カード詐欺 (対面不正利用とも呼ばれる) とは、カードの不正利用の一種で、店頭など実店舗での商品購入に、盗まれた、または偽造されたクレジットカードもしくはデビットカードが犯罪者によって使用されることをいいます。カード詐欺では、盗まれたカードか、カードの磁気ストライプまたはチップの情報を盗みとって作成した偽造カードが使用されます。カードのチップは、盗まれると使用できなくなるように技術が改良されてきましたが、犯罪者は絶えず新たな方法を編み出しており、クレジットカードまたはデビットカードを所有している米国人の 60% が、不正利用を1 回以上経験していると報告されています。
こちらの記事では、カード詐欺の概要とその仕組み、ならびに、その発見方法や防止方法など、カード詐欺について企業が知っておくべきことについてご紹介します。
この記事の内容
- カード詐欺の仕組み
- カード詐欺と不介在詐欺
- カード詐欺が企業とその顧客に及ぼす影響
- カード詐欺の発見方法と防止方法
カード詐欺の仕組み
カード詐欺には、盗まれたカードが使用される場合と、偽造カードが使用される場合の 2 種類があります。
盗まれたカードが使われる場合: クレジットカードまたはデビットカード本体を盗んで、POS 端末、ATM、その他実店舗の機器で使用します。
偽造カードが使われる場合: 盗んだカードの情報を使って偽造のクレジットカードまたはデビットカードを作り、それらを使用して実店舗で商品を購入します。
窃盗犯は以下のような方法を使用してカード情報を盗み、偽造カードを作成します。
カード詐欺と不介在詐欺
カード介在 (CP) 詐欺
このタイプの不正利用は、店頭での取引時に、物理的なクレジットカードまたはデビットカードが介在して起きます。この場合では、盗まれたカード本体か、盗んだカード情報を使って作成された偽造カードが使われます。
セキュリティ対策: 購入者に、取引を完了する際に、サインまたは個人識別番号 (PIN) の提示を求めます。
リスクレベル: CP 詐欺は、物理的なカードを使用することでセキュリティのレベルが上がることから、カード不介在詐欺に比べるとリスクが低いとみなされています。
処理手数料: カードが介在する取引は、介在しない取引よりも不正利用のリスクが低いため、手数料は、通常は低く抑えられています。
責任: チップ対応端末でチップカードが不正利用された場合、その責任は多くの場合、売り手の企業ではなくカード発行会社 (銀行) が負います。ただし、EMV 対応のカードリーダーが使用されていなければ、企業が責任を問われる可能性があります。
カード不介在 (CNP) 詐欺
このタイプの不正利用は、取引時に、物理的なカードが介在せずに起きます。CNP 詐欺は、盗んだカード情報を使ってオンライン、スマートフォン、メールなどで商品を購入することを指し、盗まれた情報の多くは、データ漏洩やフィッシングにより入手されています。
セキュリティ対策: 購入者が取引を完了するには、セキュリティコード (CVV) を入力する、アドレスを検証する、3D セキュアを使って認証する、などのプロセスが必要になります。
リスクレベル: CNP 詐欺は、カード保有者を物理的に本人確認する手段が CP 詐欺よりも少ないことから、CP 詐欺に比べてリスクが高いとみなされています。
処理手数料: カードが介在しない取引は、介在する取引よりも不正利用のリスクが高いため、手数料は、通常は高めです。
責任: CNP 詐欺は、ほとんどのケースで企業が責任を負います。
カード詐欺が企業とその顧客に及ぼす影響
企業への影響
経済的損失: 不正な取引が発生すると、企業は経済的な損失をじかに被ります。顧客から不正利用の報告があったときは、企業はチャージバックを行わなければならず、取引金額、紛失した商品、チャージバック手数料などの損失が生じます。
評判の低下: 不正取引は、企業の評判を落とします。顧客は、不正があった企業を安全でないとみなすため、信頼や顧客ロイヤルティの低下につながります。
コストの増加: 不正取引がたびたび起きている企業は、POS システムの改良、監視の強化、不正防止に向けた従業員トレーニングなど、より強力なセキュリティ対策を講じる必要があるため、追加コストが発生することになります。
業務の中断: 不正利用の調査、監査、法的手続きなどにより業務が中断し、従業員の生産性が妨げられます。
法令遵守と責任: カード詐欺の被害にあった企業は法令遵守に関するレビューの対象となり、過失が認められた場合には賠償責任を問われる可能性があります。
顧客への影響
金銭的問題: 顧客は、自分のカードが不正利用されると金銭的問題に直面する可能性があります。多くの銀行やカード発行会社はゼロライアビリティポリシーを用意していますが、問題が解決するまでには時間も労力もかかります。
不便になる: カード詐欺への対応は顧客にとってストレスが大きく、さまざまな不便も生じます。カードの利用を停止し、新しいカードを注文して、自動決済の情報を更新したり、色々な財務処理の中断に対応したりしなくてはなりません。
なりすまし犯罪のリスク: カード詐欺は、個人情報をこれ以外にも盗まれると、より広範囲のなりすまし犯罪につながる可能性があります。顧客の財務上の安全が、長期にわたり脅かされることになりかねません。
取引の遅れ: 自分のカードに不正利用の警告が発せられた場合、顧客は取引が遅れたり、手続きが複雑化したりする可能性があります。そうなると、必要なときに買い物をしたり現金を引き出したりすることができなくなります。
カード詐欺の発見方法と防止方法
カード詐欺の発見および防止には、最先端のテクノロジー、データの分析、顧客の教育、そしてスタッフによる細心の注意を組み合わせた対策が必要です。企業は、以下のような戦略をとることで、カード詐欺を発見し、防止することができます。
取引プロセス
セキュリティ対策の手順: カード所有者の本人確認や、不正利用の疑いがあった場合の報告など、カード取引を処理する際の明確なセキュリティ対策の手順を策定します。
顧客の本人確認: 取引時に、生体認証 (指紋、顔認証)または PIN コード、生体認証、ワンタイムパスワード (OTP) などを取り入れた多要素認証を使用して、カード保有者の本人確認を行います。取引に不審な点があれば、秘密の質問や顧客のプロフィールを使用してカード保有者を本人確認します。
POS 端末のセキュリティ: 暗号化キーパッドや安全なカードリーダーなどのセキュリティ機能が組み込まれた、改ざん防止機能を搭載した POS 機器を導入します。部品がゆるんでいたり不審なものが付着していたりするなど、改ざんの兆候がないか、定期的にチェックします。
デバイス認証: デバイスの認証を実施し、取引の処理には承認済みの端末のみを使用するようにします。.それにより、「ゴースト端末」や不正な POS システムの使用を防ぐことができます。
即時アラート: リアルタイムアラートを実装し、不審な取引が発生したときはすぐにアラートが発行されるようにします。アラートは、カード保有者と不正防止チームに送信されます。
不正利用のスコアリングシステム: 場所、取引タイプ、頻度、カード保有者の履歴など、複数の要因をもとに、取引にリスクスコアを付けます。スコアが高い取引には、認証のプロセスをさらに追加します。
取引のモニタリング
顧客のプロフィール: 買い物の傾向、選択された所在地、取引金額などを含む、固定客の詳細なプロフィールを作成し、普段と異なる動きがあれば特定できるようにしておきます。たとえば、購入金額が過度に高額である、短時間で取引を複数回実行している、短時間で異なる場所から購入している、などです。
機械学習: 機械学習のアルゴリズムを使うと、取引のパターンをリアルタイムで分析し、異常をすばやく検知してただちに対策を講じ、不正な取引を未然に防ぐことができます。
位置情報に基づいたモニタリング: 位置情報の追跡機能を POS システムに実装し、位置情報のパターンに基づいて不審なカード利用を検知します。それにより、カード詐欺の可能性を企業に注意喚起することができます。
予測モデル: 過去のインシデントに基づいてパターンや相関性を特定し不正利用の可能性を予測する予測モデルを使って、予防的対策に生かします。
クロスチャネルデータ: 自社の POS システムを E コマースのチャネルと連携させ、顧客の行動を包括的に把握します。それにより、チャネルを横断して不正利用のパターンを明らかにすることができます。
テクノロジー
EMV チップ技術: EMV チップ対応のカードリーダーを導入します。チップ技術は磁気ストライプよりも安全性が高いため、偽造カードが使われるリスクを減らすことができます。
非接触型決済: 非接触型決済の利用を促すことで、カードのスキミングリスクをできる限り抑えることができます。
エンドツーエンドの暗号化: カードデータを取得時点から処理時点まで暗号化し、スキミングやシミングによる傍受を防ぎます。
安全なペイメントゲートウェイ: 強固な暗号化が施され、PCI データセキュリティ基準 (PCI DSS) などの業界標準に準拠している、安全性の高いペイメントゲートウェイを使用します。
安全なネットワーク: 安全なネットワークおよびファイアウォールを使用して、決済システムへの不正アクセスを防ぎます。
教育と意識向上
不正利用の検知トレーニング: 不審な行動、改ざん、異常な購入パターンなど、カード詐欺の兆候に従業員が気づけるよう、トレーニングを実施します。また、適切な対処方法についても指導します。
顧客とのコミュニケーションとフィードバック: 取引時に顧客とコミュニケーションを取るよう従業員に促します。一対一でコミュニケーションを取る時間を増やすことで、異常な行動にすぐに気づくことができます。フィードバックの仕組みを作り、顧客が懸念や不審な行動について報告できるようにします。
顧客の教育: 顧客に、カード詐欺のリスクについて伝え、自分のカード取引を定期的にチェックして不審な購入履歴がないか確認するよう促します。
法令遵守と協力体制
ネットワークとの協力: 不正利用の検知や防止に関するネットワーク、あるいは業界団体に参加して、情報を共有したり、新たな不正利用の傾向の特定について協力したりします。
法執行機関との連携: 現地の法執行機関と連携し、不正利用の疑いをすみやかに報告し、調査します。
業界の法令遵守: 業界の規制や基準を遵守し、ハイレベルなセキュリティを維持して、不正利用に関連した責任リスクを回避します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。