クレジットカード不正利用対策の最前線
PR企画
決済代行で知られるGMOペイメントゲートウェイ(GMO-PG)は、総合的な決済関連サービスを提供しているほか、EC事業者など加盟店の成長をサポートする金融関連サービスなどさまざまなサービスも手がける会社だ。
決済代行事業については2021年6月末時点の年間連結決済処理金額が7兆円を超えるなど毎年成長を続けている。連結加盟店数は10万店舗を超えており、大手から中小規模まであらゆる業種業態の企業に提供しているのも特徴だ。
主力の総合決済サービス「PGマルチペイメントサービス」は、EC事業者が複数の決済手段を導入する際、各決済事業者とそれぞれ契約すると事業者ごとにAPIの仕様が異なったり、入金サイトがバラバラだったりして業務が煩雑になるが、同サービスを利用することで複数の決済手段を一括導入できるほか、複数の決済の締め日や入金日を統一し、入出金管理の手間を削減できる。
コロナ禍で消費者のEC利用が加速する中、同社への問い合わせで増えている1つがクレジットカードの不正利用対策で、例えば実店舗がメインでECを開始した企業からは、「不正利用対策として具体的に何をしたらいいか」という相談が増えている。
豊富なセキュリティ対策メニュー
セキュリティについては、割賦販売法の改正によって、加盟店はクレジットカード番号等の適切な管理と不正使用の防止が義務づけられた。そのため加盟店は、自らネット取引のなりすましを防ぐ多面的・重層的な不正使用対策のツールを導入するなど、主体的に対策を講じなければいけなくなった。
同社は、一般的な3Dセキュア(本人認証サービス)のほか、エンドユーザーのクレジットカード決済に対して加盟店が設定したルールを基に不審な取引を見分ける「不正防止サービス(ReD)」なども取り揃えている。
更に、改正割賦販売法やEC市場の拡大に対応し、さまざまな業種業態をフォローできる幅広いソリューションが必要と考え、米国企業Sift社の不正防止サービス「Siftデジタルトラスト&セーフティスイート(SaaS)」を2020年4月末に、「不正防止サービス(Sift)(以下、Sift)」としてセキュリティサービスのメニューに加えた。
同サービスの日本総代理店はマクニカネットワークスで、GMO-PGが同社と代理店契約を締結した。「Sift」は加盟店側でシステム開発を行う必要があるものの、GMO-PGを通じて導入することで決済サービスとセキュリティツールを一括導入できるほか、「PGマルチペイメントサービス」仕様のJavaScript・APIを埋め込むことで、加盟店の開発負担や導入費用を軽減できるという。
「Sift」は不正ルールのチューニングを機械学習が担うことで、費用と運用負荷を抑えながら不審な取引を見分けることができる。業務の多いEC事業者にとって手間をかけずに高い精度で不正取引を防止できるのが利点だ。また、デバイス情報などさまざまなデータを収集できるのに加え、0〜100までのスコアで取引の危険度を判定。不審な取引をスコアで可視化することで、チャージバック(不正利用に伴うカード会社への払戻し)のリスクも軽減できる。
従来はチャージバックが発生して初めて、加盟店はどういう取引が不正だったのかを調べる流れで、泣き寝入りとなるケースが多かったが、「Sift」を導入することで、決済する前にエンドユーザーの情報や端末情報などによってユーザー分析が可能だ。
レポート機能も用意しており、注文データやブロックした件数、チャージバック率などをリアルタイムに管理画面上で確認できる。不正利用対策はチームで取り組むケースが多いため、優秀な人のノウハウを社内で共有できるメリットもある。
不正取引の手口は年々巧妙化しており、一度対策を講じたり、不正ルールをチューニングしても、常に見直しを図らないと危険だ。そのため、幅広い分析を行い、かつその情報を高頻度で更新していく必要がある。
機械学習で手口の変化にも対応
「Sift」は物販系のEC、とくにアパレルや食品カテゴリーの企業から引き合いが多いほか、マッチングサービスなどを提供するプラットフォーマーからもニーズが高い。導入後の効果を実感している企業が多いが、「吉野家の冷凍牛丼の具」などを自社ECサイトで販売する吉野家にも導入され、チャージバックの発生頻度などで効果が出ている。
吉野家では、コロナ禍で外出自粛が進んでEC売上が急増したが、2020年2月下旬頃から高額のクレジットカード注文を中心に不正利用され、多額のチャージバックが発生したことから、さまざまなツールの導入を検討した。当初、吉野家ではある不正判定機能を利用して対策を行った。過去に発生したチャージバック取引の電話番号、住所、メールアドレス、氏名などをブラックリストに登録し、高額な注文は発送前に手動でチェックして“不正”と判断したら発送を停止していた。
そのため、一定金額以上の高額取引すべてに対し、1件当たり30分〜1時間かけて電話確認や発送停止の対応を行うこともあった。この方法で5月上旬頃には、いったん被害を抑え込むことができたが、20年2月からの3カ月間で約40件、累計160万円以上の損害が発生。「怪しい注文が入るたびに電話調査や発送停止など人力での対応が必要で、被害金額もさることながら、対応していた私自身が疲労困ぱいしていました」と吉野家のダイレクトジセールス部の木村陽子部長は振り返る。
対策ツールの検討ではまず、利用者の購入経験を阻害しないことを最優先とし、コストの優位性と人的な負担をかけずにすぐに対策を行うことを重視して「Sift」を導入した。「導入に当たっての懸念は、管理画面が英語だったことですが、直感的にわかりやすい設計で、この機会に英語の勉強もしようと割り切って選択しました」と事業企画室の諏訪和博室長は言う。
システム開発を担当するカートサービス提供会社の体制が整った20年8月から「Sift」導入の開発をスタートし、10月下旬には本番環境での稼働を開始した。
現在は「Sift」の算出するスコアが40点以上の取引を“保留”として翌朝にまとめてレビューし、不正と判断した取引は出荷を停止。本来の顧客の注文を停めてしまうことを避けるため、自動で出荷停止にはせず、必ず人が確認する運用を続けている。
1日にレビューにかかる時間は30分程度となり、疑わしい注文1件ごとの確認に30分から1時間かけていたのに比べ大幅に対応時間が削減された。
導入前、もっとも被害が大きかった20年3月は1カ月で11件のチャージバックが発生したが、導入から約3カ月後には1カ月に1件程度と10分の1以下に減少。売上増加を維持しながらセキュリティの強化に成功した。
また、高額注文は出荷停止されることに気づいた犯人が1回当たりの取引金額を減らして頻繁に注文を行うようになった。「一度だけ少額の不正注文を見逃してしまいましたが、その注文が不正であることを『Sift』に学習させたら、次からは少額の不正注文にも警告を出せるようになりました」(木村部長)とし、機械学習によって手口の変化に対応する「Sift」の強みを実感しているという。
懸念していた英語表記の問題も、マクニカネットワークスによる日本語ドキュメントやエンジニアのサポートなどによって問題なく運用できている。
GMO-PGによると、「カードの不正利用に関する問い合わせは増えていますが、売上拡大に直結する集客面などの施策と比べると優先順位はまだ低いと感じます。被害にあう前にできる対策はたくさんあります。セキュリティ面で困ったことがあれば、いつでも声をかけて頂きたいです」(松山佳子氏)。
GMO-PGは不正利用対策のメニューが多いほか、各業界に精通した専任の営業担当者がいるため、業界の課題に合わせた具体的な対策を提案できるのが強みだ。今後は「Sift」の導入企業や新たに導入する企業の利便性を高める目的で、カートシステムのベンターとも連携して導入しやすくしていく考えもあるようだ。
不正防止サービス「Sift」のウェブページ
https://www.gmo-pg.com/service/mulpay/security/sift/
問い合わせ先: GMOペイメントゲートウェイ株式会社
TEL:03-3464-2323(平日9:00〜18:00)
MAIL:info@gmo-pg.com