本ページは、ECサイト運営者が、お客様からのクレジットカード決済を利用した注文にどう対応すべきかについて、また、その注文で使われたカードが不正のものでないかを見分けるための情報を提供するページです。
ECサイトを利用する人が、そのECサイトがカード情報を不正に取り扱っているかどうかを見分けるページではありませんのでご注意ください。
増える不正クレジットカード
ここ1年(2008~2009年)で見ると、不正に取得されたクレジットカードの利用でお店側が被害を被る事例が増えているようです。これはデータではなく様々なお店・モールなどの実際に業務に関わる担当者から聞いた話や雰囲気からする「実感」です。
不況であることに加え、クレジットカードの情報の肝は、容易に送信できる「番号」であるという事実と、ECサイトが全世界どこからでも利用できるという事実から、この問題は世界規模の問題とも言えます。
また、ECサイトだけでなく、インターネット上の課金にクレジットカードを利用するサービスは増え続けています。自然、インターネット上でクレジットカード番号を入力・送信する機会も増えていますので、なかには悪徳業者に送信してしまって気付かない場合もあるでしょう。
それらに加えて、マルウェア(スパイウェア、ワーム、ウイルス、トロイの木馬、キーロガーなどを含む)も増え続けていますし、カード情報を盗まれる機会はますます増加し、これが根絶されることはおそらく無いでしょう。
つまり、ECサイトを運営する限り、これからも不正注文とは戦い続けなければならないということです。それを覚悟する必要があります。
誠実なサイト運営と不正カード対応とのジレンマ
不正カードに対応するといっても、実際訴訟対応は難しいうえにコストパフォーマンスが悪い場合がほとんどなので、商品発送の前段階で止めるしかありません。
しかし、不正な注文と正当な注文を見分ける手段は限られており、一方で「注文したのに商品が来ない」とか、「注文してから発送まで遅い・時間がかかりすぎ」と言われてしまうのは、特にリードタイムが重要なECサイト運営にとって由々しき問題です。
クレジットカード会社や決済代行会社もこの点を由々しき問題だと捉え解決しようとしています。それは間違いありません。しかし、聞いた話では、不正注文は全取り扱い決済中1%に満たない規模だそうですし、その損害はECサイトが負ってくれるか、保険会社が負ってくれるかなので、カード会社や決済代行会社がかけられるコストは自然に限られてきます。
つまり、クレジットカード会社や決済代行会社に一任もできないので、ECサイト運営者は、一緒に協力して不正カード注文をはじくしかありません。
不正な注文にどう対応するか:サイト規模による違い
不正注文に対して、どのように対応するかについては、企業規模やサイト規模によっても異なるでしょう。不正注文が全注文のうち無視できるくらい少なく、損害を無視できるなどの場合には、基本的には放っておくでしょうし、逆にコストをかけて不正注文に対応するようなシステムを作るでしょう。
サイト規模 | 対応の違い |
---|---|
大 (注文件数がとても多い/不正注文を無視できる規模の売り上げ・利益がある) |
|
中~小 (注文件数が少ない/不正注文による損害を無視できない) |
|
どのような対応が、運営しているECサイトにもっとも良いのか。それは運営者の判断になります。また、商品の利益率や不正注文の割合にもよるでしょうし、不正注文に対して避けるコストにもよるでしょう。上記に示したジレンマも考慮に入れつつ最適なもの、つまりもっともコストパフォーマンスが良い対策を選択することが大切です。
不正注文に対するシステム的な対応について
クレジットカードの不正注文を見分ける一つの手段として、「3Dセキュア」機能を導入するサイトも増えているようです。また、たいていはカードの裏に記載されている「セキュリティコード」を利用するという手もあります。
また、配送会社が提供しているクレジットカードサービスを利用するという手もあるでしょう。私がいた会社では利用していなかったので詳細は不明ですが、おそらく配送会社との契約上、カード不正の場合の配送会社は責任を負わない条項があるでしょうから、配送会社が責任を負うと言うことはないでしょうが、配送会社は実際に実物のカードを使って決済を行うので、その分不正なカードである確率が減ります。(もちろん、カードが通れば商品は引き渡されてしまうので、その分危険という考え方もあります。)
不正注文の見分け方
不正注文にはある程度特徴があり、その特徴からある程度不正かどうかを見分けることが出来ます。
これで完璧に見分けられるわけではありませんが、以下に解説していますので参考にしてみてください。
名義で見分ける
カード名義が、注文者と異なる場合には気をつけてください。
また、外国で作られたカードを不正に取得し、日本国内に持ち込んで使うという場合や外国から直接ECサイトにアクセスしてくる事例もあります。名義が外国人の場合にも注意してください。
上記2つを組み合わせた場合、つまり注文者名義は日本人なのに、カード名義は外国人という場合はかなり怪しいです。
ログを参照し、複数回試していないかで見分ける
不正カードの利用者は、一つのカードだけもっているという場合はあまりなく、複数カード番号を所持しています。それらを何度も試す事例は非常に多いです。
複数回試している場合には気をつけるべきですし、複数回違うカード番号を試している場合にはかなり怪しいと言えます。
ただ、もちろん普通のお客様でもカード番号の入力を間違えたり、有効期限を間違えたりして複数試す場合もありますし、複数正当なカードを所持しており違うカードを試してみるということが考えられます。気をつけて見てください。
電話番号で見分ける
実在しない番号などの場合があります。なお、法人などの場合には電話番号をインターネットで検索してみると照合できる場合があります。怪しいなと思ったら電話番号でインターネット検索してみるのも一つの手です。
住所で見分ける
実在しない住所の場合があります。今は、Googleのサービスで、衛星写真を見られたり、ストリートビューで実際の建物を見ることが出来る場合もあります。怪しいなと思ったら住所を検索してみるのは非常に有効な手段の一つです。
また、外国の住所は非常に怪しいです。といっても、国際配送に対応するECサイトはあまり多くはありませんし、そこはまた違う次元のリスクがありますし、私もよくわかりませんので(汗)、本サイトでは割愛します。
発送先がホテルの一室などの場合も非常に怪しいといえます。その場合には、当該ホテルに確認してみるのも手です。もちろん、ホテル側が教えてくれない場合もあります。
警察が公開している「振り込め詐欺に利用された住所」と照合してみるという手もあります。どうやら流用される事例があるそうです。(⇒警察庁・公開ページ/もしくは「その宛先は大丈夫ですか?」で検索してみると該当PDFファイルが出てきます。)
Eメールアドレスで見分ける
注文時に自動で配信するメールが宛先不明などで返ってきている場合には一応気をつけてみてください。なお、返ってきているメールには英語ではありますがメールが届かない理由が書いてあります。(⇒参考サイト)
もちろんただの入力ミスも考えられます。入力ミスはお客様が入力情報を送信する際にシステム側でチェックするようにするのが自然です。以下に、代表的な入力ミスを簡単にまとめます。
間違い事例 | 具体例 |
---|---|
「,(カンマ)」と「.(ピリオド)」を間違えている | hogehoge@yahoo,co.jp |
「l(アルファベットのエル)」と「1(数字のいち)」を間違えている。 | i11egal@hogehoge.comなど |
ドメインを間違えている | hogehoge@yahoo.ne.jpなど
※この例は、「@yahoo.co.jp」と「ybb.ne.jp」が混ざってしまっています。 |
なお、不正注文は無料で取得できるアドレスを利用していることがほとんどです。特に米ヤフーの無料メールサービス(アドレスが「@yahoo.com」で終わる)場合は、一応注意が必要です。「~@yahoo.com」であれば自動的にはじく決済システムもあるくらいです。
ちなみに、メールアドレスの「@(アットマーク)」から後ろは、「ドメインネーム」といい、重複して取得できないだけでなくドメインネームを取得している人・組織の名前・住所が公開されています。Whoisサービス(⇒例えばこちらのサイトなど)を利用してドメインの登録した人・組織の名前などを見ることが出来ますので、それと照合するというのも一つの手段です。
ただし、ドメインは、ドメイン取得会社が代理で取得し実際の利用者の名前や住所が出ていない場合も普通にあります。あくまで一つの参考程度です。
注文内容で見分ける
不正注文者は、商品を不正に受け取った後、それを換金することで利益を得ます。したがって、換金性が高い物が良く狙われます。例えば、パソコン、デジタルカメラなどのPC・AV機器、高級時計などです。これらを取り扱っているお店は殊更に気をつける必要があります。
高額な物しか取り扱っていない場合には参考になりませんが、高額な物の注文についても気をつけるべきです。また、当該商品の店の設定価格が市場価格よりも高いにもかかわらず注文してきている場合などについても怪しいと言えます。(ECでは安値の店を探すのは難しくないからです。)
カード会社の監視で見分ける
カード会社も不正かどうか監視しています。会社により体制が異なりますし、基本的に注文からすぐにくることはありませんが、カード会社からそのような連絡が来た場合にはかなり不正の疑いが強いので、直ちに対処するようにした方が良いでしょう。なお、その場合でも原則としてカード会社が強制的に決済停止するわけではありませんので、決済のキャンセル処理を忘れないようにしてください。
決済代行会社の監視で見分ける
決済代行会社を利用している場合にしか利用できませんが、決済代行会社も独自の方法で監視をしていたりします。この監視による連絡は、通常カード会社よりも速く連絡が来ます。ただ、不正かどうかの判断力は事例によってもまちまちです。特に問題がなければ、キャンセルとした方が良いように思いますが、判断するのは店側の責任となります。
その他の部分で見分ける
注文の際お店にコメントを乗せることができる場合、なにか通常想定されるメッセージが入っていれば、不正注文である恐れはほとんど無いように思います。
他にもお店によって様々な見分け方が考えられます。一つの点で怪しいなと思ったら、他にも怪しげな点を探してみると良いでしょう。あくまで複合的な判断となります。
不正注文への対応
不正注文だと判明、もしくは不正注文ではないかと疑われる場合にはどのように対応すべきでしょうか。実際に損害が発生した場合と発生する前の場合で分けて解説します。
損害が発生する前に確実に不正注文だと判明した場合
発送する前であれば、発送手続きを停止し、発送した後であれば配送会社で差し止めを請求します(伝票番号と発送元・発送先情報が必要です)
もちろん、クレジットカードで決済を確定していた場合にはそのキャンセル処理をすることを忘れないようにしてください。放っておくと、カードを盗難された被害者などに請求が行ってしまいます。
不正であれば注文者に対して連絡をする必要はあまりありませんが、念のため、「クレジットカード情報から不正の利用の恐れがあると判断されましたのでご注文をキャンセルさせていただきます。」という旨のメールを送ると良いでしょう。加えて、問題がある場合の連絡先と、他の支払い方法による注文をお願いしても良いでしょう。
損害が発生する前に不正注文だと疑われる事由がある場合
疑われる注文がある場合には、いくつか対応手段があります。
- 規約やご利用ガイド、注文手続き中であらかじめ店側の判断でキャンセルする場合があることを明示し、怪しげな注文はキャンセルしてしまう
- 注文者に直接問い合わせる
- 決済代行会社に相談し、意見を聞いてみる
- カード会社に相談し、意見を聞いてみる
- カード会社に注文者情報と契約者情報とを照合してもらう
- カード会社から直接契約者に問い合わせてもらう
決済代行会社や、カード会社は、そのカードがいつどこでどのように使われたかのデータをもっています。不正利用者は、短期間に集中して多数の店舗に注文をかけていたりしますし、カード会社独自に収集している情報から顧客の利用傾向なども把握していますので、相談してみて情報を聞いてみるのは一つの判断材料になり得ます。
一方で、カード会社や決済代行会社の保有する情報は個人情報を含み、守秘義務もありますので、すべての情報を教えてもらえるわけではありません。そこらへんは、事前に秘密保持契約(NDA)がどのようになっているのか、どこまで情報を開示してもらえるのか、不正と疑われる注文に対してどこまで対応してもらえるかなどについて、カード会社に確認しておきましょう。
また、カード会社が保有する契約者情報と注文者情報を照合してもらうことができるはずです。不正かどうか確かめるのにこれ以上のものはないですので、出来るかどうか確かめた上でぜひやってもらうのもよいでしょう。ただし、この照合にはカード会社により時間がかかる場合があり、お客様を待たせてしまう点がデメリットとなります。なお、注文者の個人情報をカード会社に送信することになるので、規約などで事前にお客様の同意を得ておく必要があります。
損害が発生した後の場合
商品の配送が終了した後で、不正注文だと判明し、代金の回収ができなくなることでその商品代金分の損害が発生します。
この場合、まずは不正注文者を特定することが必要となります。特定には、IPアドレスからプロバイダを割り出し、プロバイダに問い合わせることが必要になります。しかし、プロバイダも易々と情報を出すわけには生きませんので、関係捜査機関や弁護士などからの照会が必要になるかもしれません。こういった場合には、警察や弁護士への相談が必要になるでしょう。