|
国 |
法規制 |
|
米国 |
2021年9月、米国消費者金融保護局は5大BNPL事業者を対象に、消費者の負債蓄積や規制潜脱が起きていないかを懸念し調査を実施。 2022年9月、調査結果をまとめたレポートを発行し、今後BNPLに関する規制を強化することを発表。 |
|
英国 |
2022年2月、英国金融行為規制機構はBNPL事業者4社に対し規約の改定を促した。(不明瞭な規制の明確化等) 2022年内にBNPL規制の法案に関する協議を公表し、2023年半ばまでに二次法案を制定、英国金融行為規則機構による規則に関する協議の実施の計画を立てている。 |
|
オーストラリア |
2021年3月、オーストラリア金融業協会がBNPLの業界標準(BNPL Code)を制定。(消費者の延滞救済等) 2022年11月、オーストラリア政府財務省がBNPLの規制基盤確立のための3つの方法について意見を募集。2023年半ばまでに規制強化の計画を立てている。 |
|
シンガポール |
2022年11月、シンガポールフィンテック協会がBNPLの業界標準(BNPL Code)を公開。(一定金額以上の取引時の信用評価、消費者の延滞救済等) |
本記事では、BNPLの概要や不正リスクとその対策、国内外における法規制について解説した。BNPLは消費者の需要に応えられるだけでなく、加盟店としても新たな顧客を獲得できる機会となる。今後BNPLがクレジットカード決済やコード決済に続く主要な決済手段として成長してくためにも、適切な規制整備や不正への対策を積極的に行っていくことが重要である。
当社では電子決済サービスの各機能や連携機能を含むサービス仕様を踏まえたセキュリティリスク評価(電子決済セキュリティリスク評価サービス)を提供している。自社サービスのセキュリティに関してお困りごとがある場合には是非ご相談頂きたい。
[1] Worldpay「Global Payment Report2022」より引用。
[2] 分割払いは支払い回数を指定して支払う方法。リボ払いはあらかじめ設定した金額を毎月支払う方法。
[3] クレジットカードでも2回払いまでであれば分割手数料が無料であるサービスや、BNPLでも分割での支払いができないサービス、支払い方法によっては手数料がかかるサービスも存在する。
[4] 個人の信用情報(借入残高や返済状況等)を、加盟するクレジット会社・ローン会社から収集・管理し、加盟会社からの照会に応じて情報提供を行う機関を指す。
[5] 取引を行うにあたり、取引先(今回の場合は消費者)の支払い能力や信用度を調査すること。
[6] 利用開始後に行われる与信審査を示す。ユーザの利用状況等を確認し、引き続き支払い能力や信用度を調査すること。
[7] 3,000円~50,000円の範囲で申し込みが可能。
[8] 2か月を超える期間での後払い取引を行う事業者について、支払いカード等を用いる場合には「包括信用購入あっせん業者」として、カード等を用いない場合には「個別信用購入あっせん業者」としての登録が求められている。
[9] 後払い決済サービスにかかわる取引を公正にし、後払い取引に携わる関係事業者の業務の適正な運営を確保することにより利用者の消費生活の向上と利便に貢献することを目的として設立された団体。2023年1月現在、正会員8社での活動を行っている。