ソフトウェアプラットフォームのためのリスク管理基本ガイド

ソフトウェアプラットフォームを運営する上で、支払いに関連するリスクはつきものです。完全になくすのは極めて難しいことですが、リスクを減らす方法はあります。このガイドでは、リスクエクスポージャーを評価して管理する方法について説明し、情報に基づくベストな方針を決定するお手伝いをします。

Radar
Radar

Stripe ネットワークの力で不正利用を防止します。

もっと知る 
  1. はじめに
  2. クレジットリスクと不正使用リスクの概要
  3. クレジットリスクに対するリスク管理戦略
    1. オンボーディング
    2. モニタリング
    3. 軽減
  4. 不正使用リスクに対するリスク管理
    1. オンボーディング
    2. モニタリング
    3. 軽減
  5. アカウントの乗っ取りに対するリスク管理戦略
  6. Stripe で利用できるリスク管理オプション
  7. Stripe の使用を開始する 

すべてのオンラインビジネスにはリスク管理が必要です。実際に、レピュテーションリスク (ブランドがどのように認識されるかなど) から運用リスク (ダウンタイムなど) まで、さまざまなタイプのリスクが存在します。

risk guide tree - JP

このガイドでは、支払いに関連する 3 つのリスクとして、クレジットリスク、不正使用リスク、アカウントの乗っ取りに着目します。リスクを完全になくすのは極めて難しいことですが、リスクを減らす方法はあります。このガイドでは、リスクエクスポージャーを評価して管理する方法について説明し、情報に基づくベストな方針を決定するお手伝いをします。

クレジットリスクと不正使用リスクの概要

ソフトウェアプラットフォームがペイメントファシリテーションをサービスに追加する場合、三者が関わるビジネスモデル (プラットフォーム、プラットフォームを介して支払いを受ける売り手やサービスプロバイダー、売り手やサービスプロバイダーに支払うカード保有者) によって生じる、独特で複雑な 3 つのタイプのリスクに直面します。

risk guide platform role - JP

  • クレジットリスク:クレジットリスクは、販売者が商品やサービスの注文を履行する意図はあるものの、十分な資金がなく、返金やチャージバックが財務的にカバーできない額まで蓄積し、最終的に事業から撤退する可能性がある場合に現れます。商品やサービスが提供されなかった場合、カード保有者はチャージバックを要求することができます。一般的に、支払いを仲介するプラットフォームは販売者の活動に対して責任を負うことに同意しているため、その顧客に対して資金を支払う義務が生じます。

  • 不正リスク:プラットフォームは、不正な販売者やアカウントに関するリスクも管理する必要があります。例えば、同じ人物が不正な販売者であり不正なカード保有者である場合があります。この場合、その人物は盗まれたカード情報にアクセスし、プラットフォームにアカウントを登録して、盗まれたカードで自分に支払いを行います。また、不正な販売者と正当なカード保有者が関与するケースもあります。販売者がカード保有者を欺いて金銭を得る場合 (例: 提供するつもりのない商品を販売する) です。プラットフォームは、ファーストパーティ不正やフレンドリー詐欺と呼ばれる不正の種類にも対処する必要があります。これは、正当なカード保有者が購入を行った後に、後日その取引を争う場合に発生します。これは、明細に取引が認識できなかったための偶発的な場合もあれば、購入後の後悔や支払わずに商品を不正に取得しようとする意図的な場合もあります。

  • アカウントの乗っ取り:正当な販売者と正当なカード保有者であっても、支払いリスクを完全に排除できるわけではありません。プラットフォームは、第三者が販売者のアカウント認証情報に不正にアクセスして資金を盗む「アカウント乗っ取り」のリスクも管理する必要があります。

risk guide merchant intent - JP

クレジットリスクに対するリスク管理戦略

ほとんどの販売者は、通常、チャージバックや返金などでクレジットリスクを抱えていますが、それに対応できるキャッシュフローを持っています。しかし、販売者の売上が減少し、返金リクエストが増えると、顧客に返金できなくなる可能性があり、これがあなたにとってリスクとなります。

たとえば、あなたがイベント主催者向けのプラットフォームを運営しており、イベント開催前に主催者へ支払いを行うとします。もし対面イベントがキャンセルされた場合、主催者は顧客に返金を行わなければなりません。しかし、主催者が返金を完了するのに十分な資金を持っていなければ、プラットフォームであるあなたがその損失を補填する責任を負うことになります。その結果、販売者に代わって多額のクレジットリスクを抱えることになり、損失のリスクにさらされる可能性があります。

クレジットリスクの管理にはさまざまな方法があります。これらの戦略を、オンボーディング、監視、軽減の 3 つに分類しました。

オンボーディング

新規アカウントは、プラットフォームに参加したばかりの時点では実績や取引履歴がないため、そもそもリスクが高いといえます。アカウントに関する情報を多く集めるほど、自身のリスクを正確に評価し、プラットフォームの健全性を維持しやすくなります。たとえば、金融取引の状況に基づいて、キャッシュフローに問題が生じやすいアカウントや、残高がマイナスになる可能性のあるアカウントを事前に特定することができます。

  • リスクの評価:アカウントをプラットフォームに参加させる前に、オンボーディング時点で潜在的なリスクを評価しましょう。提供されるサービスに関する十分な情報を収集し、それが高リスクカテゴリーに該当するかどうかを判断できるようにします。返金ポリシーや想定される総支払額について確認したり、同様のプラットフォームでの運営履歴を調査したりすることが可能です。大口の販売者に対しては、より手動の評価として、個々のオーナーや事業ディレクターに対する財務レビューや信用調査も検討してください。

  • 取引の一時的な制限:新規または高リスクのアカウントに対しては、プラットフォーム上での活動を十分に把握できるまで、いくつかの一時的な管理措置を導入すると良いでしょう。例えば、1 日または 1 か月あたりの総取引額を制限することが考えられます。上限を超えた場合は、取引を確認するために支払いを一時停止することができます。

  • リザーブの収集: Stripe の Reserves API(Radar for Platforms の一部) を使って、潜在的にリスクのある販売者のために一定額を担保として確保しましょう。販売者がプラットフォーム上で良好な実績を積むにつれて、準備金を徐々に解放することができます。

モニタリング

ビジネスが単純で静的であることはめったになく、時間とともに発展するため、リスクプロファイルも変化します。不審請求の申請やマイナス残高、決済総額、顧客からの苦情などを継続的に監視することで、不正行為を特定してすぐに対応することができます。

  • アラートの設定:リスクの高い販売者を監視するアラートを作成し、リスク管理戦略を迅速に調整できるようにしましょう。リスクの高い販売者は、取引量が急激に減少したり、残高がマイナスになったり、紛争発生率が高くなる傾向があります (紛争発生率が 0.75%を超える場合は一般的に過剰と見なされます)。

  • 定期的なレビューの実施:アラートを設定して日々の監視を行うことも重要ですが、定期的に深掘りしたレビューを行うことも大切です。販売者の返金率や紛争率、取引量、顧客からの苦情などを確認しましょう。

  • 売り手を教育する:販売者が予期せぬ事態に備えられるよう、リソースを提供しましょう。たとえば、ShopifyXero のCOVID-19リソースや、Mindbody のハリケーンハービーに関する事業者向け情報などがあります。

軽減

新規および既存の販売者のリスクプロファイルを把握したら、リスクへの露出を積極的に管理し始めることができます。たとえば、プラットフォームにリスクをもたらす可能性が高い販売者に対しては、支払いスケジュールを変更したり、返金やチャージバックの対応方法を見直すよう促すことができます。

  • 入金の延期:販売者の平均取引量やチャージバック率を把握するまで、支払いを遅らせましょう。支払いスケジュールを販売者のリスクカテゴリーに連動させることも可能です。例えば、リスクが高いほど支払いまでの期間を長く設定します。すぐに提供されない商品やサービスについては、納品完了まで支払いを保留しましょう。これにより、顧客が支払った商品やサービスを受け取ったことを確認してから資金を解放できるため、チャージバックや返金の可能性を減らすことができます。

  • マイナス残高を管理:大きなマイナス残高に陥った販売者から資金を回収するプロセスを整備しましょう (マイナス残高の販売者はチャージバックや返金を処理できないため、リスクはプラットフォーム側に降りかかります)。販売者の所在地域によっては、銀行口座から自動的に資金を引き落としてマイナス残高を回収できる自動引き落としを設定することも可能です。

  • リスク集中度を定義:特定の地域 (例: 総リスクのうち、単一の国からの割合は X% に制限) や特定の販売者 (例: 総リスクのうち、単一の販売者からの割合は X% に制限) に対して、最大リスク許容値を設定することを検討しましょう。このしきい値を超えた場合は、リスク管理方針を強化することができます。

  • 納品日に売上を確保する:支払い日と提供日との間のギャップを縮めることで、リスク露出を減らします。これは、商品やサービスの提供よりもずっと前に支払いを処理する高リスクの販売者 (例: スポーツイベントやコンサートのチケットを販売する主催者) にとって特に重要です。納品日に資金を確保する (または可能な限り近い日付で確保する) ために、カード保有者の資金に仮押さえを設定 し、販売者が商品やサービスを提供した後に資金を確定する方法を取ります。

不正使用リスクに対するリスク管理

基本的なレベルでは、カード保有者が支払いを承認していない場合、その支払いは不正と見なされます。これは、カードの盗難やカードテスト攻撃が原因となることがあります。よくある例としては、詐欺師が盗まれたカードを使って購入を行うケースです。この種の不正リスクは、Stripe Radar のような不正検知ソフトウェアを使って防止・管理することが可能です。

プラットフォームは、カードの不正使用に加え、不正行為を行う売り手に関するリスクも管理しなければなりません。不正リスクの管理にはさまざまな方法があります。これらの戦略を、オンボーディング、監視、軽減の 3 つに分類しました。

オンボーディング

アカウントや販売者のオンボーディングは、ビジネスの正当性を確認するためにできるだけ多くの情報を収集するチャンスです。しかし、不正リスクを防ぐためには、既存アカウントや過去に却下されたアカウントを照合して重複アカウントを特定するなど、追加で考慮すべき要素があります。

  • リスクの評価:オンボーディング時に売り手の本人確認を行い、正当なビジネスであることを確かめます。ソーシャルメディアで売り手のプロフィール情報を調べたり、適切な事業許可証を収集したり、ウェブサイトを確認したりします。テンプレート化されているウェブサイトや、他のウェブサイトから内容がコピーされている場合は要注意です。また、実際の住所や在庫リスト、販売履歴など、プラットフォームに適した情報を調べましょう。

  • 重複アカウントの確認:不正行為を行う人物は、プラットフォーム上で複数のアカウントを開設することがあります。これを防ぐために、過去に却下されたアカウントに関連する情報 (銀行口座情報、税務情報、氏名や生年月日など) を照合して重複アカウントがないか確認しましょう。また、同一 IP アドレスやメールドメインからの複数アカウントなど、アカウント間の関連性も考慮するとよいでしょう。

  • 準備金の確保:潜在的にリスクのある販売者のために、一定額を担保として確保しましょう。販売者がプラットフォーム上で良好な取引実績を積むにつれて、準備金を徐々に解放することができます。

モニタリング

不正を行う販売者は、詐欺を実行する前にプラットフォーム上で良好な実績を築くことがあります。このため、継続的な監視が非常に重要です。通常の販売者の活動パターンを把握し、異常検知アラートを設定して大きな変化や急増を把握できるようにし、怪しい活動が見られた場合には追加情報の提供を求める準備をしておきましょう。

  • 通常の行動の特定:販売者の活動を監視し、典型的な行動パターンを理解しましょう。月間平均取引量はどのくらいか、平均チャージバック率や紛争発生率はどのくらいかを確認します。これにより、取引額や頻度などの怪しい行動を判断する基準ができ、適切な対策を取ることが可能になります。

  • アラートのカスタマイズ:ルリスクの高い販売者を監視するルールベースのアラートを作成し、リスク管理戦略を迅速に調整できるようにしましょう。確認された不正販売者の活動におけるパターンを分析し、アラートを調整・カスタマイズする参考にします。

  • 追加情報の要求:怪しい取引行動を確認した場合は、販売者に連絡して追加情報を取得しましょう。請求書、在庫の写真、追跡番号などの提出を求めることができます。

軽減

新規および既存の販売者のリスクプロファイルを把握したら、リスクへの露出を積極的に管理し始めることができます。例えば、プラットフォームにリスクをもたらす可能性が高い販売者に対しては、支払いスケジュールを変更したり、返金やチャージバックの対応方法を見直すよう促すことができます。

  • 入金の延期:販売者の平均取引量やチャージバック率を把握するまで、支払いを遅らせましょう。支払いスケジュールを販売者のリスクカテゴリーに連動させることも可能です。例えば、リスクが高いほど支払いまでの期間を長く設定します。すぐに提供されない商品やサービスについては、納品完了まで支払いを保留しましょう。これにより、顧客が支払った商品やサービスを受け取ったことを確認してから資金を解放できるため、チャージバックや返金の可能性を減らすことができます。

  • カードテスティング攻撃の防止:カードテスティング攻撃を察知するためのサインは、支払いの失敗の急激な増加です (失敗したリクエストログで 402 エラーに分類されます)。こうした攻撃を防ぐため、CAPTCHA などの追加のセキュリティ対策を決済ページに導入しましょう。

アカウントの乗っ取りに対するリスク管理戦略

プラットフォーム上のすべての販売者の正当性を自分で確認したとしても、アカウント乗っ取りという形での支払い詐欺のリスクは残ります。インターネット上には常に悪意のある第三者が存在しますが、厳格なセキュリティ対策や本人確認の取り組みに投資することで、悪意ある行為者が販売者のアカウントに不正アクセスするのを防ぐことができます。

  • 本人確認の強化:アカウントの乗っ取りを防ぐ最も効果的な方法の 1 つは、セキュリティや本人確認を厳格化することです。たとえば、独自のパスワードポリシーを適用し、ログイン時に二段階認証を行います。

  • 疑わしいアクティビティの監視:入金をすぐに一時停止できるように、アカウントの乗っ取りの兆候を理解することが重要です。アカウントの乗っ取りの一般的な兆候として、決済総額や平均注文額の急激な増加、または新しいデバイスや国外の IP アドレスからのログインなどがあります。

Stripe で利用できるリスク管理オプション

Stripe を利用するプラットフォームには、リスク管理に関して 2 つの選択肢があります。1)Stripe に支払いリスクの管理を任せる、または 2)自分自身でリスク管理を行う、のいずれかです。最も一般的な方法は、Stripe に支払いリスクの管理を任せることで、運用負荷を軽減し、リスクへの露出を減らすことです。Stripe Managed Risk を利用すると、クレジットリスクや不正リスクの継続的な監視・軽減を含む、エンドツーエンドのリスク管理ソリューションの恩恵を受けられます。Stripe はプラットフォーム上の事業者に起因する回収不可能なマイナス残高も含め、リスクを積極的に監視・管理します。このオプションは、リスク管理を外部に委ね、専門知識に関わらず、コア業務に集中できる理想的な方法です。

経済の急速なデジタル化に企業が対応できるようにするため、世界最大のソフトウェア企業の 1 つである Salesforce は Stripe と提携し、Salesforce Commerce Cloud を立ち上げました。Salesforce は、自社のコアコンピテンシーではない決済に関するリスク管理を Stripe に任せることで、顧客のための強力なコマースソリューションの構築に注力することができました。

リスクに関する専門知識があり、販売者を十分に理解している場合は、自身でリスク管理を行うことも可能です。独自でリスク管理を行うプラットフォームは、通常、専任のオペレーションやエンジニアリングリソースを確保して自前の不正検知ソリューションを構築・維持し、発生する可能性のある損失に対する十分な資本を割り当て、サードパーティツールと統合し、不正による損失を監視・報告します。

リスク管理専任チームに加え、リスクの影響を受ける可能性がある社内の他の部署とも連携する必要があります。

  • 法務チーム:社内の法務ゼネラリストや決済商品の法務スペシャリストは、関連法や規制、業界規則の最新情報を常に把握し、複数部署で構成されるチームと協力して監査や問い合わせに対応する必要があります。

  • サポートチーム:社内あるいは外部でカスタマーサービスを担当するチームは、チャージバックや不審請求の申請、入金の遅れなど、リスク管理アクティビティに関するユーザーの質問に回答できるようにしておく必要があります。

ご自身でリスクを管理する場合は、Stripe の以下の強力なリスク防止および監視ツールセットを利用して、アプローチをカスタマイズすることができます。

アカウントと取引の不正を防止: Stripe Radar for platforms は、プラットフォーム向けに構築された金融リスク保護機能で、Stripe ネットワークで学習した AI を活用して、支払いやアカウント全体での不正を防ぎます。プラットフォームはこのツールを使って、潜在的にリスクのあるアカウントを検出・ブロックしたり、アカウント単位のカスタムルールを設定したり、高度な分析機能にアクセスしたりできます。Radar のルールエンジンはアカウントレベルおよび取引レベルの両方でアクションを設定可能で、プラットフォームが自社のビジネスに合わせた不正防止対策を設計するのに役立ちます。また、Stripe はオンボーディング時に不正な接続アカウントをブロックする継続的なアカウントスクリーニングを提供し、アカウント乗っ取りのリスクから保護します。

アカウントのオンボーディング: 事前構築され、コンバージョン最適化された UI を使用して、迅速かつ安全にアカウントをオンボーディングできます。これにより、本人確認に必要な機密情報や身分証明書を安全に収集できます。Stripe は、数百万件のアカウントを検証してきた経験を活かし、独自のシステムを用いて、より少ない摩擦で多くの事業者を承認します。Stripe のオンボーディングフローは、規制や国際的な所在地の変化に応じて動的に更新されるため、成長や新しい市場進出に合わせてスムーズなオンボーディング体験を提供します。

本人確認:プロの詐欺師によるリスクが高いプラットフォームでは、Stripe Identity を利用することで、偽アカウントによる不正損失を防ぐことができます。これにより、世界中の販売者の身元をプログラム的に確認しつつ、正当な顧客に対する摩擦を最小限に抑えられます。

紛争および返金情報の把握:事前構築された Stripe ダッシュボードを使って、販売者の健全性 (およびリスク) を監視できます。ダッシュボードでは、プラットフォームのパフォーマンスに関するさまざまな分析やリアルタイムチャートが提供されます。また、Stripe Sigma を使えば、SQL クエリを直接ダッシュボード上で作成して Stripe データを素早く分析できます。データに構造化されたアクセスを持つことで、どのアカウントが最も多くの紛争や返金を処理しているかを特定し、時間の経過による傾向を把握できます。潜在的な不正行為に対するアラートを作成するためのウェブフックを構築し、マイナス残高や高い返金・チャージバック率のアカウントを調査しましょう。

柔軟な入金スケジュールの設定:Stripe Connect では、販売者のリスクプロファイルに応じて、さまざまな入金スケジュールを設定できます。既存の販売者には、資金を即時または毎日自動的に支払う設定を選択できるほか、リスクの高いアカウントに対しては支払いを遅らせたり、保留したりするカスタムスケジュールを設定することも可能です。

Stripeが提供するリスクマネジメントの詳細については、当社の営業チームまでお問い合わせください。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Radar

Radar

Stripe ネットワークの力で不正利用を防止します。

Radar のドキュメント

Stripe Radar を使用して不正利用からビジネスを守ります。