E コマースセクターにおけるオンライン決済詐欺による世界的な損失額は、2024 年で約 440 億ドルと推定されています。しかし、取引が詐欺であることが判明した場合、誰が支払うのでしょうか？それは、支払いがどのように処理されたか、どのセキュリティツールが使用されたか、そしてどのようなルールが適用されたかによって決まります。この責任の移転は「ライアビリティシフト」と呼ばれ、決済システムにおける重要な要素にもなっています。残念ながら、多くの企業はこれを考慮することなく、責任を負うときに初めて気づきます。

以下では、ライアビリティシフトがどのように機能するか、いつ発生するか、そしてその知識をどのように活用するかを正確にご紹介します。

この記事の内容

• カード決済におけるライアビリティシフトとは？
  
• ライアビリティシフトの発生タイミングと責任の所在
  
• ライアビリティシフトは不正利用防対策にどのように影響するか
  

カード決済におけるライアビリティシフト

ライアビリティシフトは、支払いが不正なものであると特定された場合に誰が責任を負うかを定義します。その責任は、決済チェーン内で誰が適切なセキュリティツールを使用したかによって変わる可能性があります。最終的には、どの当事者が取引を保護できなかったかで過失が決まります。

企業が EMV (Europay、Mastercard、Visa) チップリーダーや 3D セキュア (3DS) などの最新のセキュリティプロトコルを使用していても不正利用が生じた場合、責任は通常カード発行会社に移ります。企業がこれらの保護を放棄していた場合、イシュアーが責任を負うことはありません。企業 (またはそのアクワイアラー) は、チャージバックに対して財務的に責任を負うことになります。

この責任の転換は故意に行われるものです。カードネットワークは、より強固なセキュリティの導入を促進するために、これを利用しています。より強力な認証を導入すれば、不正利用の損失を補償しなくて済みます。

カードネットワーク規則は、厳格な論理に従い責任を評価します。

• 企業は利用可能な認証方法を実装しているか？

• 取引は適切なチャネルを通じて処理されているか？

両方の答えが「はい」であれば、企業は保護されます。そうでなければ、保護から外れ、リスクにさらされます。

ライアビリティシフトの発生タイミングと責任の所在

ライアビリティシフトはすべての取引に適用されるわけではありません。不正を検知・防止するために特定の技術やプロトコルが使用されている (または使用されていない) 場合にのみ発生します。これらの条件が満たされている場合、不正利用リスクは企業からイシュアーに移ります。そうでない場合は、企業が責任を負うことになります。

ここでは、さまざまな種類の取引に対してライアビリティシフトが発生するタイミングと原因を詳しく見ていきます。

EMV チップカード取引

顧客が支払いのために EMV チップカードを提示したが、企業がチップリーダーを使用して処理しなかった場合、企業はその取引に関連する不正利用について責任を負います。これは次のことを意味します。

• 企業は EMV をサポートしていないが、カードにチップがある場合、企業 (またはそのアクワイアラー) が損失を負います。

• 企業がチップカードで EMV リーダーを使用した場合、いシュアーが責任を負う可能性があります。

これは、「損傷した製品」の請求など、カードの不正利用に関連しない不審請求の申し立てには影響しません。企業はこれらに対しても責任を負います。

オンライン取引

オンライン決済またはモバイル決済におけるライアビリティシフトは、通常、3DS が使用されたかどうか、また認証が成功したかどうかに依存します。

• 取引が 3DS を介して認証された場合、責任はカード保有者の銀行に移ります。

• 3DS が使用されない、失敗した、または利用できない場合は、企業が責任を負います。

カード保有者が後に支払いを承認していないと主張した場合、イシュアーは認証が完了している場合にのみ責任を負います。たとえ取引が認証されなかったとしても、イシュアーが 3DS に関与していなかったり、エラーが発生したりした場合は、責任がイシュアーに移転されることはありません。

非接触型取引およびデジタルウォレット取引

多くのデジタルウォレット (例: Apple Pay、Google Pay) は、トークン化および認証の方法により、ライアビリティシフトの対象となります。これらの取引には、カード保有者が生体認証またはデバイスベースの資格情報を使用して確認されたことを示す暗号証明が含まれることがよくあります。その証明が存在する場合、責任は通常イシュアーに移転します。

認証オプションのない取引

通信販売 / 電話注文 (MOTO) 決済など、すべてのチャネルで認証を利用できるわけではあｒません。このような場合、取引はリアルタイムで確認できないため、責任は一般的に企業に残ります。

ライアビリティシフトは不正利用防対策にどのように影響するか

ライアビリティシフトは一種の意思決定ツールです。リスクの扱い方、決済時のセキュリティ手順、不正利用防止と顧客体験のバランス取りをどのようにするかを方向付けます。

認証を追加するタイミングの決定

3DS は、ほとんどの不正利用防止ツールが提供できない役割 (金銭的責任に対する保護) を果たします。これは、特に高額注文、国際カード、初めての顧客など、リスクシグナルを引き起こす取引にとって強力なバックアップとなります。

一部の企業は 3DS を選択的に活用しています。たとえば、リスクの高い取引には 3DS を使用して責任を自社から他に移転させていますが、低リスクの取引では決済フローの摩擦を最小限に抑え、購入完了率を維持するために認証をスキップしたりしています。企業はすべての顧客を脅威として扱うわけではなく、最も重要な場面でライアビリティシフトを活用しているのです。

しかし、一部の地域では、法令遵守によりすべてのオンライン取引で 3DS を使用することが求められます。

リスクスコアに対する解釈の変化

取引がライアビリティシフトの対象であることがわかっている場合 (3DS が成功したか、チップが使用された場合)、不正利用の指標が表示されていても承認を決定してしまう可能性があります。反対に、取引がライアビリティシフトの対象でない場合、より厳格な審査を行いたいと思うかもしれません。ですがそれは、より多くの確認を要求したり、手動レビューに回したり、あるいは取引をブロックしたりする手間が増えることを意味します。

不正利用コストの再定義

ライアビリティシフトが成功した場合、イシュアーが損失を補填することを意味します。これにより、直接的な財務リスクが軽減されますが、不正利用にの問題に関しては依然、次の間接コストが伴います。

• 在庫の損失

• 不審請求の申し立てのエスカレーション処理

• 高い不正利用率に対するネットワークのフラグ付け

ライアビリティシフトは不正利用の影響を減少させますが、損害を排除するわけではありません。ですが、それでも可能な限り防止したいとお考えでしょう。

全体的な戦略は、ビジネスモデル、リスクプロファイル、地理的情報に依存します。例えば、EU ではすべてのオンライン決済で強力な顧客認証 (SCA)が要求されますが、最新の 3DS 認証がその要件を満たします。アメリカやその他の地域では、3DS はオプションです。そのため、柔軟な選択が可能ですが、同時により多くの決定を下さなければなりません。グローバルに運営している場合、認証が必要な場所では 3DS を使用し、それ以外の場所ではリスクベースのアプローチを採用するハイブリッド戦略を採用することになるでしょう。