利便性に優れたプラットフォームを活用して顧客基盤を拡大し、より多くの購入を促すという取り組みは、オンラインショッピングの登場によってかつてないほど簡単になっています。その一方で、不正利用に関する新たな問題が生じています。貴社が多国籍企業であっても、地元の中小企業であっても、不正利用者が盗み出したクレジットカード番号を使用して商品を購入するのを防ぐシステムを導入することが重要です。クレジットカード CVV コードは、貴社が不正な支払いを防止し、売上の損失を防ぐための重要なツールです。金銭取引用の個人情報の盗難は、クレジットカード番号の窃取をはじめ、世界各地で発生しているなりすまし犯罪の中でも最も一般的なものであり、年々、不正利用による損失額は増加しています。全体として、オンライン決済の不正利用による EC ストアの損失は、2021 年に全世界で 200 億ドルに上ると推定されています。

クレジットカードの CVV コードを利用して購入の有効性を確認し、顧客からの不審請求の申請を防ぐことで、不正購入への対応に時間やリソースを浪費する必要がなくなります。ここでは、CVV コードによる購入の検証を開始するうえで知っておくべき事項について説明します。

この記事の内容

• CVV とは何の略か
  
• Card Verification Value (CVV) とは
  
• クレジットカードとデビットカードでの CVV の記載位置
  
• CVV コードの仕組み
  
• CVV コードが不正利用の防止に有効な理由
  

CVV は何の略語か

CVV はカード検証値 (Card Verification Value) の略語であり、カード検証コード (CVC) やカードセキュリティコード (CSC) とも呼ばれます。アメリカン・エキスプレスは検証コードをカード識別番号 (CID) と呼び、他社のものと区別しています。

Card Verification Value (CVV) とは

今日では、すべてのクレジットカードとデビットカードに不正利用防止のための CVV が記載されています。クレジットカードの CVV コードは、購入が行われる際に、クレジットカード番号および有効期限と併せて事業者がカードの認証に使用する 3 桁- または 4 桁の数値です。CVV コードはカードの有効性を証明するものであり、不正利用者やハッカーは盗んだクレジットカード番号を使用するのが困難になり、カード保有者と事業者の双方が保護されます。CVV コードは 3 桁の数値であることが通例ですが、アメリカン・エキスプレスカードでは例外的に 4 桁の数値が使用されています。この静的な数値に代わるものとして、定期的に変更され、クレジットカードではなくアプリを使用して取得できる動的な CVV コードを試験的に導入している金融機関もありますが、まだ普及には至っていません。カード保有者は、詐欺行為の被害を受けることがないよう、最大限の努力を払って CVV コードを安全な状態に維持する必要があります。

クレジットカードとデビットカードでの CVV の記載位置

ほとんどのクレジットカードとデビットカードでは、CVV コードはカード裏面の署名欄の付近に印字されています。Visa、Mastercard、ディスカバーのクレジットカードの場合、カード裏面の署名欄の右側にある 3 桁の数値です。アメリカン・エキスプレスカードの場合は若干異なり、カードの表面に 4 桁の数値があります。クレジットカードの CVV コードはクレジットカード番号の要素ではないため、カード上では別の位置に記載されています。

CVV コードの仕組み

CVV コードは、取引のセキュリティを保護する追加の手段としての役割を担っています。顧客がオンラインまたは電話で購入する際は、クレジットカードの CVV 番号を確認して、取引が確実にオーソリされるようにする必要があります。機械学習ベースの不正防止ソリューションとして Stripe のプラットフォームに導入されている Stripe Radar などの決済処理ソフトウェアは、CVV の照合確認に失敗した支払いをすべて拒否します。各カードの CVV、郵便番号、請求先住所を決済フローで収集するよう Stripe ダッシュボードで設定されている場合、Ｓｔｒｉｐｅ はこれらの情報をカードネットワークに提供して照合を求めます。カード発行会社は、提供された情報を、承認済みカード保有者の登録情報と照合します。情報が一致しない場合、照合確認は失敗となり、購入は承認されません。CVV 確認を実行するには、新しいカードの決済手段で支払いを作成する際、または新しいカードの決済手段を顧客に関連付ける際に CVV コードを提供します。

たとえば、何者かがクレジットカード番号を盗んでオンラインショップで品物を購入しようとした場合、クレジットカード番号と有効期限のみでは購入を完了できません。(残念ながら、窃盗犯がカード自体を盗んだ場合は CVV を見られてしまいます)。

CVV コードが不正利用の防止に有効な理由

クレジットカードとデビットカードの CVV コードの目的はただひとつであり、不正な支払いを発生前に食い止めることです。オンライン決済の不正利用による EC ストアの被害額は、2020 年の推計 175 億ドルから、2021 年には 200 億ドルへと増加しています。運用コストとネットワーク手数料が増大するため、事業者が負担する総コストはいっそう高額になります。CVV の確認を決済フローに導入することは、不正な支払いから事業を保護し、チャージバック手数料の負担を避けるうえで重要な要素です。

カードを確認する
CVV コードは、クレジットカードまたはデビットカードを確認してから支払いを処理することによって、不正利用を防止しようとするものです。対面販売の場合は、Stripe Terminal と連携する Stripe の事前認証済み決済用リーダーなど、EMV 認証を取得したカードリーダーを使用することで支払いの確認がスムーズになります。オンラインショップでは、Stripe Checkout などのツールを使用してカードをリアルタイムで検証すると、承認済みのカード保有者と購入を行っている人物が同一であることを確認できます。重要なのは、CVV コードの確認機能が決済プロセスにシームレスに導入されたソフトウェアを使用することです。そうすれば、決済フローを中断させたり、購入プロセスを長引かせたりすることはありません。

顧客からの不審請求の申請を予防する
不正利用者が他人のクレジットカード詳細を使用して購入している場合、事業者にとっては深刻な問題になる可能性があります。アカウント所有者は通常、不正な支払いに関して返金を受け取れますが、ビジネスオーナーは収入を逃したうえに、失った商品の金額を損金処理し、多くの場合は決済代行業者にチャージバック手数料を支払わなければなりません。さらに、不審請求の申請件数が多数ある場合は、やがてより大きな問題に発展しかねません。チャージバックの発生件数が多いことを理由に、ネットワークのチャージバックモニタリングプログラムの対象となっている場合、決済代行業者からの請求額が増加する可能性があり、場合によってはカード支払いの受け付けを完全に禁止される恐れがあります。

重要なのはバランスです。事業者は、顧客が決済プロセスを進めにくくなったり、正当な取引が拒否されたりする事態を避けながら、不審請求の申請や不正な支払いを防ぐために、あらゆる対策を最大限に講じる必要があります。2020 年に実施された調査によると、買い物客の 3 人に 1 人は、注文が不正利用の疑いで拒否された場合、そのオンライン事業者では再度購入しないと回答しています。Stripe Radar などの不正検知ツールを利用すると、正当な顧客を拒否することなく、不正な支払いを未然に防止して時間や経費を節減できます。

ハッカーから保護する
カード発行会社は、事業者がクレジットカードの CVV 番号を取引データベースに保存することを許可していないため、ハッカーが番号を盗むことは困難です。ハッカーが事業者のデータベースまたはウェブサイトに侵入し、クレジットカード番号と有効期限を盗むことができた場合であっても、CVV 番号は取得できません。不正利用者がクレジットカードそのものを盗んだ場合は、購入を阻止できません。ただし、追加の保護手段を講じることで、ハッキング行為によるビジネスオーナーとカード保有者双方の被害を減らすことができます。

事業者を不正利用から保護するための手段は、複雑である必要はありません。カードと CVV コードの確認といった基本を実践すると、支払いに関する不審請求の申請を防止するうえで非常に効果があります。Stripe Radar の高度な機械学習による CVV コードの確認機能は、すべての Stripe アカウントでご利用になれます。Stripe Radar が機械学習を利用してすべての取引を評価し、不正利用を防止する仕組みについて、詳細はこちらをご覧ください。