近年、クレジットカードの不正利用による被害額が急速に増加していることをご存じでしょうか。ただ、不正利用が発生した場合、その負担をするのはカード所有者ではありません。カード所有者には不正利用された金額がチャージバック(返金)されます。では、実際に不正利用された場合の被害負担は、誰がするのでしょうか。

今回はクレジットカードの不正利用が生じた場合、被害負担の仕組みはどうなっているのかについて詳しく見ていきます。

クレジットカードの不正利用による被害の現状

現在、クレジットカードの不正利用被害は年々急増しています。毎年行われている不正利用の被害状況を調べる調査によると、2015年当時の被害額が約120億円だったのに対し、2021年には約330億円にも達しているのです。わずか6年程度で被害額が2.5倍以上になるというのは、異常事態といえます。

その背景にあるのが、不正利用の手口の変化です。2014年当時、クレジット不正利用の被害額は、偽造カードによる被害が約2割、カード番号盗用による被害が約6割、その他の不正利用被害が約2割でした。それが2021年になると、カード番号盗用による被害が9割を超え、カード偽造による不正はほとんどなくなっています。クレジットカードの番号を盗みだし、そこから不正利用を行う手口がほぼメインとなっているわけです。

このようなカード番号を盗むことで不正利用される手口が急増した背景にあるのが、日本におけるECの普及と、その際の「なりすまし」による不正利用のしやすさです。

ECとはオンライン上で商品を購入・決済することで、多くの場合、その支払いに使われるのがクレジットカードです。基本的にネットで買い物をしてその支払いをする場合、旧来のシステムだとカードの番号とその有効期限が分かっていれば、本人になりすましての買い物が可能となります。つまり、カード番号・有効期限の情報を盗んでしまえば、ネットで不正に買い物ができるわけです。

クレジットカードの所有者から番号を盗みだす手口

カード所有者である消費者は、当然番号を盗まれないように注意しており、またEC事業者(カード加盟店)側も、セキュリティ対策として支払時にカード番号が読み取られないように最善の注意を払っています。しかしそれでも、カード所有者からカード番号が盗まれるケースが多いです。

よくあるのが、カード所有者が、偽のWebサイトに誘導されてクレジットカード番号を教えてしまう「フィッシング詐欺」、架空のショッピングサイトで買い物をしようとしてクレジットカードの番号を教えてしまう「インターネットショッピング詐欺」などです。また、クレジットカードが「盗難・紛失」によって他人の手にわたり、そこから番号が盗まれるケースもあります。

ほかにも、出会い系サイトに登録させてクレジットカード決済させ、カード情報を盗みだす「出会い系サイト詐欺」による手口、EC事業者における人為的ミスや不正アクセスによる「個人情報漏えい」なども原因として考えられるでしょう。また、クレジットカード情報を読み取る装置(スキマー)を使った「スキミング」と呼ばれる手法もあります。

クレジットカードの不正利用で生じた被害額は、加盟店が返金することで負担

カード情報を盗んだ者が不正利用してネットショッピングをすると、EC事業者側はカード所有者が買い物をしたと考え、盗んだ者に対して商品を送ります。支払いはカード所有者がするので、カード所有者は自分の意思では何も買い物をしていないのに、知らない間に支払いだけ行われるわけです。

注目すべきなのは、このような形で不正利用されていることをカード所有者が気づいた場合、その後どのような対応が行われるのかという点です。

この点について各クレジットカード会社は、明確な取り決めをしています。それは、不正利用されたことが明らかである場合、取り引きそのものが解消される「チャージバック」の仕組みが適用されるという点です。つまり、商品の代金の支払いを受けたEC事業者が、取り引きの解消に伴い、カード所有者に対してその代金を返金する必要があるわけです。

しかしこの場合、EC事業者には商品が戻ってこない可能性が高いでしょう。後にクレジットカードを不正利用した犯人が逮捕されれば対応の仕方もあるでしょうが、それでも商品またはそれに見合った金額を取り戻せる保証はありません。もし犯人が見つからないままであれば、当然ですが対応できることは何もありません。

不正対策をしていないEC事業者が約4割とのデータも

売上代金は返金する必要があり、しかも商品は戻ってこないことを考えると、不正利用の埋め合わせをするのは事実上、カード所有者でもクレジットカード会社でもなく、各販売事業者になります。

実はこの事実を知らない販売事業者は意外と多く、2021年12月に民間企業が行った調査では、調査対象となったEC事業者の3社に1社が、不正利用された際の負担を誰がするのかを知らないという結果が出ています。また、4割のEC事業者が、不正利用に対してなんら対策をしていないことも明らかとなりました。

有効な対策として注目を集めている「3Dセキュア」

EC事業者が不正利用に対して取れる対策として、支払時における本人確認の認証体制の強化があります。本当にカード所有者が使用しているのかどうかを厳密にチェックできるシステムがあれば、カード情報を盗んだ者は商品を購入できません。つまり、なんらかの原因でカード情報が盗まれたとしても、それを不正利用しての商品購入をできないようにするわけです。

現在、その手法として注目されているのが「3Dセキュア」です。これは、従来のネット上での決済方法であるクレジットカード番号と有効期限のみを入力する方法から、そこにIDやパーソナルメッセージ、パスワードなどの入力も追加するという方法です。3Dセキュアを導入することにより、決済にはカード所有者のみが知り得る情報の入力が必要ですから、カード番号・有効期限だけを知っていても不正利用ができません。

まとめ

EC事業を展開している企業がはっきりと認識すべきなのは、クレジットカードの不正利用による本当の被害者は、カード所有者ではなく、不正利用されていることを知らずに商品を販売したEC事業者(カード加盟店)であるという点です。チャージバックの取り決めによりカード所有者には代金を返済しなければならず、しかも商品は戻ってこない可能性が高くなります。

EC事業者が被害にあわないためには、不正利用による買い物ができないように、3Dセキュアなどの厳密な本人認証システムを導入し、チェック体制を強化することが大切です。無対策のままだと、思わぬ形で巨大な損失を生むリスクを抱え続けることになります。