すべてのオンラインビジネスにはリスク管理が必要です。実際に、レピュテーションリスク (ブランドがどのように認識されるかなど) から運用リスク (ダウンタイムなど) まで、さまざまなタイプのリスクが存在します。
このガイドでは、支払いに関連する 3 つのリスクとして、クレジットリスク、不正使用リスク、アカウントの乗っ取りに着目します。リスクを完全になくすのは極めて難しいことですが、リスクを減らす方法はあります。このガイドでは、リスクエクスポージャーを評価して管理する方法について説明し、情報に基づくベストな方針を決定するお手伝いをします。
クレジットリスクと不正使用リスクの概要
ソフトウェアプラットフォームがペイメントファシリテーションをサービスに追加する場合、三者が関わるビジネスモデル (プラットフォーム、プラットフォームを介して支払いを受ける売り手やサービスプロバイダー、売り手やサービスプロバイダーに支払うカード保有者) によって生じる、独特で複雑な 3 つのタイプのリスクに直面します。
クレジットリスク:クレジットリスクが表面化しやすいのは、商品やサービスの注文を何とかして受け付けようとしている売り手が、注文に応えるための財源がなく、対応できる金額以上の返金やチャージバックが積み上がり、事業から撤退する可能性がある場合です。商品やサービスを受け取っていないカード保有者は、チャージバック を申請することになります。一般的に、支払いをサポートするプラットフォームは売り手のアクティビティに責任を負うことに同意しているため、購入者に対して返金する義務が生じます。
不正使用リスク:プラットフォームは不正を行う売り手に関するリスクも管理しなければなりません。たとえば、ひとりの人物が売り手とカード保有者を装い、不正行為を行うケースもあります。この人物は売り手としてアカウント登録をする一方、盗難カードの情報を入手して購入者として不正に支払いを行います。または、偽の売り手が正当なカード保有者からお金をだまし取ることもあります (発送するつもりのない商品の販売など)。
アカウントの乗っ取り:正当な売り手と正当なカード保有者だけしか存在しない場合でも、支払いリスクを完全になくすことはできません。プラットフォームはアカウントの乗っ取りを防ぐための対策も必要です。アカウントの乗っ取りでは、悪意のあるサードパーティが売り手のアカウント認証情報にアクセスして売上を盗みます。
クレジットリスクに対するリスク管理戦略
売り手は (負担しなければならないチャージバックや返金などの形で) 日常的にクレジットリスクにさらされていますが、それに見合うキャッシュフローがある場合がほとんどです。しかし、売上が減少し、返金依頼が増加すると、購入者への返金が追いつかなくなる可能性があり、これがプラットフォーム運営者のリスクにつながります。
たとえば、イベント主催者によるチケット販売が可能なプラットフォームを運営していて、イベントが開催される前に主催者に売上を入金する場合を考えてみましょう。この対面イベントがキャンセルされた場合、イベント主催者はチケット購入者に返金しなければなりません。しかし、イベント主催者が全額返金できるだけの資金を持っていない場合、プラットフォーム運営者がその損失を埋め合わせる責任を負う可能性があります。その結果、プラットフォームが売り手の代わりに多額のクレジットリスクを引き受ける形になり、損失が生じることが考えられます。
クレジットリスクの管理にはさまざまな方法があります。これらの戦略を、アカウント登録、監視、リスクの緩和の 3 つに分類しました。
アカウント登録
新しい売り手が初めてプラットフォームに参加する際は、本質的にリスクが伴います。これは単に、取引実績や処理履歴がないためです。新しい売り手についてより多くの情報を集めることで、リスクを適切に評価し、プラットフォームを健全に保つことができます。たとえば、財務上のアクティビティに基づいて、キャッシュフローの問題に直面して残高がマイナスになる可能性の高いアカウントを事前に特定することができます。
リスクの評価:売り手候補がプラットフォームに参加することを許可する前に、それら候補のリスクをアカウント登録時に評価します。売り手が提供するサービスについて十分な情報を集め、高リスクのカテゴリーに当てはまるかどうかを判断できるようにします。返金ポリシーや予想される取引総額について問い合わせたり、同様のプラットフォームでの運用実績を調べたりします。規模の大きな売り手の場合は、そのビジネスの財務レビューや、個人オーナーおよび取締役の信用調査など、個別に評価を行うことも検討します。
取引の一時的な制限:新規やリスクの高い売り手に対して、プラットフォームでのアクティビティを十分に把握できるようになるまで、複数の一時的な制限を導入することができます。たとえば、1 日当たり、または 1 カ月当たりの総取引量の制限を検討します。限度額を上回ったら入金を一時停止し、取引をレビューします。
リザーブの徴収:リスクの高い売り手から、担保として一定額をリザーブします。売り手がプラットフォーム上で良好な実績を確立するにつれて、徐々にリザーブを解除します。
監視
ビジネスが単純で静的であることはめったになく、時間とともに発展するため、リスクプロファイルも変化します。不審請求の申請やマイナス残高、決済総額、顧客からの苦情などを継続的に監視することで、不正行為を特定してすぐに対応することができます。
アラートの設定:アラートを作成してリスクの高い売り手を監視することで、リスク管理戦略をすぐに調整することができます。リスクの高い売り手ほど、急激な売上高の減少やマイナス残高、不審請求の申請率の上昇 (一般に、不審請求の申請アクティビティが 0.75% を上回ると許容範囲を超えているとみなされます) が起こります。
定期的なレビューの実施:アラートの設定は日常的な売り手の監視に役立ちますが、定期的に詳細なレビューを行うことも重要です。売り手の返金率や不審請求の申請率、決済総額、顧客からの苦情についてレビューを行う必要があります。
売り手への情報共有:売り手が不測の事態に備えるために役立つリソースを作成します。Shopify や Xero の新型コロナウイルス関連のリソース、または Mindbody のハリケーンハービーに関するビジネス向けの情報などが参考になります。
リスクの緩和
新しい売り手や既存の売り手のリスクプロファイルを理解すると、リスクエクスポージャーの積極的な管理を始めることができます。たとえば、プラットフォームにリスクをもたらす可能性が高い売り手については、入金スケジュールを変更し、返金やチャージバックへの対応方法を変更するよう促すことができます。
入金の延期:売り手の平均的な売上高やチャージバック率がわかるまで、入金を延期します。売り手のリスクカテゴリーに応じて入金スケジュールを変えることもできます。たとえば、リスクのより高いカテゴリーに分類される売り手に対して入金スケジュールを長く設定します。すぐに提供されない商品やサービスについては、発送されるまで入金を保留します。こうすることで、売上を入金する前に支払い対象の商品やサービスを顧客が受け取ったことを確認できるため、チャージバックや返金の可能性が低くなります。
マイナス残高を管理:マイナス残高の大きい売り手からの売上回収プロセスを設定します (残高がマイナスの売り手はチャージバックや返金を処理できないため、そのリスクはプラットフォームが負うことになります)。売り手の所在地によっては、自動引き落としを設定して売り手の銀行口座から資金を引き出し、マイナス残高を回収することができます。
リスク集中度を定義:リスクエクスポージャーの最大閾値を、特定の地域 (例: 1 つの国に対するリスクエクスポージャーを全体の X% 以内とする) や特定の売り手 (例: 1 件の売り手に対するリスクエクスポージャーを全体の X% 以内とする) に対して設定することを検討します。リスクエクスポージャーが上限を上回った場合は、リスク管理の方針を強化することができます。
発送日に資金をキャプチャー:支払日とフルフィルメント日のずれを少なくしてリスクを減らします。これは、支払い処理から商品やサービスの発送までの期間が長いリスクの高い売り手 (スポーツイベントやコンサートなどのチケットを販売するイベント主催者など) に対して特に重要です。発送日 (またはできる限り近い時期) に売上をキャプチャーするには、カード保有者の売上を保留するための支払いを作成し、売り手が商品やサービスを発送してから売上をキャプチャーします。
不正使用リスクに対するリスク管理
最も基本的なレベルでは、カード保有者が請求を認めない場合に、その支払いは不正使用であるとみなされます。これは、盗難カードやカードテスティング攻撃などによって生じる可能性があります。よくある例としては、不正行為者による盗難カードを使った購入です。このタイプの不正使用リスクは、不正使用対策ソフトウェア (Stripe Radar など) を利用して防止および管理することができます。
プラットフォームは、カードの不正使用に加え、不正行為を行う売り手に関するリスクも管理しなければなりません。不正リスクの管理にはさまざまな方法があります。これらの戦略を、アカウント登録、監視、リスクの緩和の 3 つに分類しました。
アカウント登録
売り手のアカウント登録は、できる限り多くの情報を集めて、そのビジネスの正当性を確認する良い機会となります。しかしながら、不正使用リスクを防ぐには、既存の売り手や以前に拒否された売り手を照合して重複アカウントを特定するなど、他にも考慮が必要な要素があります。
リスクの評価:アカウント登録時に売り手の本人確認を行い、正当なビジネスであることを確かめます。ソーシャルメディアで売り手のプロフィール情報を調べたり、適切な事業許可証を収集したり、ウェブサイトを確認したりします。テンプレート化されているウェブサイトや、他のウェブサイトから内容がコピーされている場合は要注意です。また、実際の住所や在庫リスト、販売履歴など、プラットフォームに適した情報を調べましょう。
重複アカウントの確認:不正行為を目論む加盟店がプラットフォームに複数のアカウントを開設する可能性があります。これを防ぐには、以前に拒否したアカウントと重複した情報がないかどうかを確認します (銀行口座情報、税に関する情報、名前、生年月日など)。IP アドレスやメールドメインが同じ複数のアカウントなど、アカウント間のつながりを確認することもできます。
リザーブの徴収:リスクの高い売り手から、担保として一定額をリザーブします。売り手がプラットフォーム上で良好な実績を確立するにつれて、徐々にリザーブを解除します。
監視
不正行為を行う売り手は、時間をかけて良好な実績を確立した後に行動に移す可能性もあるため、監視を継続することが重要です。売り手の通常のアクティビティを把握して、大きな変化や急増などを検知する異常検知アラートを設定し、疑わしいアクティビティを見つけた場合に追加の情報を要請できるようにしておきます。
通常の行動の特定:売り手のアクティビティを監視して、どのような特徴があるかを理解します。平均的な月間取引高や、平均的なチャージバックと不審請求の申請率について確認します。これは、疑わしい行動を見つけ、適切に行動をとるためのベンチマークとなります (支払い額や頻度など)。
アラートのカスタマイズ:ルールベースのアラートを作成してリスクの高い売り手を監視し、リスク管理戦略をすぐに調整できるようにします。不正行為が確認された売り手に注目してアクティビティのパターンを見つけ、アラートを調整してカスタマイズします。
追加情報の要請:疑わしい取引を見つけたら、売り手に連絡して詳細な情報を求めます。請求書や在庫の写真、追跡番号などを要請することができます。
リスクの緩和
新しい売り手や既存の売り手のリスクプロファイルを理解すると、リスクエクスポージャーの積極的な管理を始めることができます。たとえば、プラットフォームにリスクをもたらす可能性が高い売り手については、入金スケジュールを変更し、返金やチャージバックへの対応方法を変更するよう促します。
入金の延期:売り手の平均的な売上高やチャージバック率がわかるまで、入金を延期します。売り手のリスクカテゴリーに応じて入金スケジュールを変えることもできます。たとえば、リスクのより高いカテゴリーに分類される売り手に対して入金スケジュールを長く設定します。すぐに提供されない商品やサービスについては、発送されるまで入金を保留します。こうすることで、売上を入金する前に支払い対象の商品やサービスを顧客が受け取ったことを確認できるため、チャージバックや返金の可能性が低くなります。
カードテスティング攻撃の防止:カードテスティング攻撃を察知するためのサインは、支払いの失敗の急激な増加です (失敗したリクエストログで 402 エラーに分類されます)。こうした攻撃を防ぐため、CAPTCHA などの追加のセキュリティ対策を決済ページに導入しましょう。
アカウントの乗っ取りに対するリスク管理戦略
プラットフォームを利用するすべての売り手の正当性を個別に確認したとしても、アカウント乗っ取りという形で不正使用の影響を受ける可能性があります。インターネット上には悪意のあるサードパーティが常に存在しますが、厳格なセキュリティと本人確認の取り組みに投資することで、犯罪者が売り手のアカウントをハッキングするのを防ぐことができます。
本人確認の強化:アカウントの乗っ取りを防ぐ最も効果的な方法の 1 つは、セキュリティや本人確認を厳格化することです。たとえば、独自のパスワードポリシーを適用し、ログイン時に 2 段階認証を行います。
疑わしいアクティビティの監視:入金をすぐに一時停止できるように、アカウントの乗っ取りの兆候を理解することが重要です。アカウントの乗っ取りの一般的な兆候として、決済総額や平均注文額の急激な増加、または新しいデバイスや国外の IP アドレスからのログインなどがあります。
Stripe で利用できるリスク管理オプション
Stripe を使用するプラットフォームには 2 つのリスク管理オプションがあり、Stripe がお客様の支払いリスクを管理するか、お客様自身でリスクを管理するかを選択できます。最も一般的なアプローチでは、Stripe がリスク管理をサポートして、作業などにかかる余分な時間を削減し、リスクエクスポージャーを減らします。Stripe によるリスク管理では、お客様の代わりに Stripe が積極的にリスクを監視して管理し、回収不能のマイナス残高を補います。
経済の急速なデジタル化に企業が対応できるようにするため、世界最大のソフトウェア企業の 1 つである Salesforce は Stripe と提携し、Salesforce Commerce Cloud を立ち上げました。Salesforce は、自社のコアコンピテンシーではない決済に関するリスク管理を Stripe に任せることで、顧客のための強力なコマースソリューションの構築に注力することができました。
リスクに対する専門知識があり、売り手をよく理解しているのであれば、お客様自身でリスク管理を行うこともできます。ご自身でのリスク管理を選択するプラットフォームには通常、運用やエンジニアリングの専任担当者がいて、自社で開発した不正使用ソリューションの構築や維持、サードパーティツールの統合、不正使用による損失の監視と報告を行います。
リスク管理専任チームに加え、リスクの影響を受ける可能性がある社内の他の部署とも連携する必要があります。
法務チーム:社内の法務ゼネラリストや決済商品の法務スペシャリストは、関連法や規制、業界規則の最新情報を常に把握し、複数部署で構成されるチームと協力して監査や問い合わせに対応する必要があります。
サポートチーム:社内あるいは外部でカスタマーサービスを担当するチームは、チャージバックや不審請求の申請、入金の遅れなど、リスク管理アクティビティに関するユーザーの質問に回答できるようにしておく必要があります。
ご自身でリスクを管理する場合は、Stripe の以下の強力なリスク防止および監視ツールセットを利用して、アプローチをカスタマイズすることができます。
売り手のアカウント登録:コンバージョンが最適化された構築済みの UI を利用して、本人確認に必要な機密性の高い個人情報や身分証明書を安全に回収し、迅速かつ安全に、売り手のアカウント登録を行います。Stripe は何百万ものアカウントの本人確認を行ってきた実績を活かし、独自のシステムを利用して少ない負担で多くの売り手を承認します。Stripe のアカウント登録フロー は、規制の変更や所在する国に合わせて動的に更新され、事業の成長や新規市場への参入に合わせたシームレスなアカウント登録体験を提供します。
本人確認:プロの不正行為者に特に狙われやすいプラットフォームでは、Stripe Identity を利用して、偽の加盟店の不正による損失を防ぐことができます。これを利用すると、正当な顧客の負担を最小限にしながら、世界中の売り手の本人確認をプログラムで行うことができます。
不審請求と返金情報の把握:構築済みの Stripe ダッシュボードで売り手の健全性 (およびリスク) を監視します。ダッシュボードでは、プラットフォームのパフォーマンスのさまざまな分析やリアルタイムのチャートを表示したり、Stripe Sigma を利用してダッシュボードに直接 SQL クエリを書き込み、Stripe データをすぐに分析したりできます。データへのアクセスを構造化することで、どのアカウントが最も多く不審請求の申請や返金を処理しているかを特定し、長期的な傾向をつかむことができます。Webhook を構築して不正使用の可能性がある行動に対するアラートを設定し、残高がマイナスのアカウントまたは返金やチャージバック率の高いアカウントを調査します。
柔軟な入金スケジュール: Stripe Connect では、売り手のリスクプロファイルに応じて、さまざまな入金スケジュールオプションを利用することができます。実績のある売りの場合は、即時 または日次で自動的に入金することができます。高リスクのアカウントの場合は、カスタムの入金スケジュールを設定して入金の延期や保留を選択できます。
機械学習を活用した不正使用対策: Stripe Radar は不正取引を検出し防止するための最新のツールセットです。その中核となるのは適応型機械学習で、アルゴリズムによってすべての取引の不正リスクを評価し、適切な対応をとります。Radar は (売り手ではなく) カード保有者の不正取引に特化しています。Stripe の組み込みの料金体系に含まれており、無料でご利用いただけます。また、Radar for Teams にアップグレードして独自のルールベースのロジックを設定し、不正使用に対応する専門家のための他の強力なツールを使用することもできます。
リスク管理に関連する Stripe の製品や機能、サービス内容についての詳細は、営業チームにお問い合わせください。