この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
クレジットカードの不正利用被害総額は、2022年に約437億円と過去最高額に達しています。
消費者との信頼関係を守り、クレジットカードの不正利用の被害を最小限に抑えるために、セキュリティ対策を強化しようと考えている事業者もいるのではないでしょうか。
クレジットカード決済を取り入れているECサイト事業者が行うべき、不正利用発覚時の対処法、セキュリティ対策を解説します。クレジットカードの不正利用の原因と対策もご紹介します。
クレジットカードの不正利用の被害額から見る現状
店舗やECサイトなどあらゆる場面で利用され、キャッシュレス決済の中でもっとも利用率が高いクレジットカード決済。経済産業省が発表した「2023年のキャッシュレス決済比率」を見てみると、キャッシュレス決済は決済全体の39.3%を占めており、そのうちの83.5%(105.7兆円)がクレジットカードによる支払いでした。
他の決済手段よりも圧倒的に多く利用されているクレジットカード決済ですが、クレジットカードの不正利用の被害総額が増加傾向にあると、一般社団法人日本クレジット協会が発表しています。
以下の推移グラフは、定期的に行われている実態調査で明らかになった被害額の推移です。特に2021年から2022年にかけては約330億円から約437億円へと急増。過去最高の被害額と発表されています。
▼国内発行クレジットカードにおける年間不正利用被害額推移
画像引用:経済産業省「ご注意!クレジットカードの不正利用被害が急増しています」
また、2023年4月〜6月の四半期での不正利用被害額は、前年の同時期の約106億円よりも約35億円増え、約141億円分の被害が発生しました。四半期での被害額も増加傾向にあります。
▼クレジットカード不正利用被害の発生状況
画像引用:一般社団法人日本クレジット協会「クレジット関連統計 – 四半期調査:クレジットカード不正利用被害額調査」
上記の被害額の内訳を見ると、クレジットカード番号の盗用による被害が93.6%と大部分を占めていることが分かります。これはクレジットカード番号だけで不正に決済が行われるものです。つまり、クレジットカードそのものが必要ないオンライン上での支払い時に多く発生していると言えます。
クレジットカード不正利用の7つの原因と予防策
クレジットカード番号の盗用が不正利用被害額の9割を占めているとご紹介しましたが、ここではクレジットカード不正利用の主な原因と予防策を見てみます。
不正利用を防ぎ安心してクレジットカード決済を利用するには、まずは手口や発生パターンを知ることから始めましょう。
不正利用の種類 | 手口や発生パターン | 消費者が取るべき予防策 |
フィッシング詐欺 | 偽メールを送って偽サイトに誘導し、クレジットカード番号や暗証番号を入力させる。 メールの例文:登録されたクレジットカード情報に誤りがあります。再度登録してください。 | ・個人情報を入力させるメールやURLが届いたら、すぐに入力せずに送信元を確認する。 |
ネットショッピング詐欺 | 架空のネットショッピングサイトで商品を販売する。 怪しいサイト:URLや日本語に違和感がある、商品の価格が極端に安い | ・決済前に安全なサイトかを確認する(URLやサイト内の表記に違和感がないかなど)。 |
出会い系サイト詐欺 | 出会い系サイトに誘導し、サイト内で使えるポイントを購入させて、クレジットカード情報を盗む。 | ・詐欺かどうか立証が難しい分、怪しいサイトかを事前に確認する。 |
なりすまし | 不正に入手したクレジットカード情報を利用し、クレジットカードの会員本人になりすます。 | ・本人認証システム「3Dセキュア」導入済みのECサイトを利用する。 |
スキミング | スキャナーを使用してクレジットカードの磁気データを読み取る。 スキミングされやすい場所:サウナ、スポーツジム、ホテル、コンビニATM | ・磁気ストライプ式のクレジットカードから、ICチップ搭載のものに変更する。 ・暗証番号の管理を徹底する。 |
盗難・紛失 | クレジットカード自体の盗難や紛失。 | ・クレジットカードが入った財布などを必ず携帯する。 ・管理できる枚数を所持する。 |
ネットショップからの情報漏洩 | ネットショップにサイバー攻撃を行い、サーバーをハッキングしてクレジットカード情報を盗む。 | ・ネットショップの運営がしっかりしているかを確認する。 ・日頃から明細を確認する。 |
1. フィッシング詐欺
フィッシング詐欺とは、クレジットカード会社やECサイト、金融機関などの名前で偽メールを送信し、メール内に記載されたURLから偽サイトに誘導し、クレジットカード番号や暗証番号を入力させて不正に利用する手口です。
「登録されたクレジットカード情報に誤りがあります。再度登録してください。」「アカウントが利用停止になっています。」などの文章が送られ、消費者の危機感を煽って偽サイトに情報を入力させます。
<フィッシング詐欺の予防策>
消費者ができるフィッシング詐欺の予防策として、個人情報を入力させるメールやURLが届いたら、すぐに入力せずに送信元を確認することが重要です。記載されているURLが公式サイトであるか、メールアドレスのドメインが本物か、などが確認するポイントです。
また、複数のサイトで同じID・パスワードを使い回すことも避けましょう。一度フィッシング詐欺に遭うと、不正利用の被害が広がってしまいます。サイトごとに使い分けて、厳重に管理してください。
2. ネットショッピング詐欺
ネットショッピング詐欺とは、架空のネットショッピングサイトで商品を販売し、決済情報からクレジットカード情報を盗み不正に利用する手口です。架空のサイトで購入した商品は手元に届きません。
<ネットショッピング詐欺の予防策>
ネットショッピング詐欺に遭わないためにも、商品を購入する前に安全なサイトかを確認しましょう。公式サイトと非常に似ている偽サイトも存在するため、サイトのURLやサイト内の日本語の表記に違和感がないかを確認するのがポイントです。
また、ほとんどの商品が80%OFFなどと商品の価格が極端に安いサイトがあれば、価格が安いからと飛びつくのではなくまずは疑うようにしてください。
3. 出会い系サイト詐欺
出会い系サイト詐欺とは、出会い系サイトに誘導し、サイト内で使えるポイントを購入させたりクレジットカード情報を盗んだりする手口です。
<出会い系サイト詐欺の予防策>
出会い系サイト詐欺の特徴として、詐欺かどうか立証が難しいことが挙げられます。そのため、利用する前から怪しいサイトではないかを見極めることが予防策となります。
4. なりすまし
なりすましとは、本人になりすまして不正にクレジットカード情報を利用する手口です。クレジットカードを偽造して、店舗で決済を行うケースも発生しています。
<なりすましの予防策>
クレジットカード情報が盗まれないよう、本人認証システム「3Dセキュア」導入済みのECサイトを利用することが予防策の一つです。事業者は、後ほど解説するセキュリティ対策を参考に、3Dセキュアの導入を行ってください。
5. スキミング
スキミングとは、クレジットカードの磁気データをスキャナーで読み取り不正に利用する手口です。クレジットカードを偽造したり、ECサイトで不正利用したりと悪用されます。
スキミングされるタイミングは、サウナやスポーツジムなどで貴重品が手元から離れる瞬間や、警察の調査と偽って本人の目の前で行われるケースがあります。
<スキミングの予防策>
スキミングは磁気データを読み取って不正に利用されるものですが、暗証番号が盗み見られないように徹底して管理することで防止できます。店頭で入力するときは、周囲に人がいないかを確認してください。
また、磁気ストライプ式のクレジットカードではなく、ICチップ搭載のものに変更することもおすすめです。ICチップではクレジットカード情報が暗号化されており、スキミングの被害に遭いにくくなります。
6. 盗難・紛失
クレジットカード自体を盗み、不正に利用する手口です。スリや車上荒らし、置き引きなどでクレジットカードが盗まれてしまうケースがあります。
<盗難・紛失の予防策>
クレジットカードが入った財布は必ず携帯するようにしましょう。他人が取り出しやすい場所にしまうのも避けてください。また、クレジットカードを複数枚所持する場合は、管理できる枚数に留め、手元で見つからない場合はすぐにクレジットカード会社に利用停止の連絡ができるようにするのがおすすめです。
7. ネットショップからの情報漏洩
ネットショップからクレジットカード情報が漏洩してしまうことがあります。原因は、ネットショップがサイバー攻撃を受けたり、社員が情報処理を誤ったりすることなどです。
<ネットショップからの情報漏洩の予防策>
消費者ができる予防策として、商品を購入する前にネットショップの管理・運営がしっかりしているかを確認することが挙げられます。しばらく使用しないネットショップからクレジットカード情報を消したり、日頃から明細を確認したりして注意しましょう。
クレジットカードの不正利用を発見する方法
クレジットカードの不正利用を発見する方法をご紹介します。早期に発見し、すぐに対処できるようにしておくことが重要です。
1. 【消費者側】クレジットカード利用明細を定期的に確認する
不正利用を早期発見するために、定期的にクレジットカードの利用明細を確認するようにしましょう。クレジットカード会社のマイページ(Webサイトやアプリ)から確認できます。
家族カードを追加で発行している場合、家族カードの利用履歴は本会員の利用明細にまとめて記載されることもあるため、心当たりのない履歴があった場合はまず家族カードの利用を確認してください。それでも身に覚えがなければ不正利用の疑いがあります。
なお、実際に買い物をした店舗やECサイトの名前(屋号)と、利用明細に記載される名前が異なる場合もあります。これは決済業務を行うのが店舗や事業所ではなく、決済代行会社によるためです。
あらかじめ利用明細に記載される名前を確認しておくと、安心して管理できます。
2. 【事業者側】売上明細・取引明細を定期的に確認する
事業者も定期的に売上明細・取引明細を確認しましょう。突然多額の売上が発生していれば、消費者のクレジットカードが不正利用されている可能性があります。適切な処理を行わないと、事業者側に負担がかかることもあるため、事業者側も不正利用の監視は必須です。
利用している決済サービスの管理画面から、売上明細を確認できます。毎週月曜日の朝など、明細を確認する日程を決めて行うことをおすすめします。また、消費者の利用明細に記載される屋号が事業者名と異なる場合は、その旨を決済画面などであらかじめ周知しておくと、消費者も安心です。
3. 【消費者・事業者】クレジットカード会社からのメールなどを確認する
疑わしい取引があった場合、クレジットカード会社から消費者や事業者にメールや電話で確認が入ることがあります。24時間365日体制でクレジットカードの利用状況がチェックされているため、不正利用と思われる決済が発生すれば連絡が来る可能性が高いです。
消費者に連絡が来るケースの一例は、クレジットカードの利用場所が自宅周辺から突然海外に移ったり、少額の利用が中心だったのに急に高額な商品が購入されていたりと、大きな変化があった場合です。
クレジットカードの不正利用に気づいた際の対処法
クレジットカードの不正利用が発生すると、消費者だけでなく、事業者側にも経済面・信頼面で被害が広がります。万が一不正利用が発生した場合の対処法を解説します。
消費者側が気づいた場合
クレジットカードの不正利用に気づいた場合、すぐにクレジットカード会社に連絡しましょう。不正利用であると確定すれば、クレジットカード会社から不正利用の取引を取り消す「チャージバック」が行われ、被害を抑えられます。
▼チャージバックの流れ
画像引用:KOMOJU
クレジットカードの盗難・紛失の場合も、まずはクレジットカード会社に連絡し、利用停止の手続きを行ってください。不正利用を防止することが先決です。
次に、警察に被害届や遺失届を提出します。警察から受理番号を受け取った後、クレジットカード会社に再度連絡すると、盗難・紛失の保険が適用されるよう手続きを進めてくれます。
その後、クレジットカードの再発行を行います。不正利用が判明すれば、元々使用していたクレジットカードは無効になります。新たなクレジットカードが届くまで、クレジットカード決済はできません。
なお、クレジットカード決済で購入後に商品が届かない場合は、消費生活センターに連絡をしてください。
事業者側が気づいた場合
事業者が消費者のクレジットカードの不正利用に気づいた場合も、まずはクレジットカード会社に連絡をしましょう。決済代行会社でも構いません。その後の対応は、商品の発送前か発送後によって変わります。
<商品の発送前に不正利用だと発覚した場合>
商品を発送せず、消費者本人に連絡をしましょう。メールだけではなく電話でも本人かどうかを確認できたら、支払い方法を変更してください。
消費者本人と連絡が繋がらなかった場合は、注文をキャンセルします。
クレジットカード会社に決済を依頼する前であれば、オーソリ(信用照会)を解除することで注文をキャンセルできます。オーソリとは、事業者がクレジットカード会社に消費者のクレジットカードで決済が可能かどうかを確認するプロセスです。
決済依頼後は、14日以内にクレジットカード会社に決済依頼のキャンセルをしましょう。決済依頼後15日以降はキャンセルできないため、事業者から消費者に直接返金対応を行います。
<商品の発送後に不正利用だと発覚した場合>
商品の発送後、商品を返送してもらうことはほぼ不可能であり、発送にかかるコストは事業者の負担となります。消費者のチャージバックが承認された場合には、商品代金をクレジットカード会社に払わなければなりません。事業者側が損失を被ることになります。
事業者が行うべきクレジットカード不正利用に対するセキュリティ対策
事業者が行うクレジットカード不正利用に対するセキュリティ対策をご紹介します。
クレジットカード決済を扱う事業者が必ず確認すべきなのが「クレジットカード・セキュリティガイドライン」です。クレジット取引セキュリティ対策協議会により、2023年3月に4.0版が策定されました。
このガイドラインでは、クレジットカード情報が盗まれないようにする「クレジットカード情報保護対策」や、盗まれたクレジットカード情報の不正利用を防ぐ「不正利用対策」などが紹介されています。
ガイドラインの内容を中心に、セキュリティ対策について解説します。
1. カード情報の非保持化、保持する場合にはPCI DSSの準拠が必要
クレジットカード情報の「非保持化」が推奨されています。そもそもカード情報を保持していなければ、カード情報を盗まれず情報漏洩が発生しない、という考えです。非保持化とは、自社の機器やネットワークでカード情報を「保存しない」「処理しない」「通過しない」ことを指します。
ただし、最近ではカード情報非保持にもかかわらず情報漏洩が発生しており、定期的にシステムの点検を行うことが求められています。
カード情報を保持する場合には「PCI DSS」に準拠することが必要です。PCI DSSとは、国際カードブランドが共同で策定したデータセキュリティの国際基準です。
▶あわせて読みたい:PCI DSSとは?準拠のメリットや認証取得の方法をわかりやすく解説
2. 3Dセキュアでの本人認証
不正利用対策として、本人認証サービス「3Dセキュア」で本人確認を行うようにしましょう。3Dセキュアとは、クレジットカード決済を行う際に、カード情報・事前に設定したパスワード・本人のみが知る属性情報を入力することで、本人認証を行うサービスです。
3Dセキュアには従来の「3-D セキュア1.0」と、新バージョンの「EMV3-Dセキュア(3-D セキュア2.0)」の2種類があります。
「EMV3-Dセキュア(3-D セキュア2.0)」は国際ブランドも推奨する信頼性の高い認証方法で、ワンタイムパスワードや生体認証などが代表的です。2025年3月末までにすべてのEC事業者が導入することが求められています。
3. セキュリティコードを利用した券面認証
クレジットカードに印字されている数字3〜4桁のセキュリティコードでの認証も有効です。カードの券面にのみ印字されているため、クレジットカード本体がなければ決済ができません。クレジットカードの磁気データには含まれていないため、スキミングによる不正利用を防ぐことができます。
4. 不正検知サービス
過去の決済情報を参考に不正利用を検知し、不正な決済を未然に防ぐ「不正検知サービス」を活用する方法もあります。存在しない住所が入力されている場合や、カード名義人が異なる場合、クレジットカードを変更して何度も決済が行われている場合などに検知されます。
不正の配送先情報は、事業者側でデータベース化して蓄積しておけば気付ける可能性もあるため、配送先情報を記録しておくことがおすすめです。
5. チャージバック保険への加入
チャージバック保険とは、定期的な保険料の支払いにより、事業者がチャージバック被害を受けた際に一定の損害額が補償されるサービスです。
クレジットカードの不正利用を直接的に防ぐものではありませんが、万が一不正利用が発生した場合、事業者側の損失を最小限に抑えることができます。
決済代行会社で取り扱っているところもあるため、確認してみてください。
▶あわせて読みたい:【EC事業者向け】チャージバックとは?基本的な仕組みから対策まで解説
まとめ|万全のセキュリティ対策でクレジットカード不正利用の防止へ
クレジットカードの不正利用の被害額は年々増加傾向にあり、対策を講じても新たな詐欺や手口が生まれる可能性があります。
EC事業者は「クレジットカード・セキュリティガイドライン」をよく確認し、求められているセキュリティ対策を必ず実施してください。クレジットカード決済の導入にあたり、決済代行サービスを利用する場合も、決済代行サービスがセキュリティ対策に対応しているか確認しましょう。
決済代行サービス「KOMOJU」は、「PCI DSS v3.2.1」に完全準拠しています。これは、クレジットカード業界において世界レベルのセキュリティ基準である、PCI DSSの最新バージョンです。
強固なセキュリティのもと、KOMOJUでは日本・韓国・中国・東南アジア・ヨーロッパでの主要なオンライン決済方法をまとめて導入でき、10,000を超えるECサイトで活用されています。
クレジットカード不正利用に対するセキュリティ対策の実施とあわせて、KOMOJUの導入を検討してみてください。
この記事はKOMOJUが提供しています。
KOMOJU(コモジュ)は個人から世界的大企業まで様々な事業者が利用している日本の決済プラットフォームです。
