2015年5月11日7:00
クレジットカード決済に関わる仕組みにおいては、そのリスク発生の可能性とともにそれを保全するための債権管理を必要としており、イシュア(カード発行会社)、アクワイアラ(加盟店開拓事業者)、加盟店、そして利用者と、さまざまなリスクが存在する。そこで、クレジットカード決済におけるリスクマネジメントについて、債権管理のコンサルタントであるHAZS(ハッツ)代表取締役 東弘樹氏に解説してもらった。
HAZS代表取締役 東 弘樹
1. クレジットカード決済を取り巻く環境に存在するリスク
従来クレジットカード決済は、カードホルダーへ信用を供与し、円滑な経済活動を支える仕組みです。今手元にお金が無くても、利用限度額までであれば、その場で商品を購入できたり、サービスを受けることができたりする利便性があります。ますます、クレジットカード決済が担う役割が重要となってくると考えられます。
そんな中、クレジットカード決済におけるリスクと言えば、カード発行会社が負うカードホルダーの貸倒リスクだけだと思われがちです。しかしならが、クレジットカード決済を取り巻く環境においては、レイヤーごとにさまざまなリスクが存在します。本来、レイヤーごとに、そのリスクの存在を知り、リスクが顕在化する可能性を認識するとともに、リスクを保全するための債権管理策を必要としなければなりません。リスクが顕在化する過程においてかかる費用は、誰かが負担することになります。それはイシュアだけではなく、アクワイアラやカード加盟店、カードホルダーでさえ同様です。安心できるクレジットカード決済の環境は、安心をもたらすだけではなく、経済の活性化にもつながるはずです。
日本では今、情報漏洩をはじめとする暗いニュースで、一般社会に信頼の陰りが出ており、消費の低迷の懸念があります。まして、さまざまな事故を防止するため、さらなる個人情報保護法や割賦販売法の法整備により、カード加盟店(包括加盟店含む)はますます厳しい環境下での商売を強いられることになります。そこで、さまざまな角度からクレジットカード決済におけるリスクを洗い出し、リスクが顕在化しないように考えたいと思います。
2. クレジットカードの仕組みと契約関係
まず、クレジットカード決済の仕組みを一覧に表記します。①国際ブランド会社(Visa、MasterCard、JCB等)、②カード発行会社(イシュア)、③カード加盟店獲得会社(アクワイアラ)、④カード会員(カードホルダー)、⑤カード加盟店、などがあります。また、アクワイラには包括加盟店契約があり、包括加盟店契約により運営されている多くの⑥決済代行会社が存在します。近年、海外のカード会社との包括加盟店契約を利用した海外決済代行会社が存在しています。これらのレイヤーには、それぞれの役割ごとに持つリスクは異なってきます。また、リスクが顕在化した場合の、コストを負担することになるレイヤーもさまざまです。
例えば③カード加盟店獲得会社(アクワイアラ)は、⑤カード加盟店の不正取引や売買契約の不備、カード加盟店のデフォルトなどがリスクとなるほか、⑥決済代行会社のデフォルトもリスクとなります。②カード発行会社(イシュア)はカードの不正利用(盗難、偽造)や④カード会員(カードホルダー)の支払原資の枯渇(貸し倒れ)がリスクとなります。⑥決済代行会社は、③カード加盟店獲得会社(アクワイラ)と同様に、⑤カード加盟店の不正取引や売買契約の不備がリスクとなります。当然ながら、これらのリスクはモニタリング(途上管理)を行う必要があります。モニタリングにかかるそれぞれの費用は、手数料から捻出されていることになります。①国際ブランド会社(Visa、MasterCard、JCB等)は、異なる国の②カード発行会社(イシュア)と③カード加盟店獲得会社(アクワイラ)の仲介を行うため、情勢や文化、IT(システム、インフラ)の違いによるリスクなども多いと思われます。
④カード会員(カードホルダー)と⑤カード加盟店だけを見れば、クレジットカード会社(決済システム)が入ることにより、初対面でも安心した取引が完了することになります。しかしながら、ここにもさまざまなリスクが存在します。
クレジットカードの仕組みと契約関係(出典:独立行政法人国民生活センター)
3. 悪意のあるカード加盟店が存在 カードホルダーにリスクが生じる
悪意のあるカード加盟店とは、意図的にカード決済を行った後に、粗悪品を発送したり、商品の発送をそもそもしなかったり、きちんとしたサービスを提供しない加盟店のことです。さすがに、日本国内でこのような加盟店は、ほとんどありません。しかしながら、海外では、往々にして存在する場合があります。特にECサイトなどは、国境を越えて簡単に利用することができるようになってきたこともあり、身近に危険は存在するようになりました。警視庁のサイトには、偽ブランド品・海賊版の根絶に向けての中に、クレジットカードによる被害があることを示唆していることが記載されています。
例えば、州のブランドサイトだと思い、クレジットカードでブランド品のバックを購入したところ、アジアの国から、粗悪品のブランドバックが送られてきたなどが報告されています。この場合、カードホルダーに損害が発生することが多くなります。クレジットカード会社への支払抗弁等を行うことも必要だとは思いますが、ほとんどのケースは、時すでに遅く加盟店自体がデフォルトしていたり、行方不明になり、チャージバックできなければ、そもそも購入したカードホルダーに責任がかかってきます。この場合イシュアが責任を持つことはなく、アクワイアラも海外となると、事情も法律も異なる場合があるので、実態としてカードホルダーがリスクを認識せざるを得ないのですが、なかなかそうはいかないようです。
4. 急増する「なりすましECサイト」
最近特に「なりすましECサイト」による被害が多発し問題視されています。現金送金による搾取など、クレジットカード決済には直接関係しないものも存在します。しかしながら、なりすます目的が、クレジットカード情報取得などの場合、直接カードホルダーに被害が生じます。また、取得したカード情報を利用し、そのカードホルダーになりすまし不正使用することにより、カード加盟店に被害をもたらすことにもなります。有名なネットショップのHPをそっくりそのままコピーして、ドメインだけを変えるケースがあります。この場合、カードホルダーの情報の盗難だけではなく、そのネットショップへ、商品到着しないなどと、クレームを受けることになり、信頼の低下にもつながり間接的な損害となります。
5. 盗難カード・偽造カード利用によるリスクと対策
クレジットカード不正使用被害の発生状況により、被害額が明確になっているものの1つとして、クレジットカードの不正使用があります。この不正使用による被害の多くは、カード情報の漏洩による盗難カードやクレジットマスターによる偽装カードの使用によるものです。
クレジットカードの保管や利用方法に不備があれば、カードホルダー自身が責任を持つことも当然あります。また、カード加盟店が、利用者の名義相違や商品の発送場所相違等で、契約に不備がありチャージバックの対象となり実質負担しなければならないことも往々にしてあります。例えば、カードホルダーやカード加盟店に全く非がない場合、クレジットカード発行会社が被害を被ることになります。利用限度の制限や不正検知システムなどの導入により、被害額の低減策を構築したり、保険の適用により、最小限の損害になるようにシステムが構築されています。それでも2013年度は、78.6億円の不正使用による被害が出ているのが実態です。
先に出た「なりすましECサイト」でのクレジットカード情報の不正取得以外にも、従来からあるクレジットマスターという方法で、クレジットカード情報はいとも簡単に不正取得・不正使用を行うことができます。クレジットマスターとは、コンピューターを利用してクレジットカードの番号の規則性を利用し、他人のカード番号を割り出す手口です。1989年頃、アメリカで初めて確認されました。カード番号と有効期限を入力するだけで決済できるインターネット通販サイトなどで主に利用されます。日本では1999年頃から被害が確認されています。カード番号の仕組み自体を悪用して勝手に番号を割り出されるため、スキミングやフィッシングと異なり被害の防ぎようがないとされてきました。業界団体では、身に覚えのない請求がないかクレジットカードの明細書をこまめにチェックし、不審な点があればすぐにカード会社に連絡するよう呼び掛けています。最近は、サイト上で決済する場合に、セキュリティコードを要求したり、3-Dセキュアを導入したりして防御しています。
そして今この対策として注目されているのが、スマートリンクネットワークが提供している「認証アシストサービス」です。通常は、カード番号と有効期限等でカード会社と認証業務を行っていますが、同社の「認証アシストサービス」を利用することで、カード会員の属性情報(氏名等)も合わせて、認証することができるようになっています。これらの情報は、加盟店での取り決めができるほか、認証NG=オーソリNGにならないような仕組み作りにもなっています。社団法人日本クレジット協会が制定した『インターネット上での取引における本人なりすましによる不正使用防止のためのガイドライン』に定める「本人なりすましによる不正使用防止策」に準拠しているといわれています。
スマートリンクネットワーク(現ソニーペイメントサービス)の「認証アシストサービス」
6. その他主なカード情報不正取得の手口
① スキミング(Skimming)
スキミング(Skimming)は、カード犯罪で多く使われる手口の1つです。磁気カードに書き込まれている情報を抜きCAT等の機械を通じて出したり、スキマーという機器を使って盗み取ったりします。その情報をもとに偽造カードを作り、預金を引き出したり高額の買い物をしたりする犯罪行為です。対策として、カードのIC化が進められています。
② フィッシング (phishing)
フィッシングは、インターネットのWebサイトやeメール等を使った詐欺です。金融機関などのeメールやWebサイトを装って、暗証番号やクレジットカード番号などを詐取します。具体的なフィッシングの手口としては、送信者名を金融機関にしたeメールを無差別に送り、本文には個人情報の入力案内文とWebページへのリンクが記載してあります。リンクをクリックするとその金融機関の正規のWebサイトと同時に、個人情報入力用のポップアップ画面が表示されます。金融機関のWebサイトは正規の画面で、ポップアップは偽物の画面です。正規の画面を見て安心したユーザーがポップアップ画面の入力フォームにクレジットカード番号やパスワードなどの情報を入力し、送信することで、犯人に手に入ることになります。いわゆる「なりすまし」の手口になります。
③ ファーミング(Pharming)
ファーミングとはドメイン名の設定を書き換え、インターネットの閲覧者を偽物のWebサイトに誘導することで、不正に暗証番号やクレジットカード番号などを詐取する方法です。金融機関や有名なWebサイトをそっくりに真似た偽物のWebサイトを作り、DNSサーバの情報を書き換えることでユーザーを誘導します。フィッシング詐欺の手口の1つで、フィッシング詐欺との相違は、自動化されている点です。
通常、WebサイトにアクセスするにはURLを入力します。URLに含まれるドメイン名は、プロバイダーなどが運営するDNSサーバによってIPアドレスに変換されます。そして、そのIPアドレスを持ったサーバにアクセスされることになります。ファーミングを行う犯罪者は、このDNSサーバの管理するドメイン名とIPアドレスの対応表を不正に書き換えることで、ユーザーがURLを入力すると偽物のIPアドレスを返すよう細工するのです。ユーザーは正しい金融機関や有名なWebサイトなどにアクセスしているつもりですが、犯罪者の運用する偽物のサイトに誘導され、不正に情報を詐取されることになります。
④ ソーシャル・エンジニアリング(Social Engineering)
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで、物理的手段によって暗証番号やクレジットカード番号を入手する方法のことを言います。
主な例としては、侵入した企業・組織の従業員になりすましてパスワードを聞き出したり、盗み聞きしたりする行為が挙げられます。クレジットカードでは、盗難カードや偽造カードの暗証番号を聞き出し、不正に出金を行う手口等に用いられることがあります。この場合、警察を名乗り、「逮捕した不審者が持っているクレジットカードの確認を行いたい」とのことで暗証番号を聞き出したりしてきます。クレジットカード会社の社員を名乗ったりするケースもあります。
⑤ ビッシング
ビッシングとは、VoIP(Voice over Internet Protocol、インターネット電話)などを利用し、暗証番号やクレジットカード番号といった個人情報を不正に詐取する手口です。犯罪者が、企業や団体を装ってユーザーにeメールを送り、何らかのトラブルがあったと装いユーザーに伝えます。そのトラブルを解決するための問い合わせ先がフリーダイヤルになっています。指定された番号に電話をかけると音声応答システムによって会話の内容などが録音されます。もしくは、電話機のキー入力により暗証番号やクレジットカード番号を入力させ、それを記録するなどのやり方もあります。
7. 意外と知られていない決済代行会社の役割とリスク
決済代行会社は、さまざまな側面を持っています。アクワイアラとの包括加盟店契約により、多くのカード会社と一括して契約を行ったり、本来個々のカード会社とデータでのやり取りが必要なものを、データのスイッチング業務として一括で行ったりします。それ以外にも、個別の料率交渉が不要であったり、入金や明細が一本化して、経理業務が明確になり事務の効率化にもなります。中には、早期に資金を立て替えて送金するサービスもあります。大手決済代行会社のほとんどは、クレジットカード番号を安全に保管するサービスを展開しています。ECサイトなどでは、自動継続課金のサービスなどもあり、うまく使えば、売上を増加させながら、手間が省けるといいこと尽くめと思われます。
① 決済代行会社のリスク
しかしながら、決済代行会社の中には、資金量が潤沢とはいえず運営をしている会社が存在します。この場合、アクワイアラからの着金を確認して、加盟店への支払いを行うのが本来あるべき姿であるのですが、中には自ら立替を行い、資金を融通することで存在意義を見出す決済代行会社が存在したりします。また、決済代行会社は、システムやセキュリティへの先行投資が不可欠です。当然ながら、資金調達がうまくいかなければ、デフォルトする危険性を持っているのです。アクワイアラが包括加盟店契約を行う場合や、加盟店が決済代行会社を選ぶときには、リスクを鑑み選定しなければならないのです。
② 決済代行会社の持つリスク
決済代行会社の中には、海外の銀行系のアクワイアラから包括加盟店契約を締結して、決済業務を行う企業が存在します。日本国内のアクワイアラにおいては、特定継続的役務提供(特定商取引法:長期・継続的な役務〈「えきむ」と読み、いわゆるサービスを意味します〉と、これに対する高額の対価を約する取引のこと。現在、エステティック、語学教室、家庭教師、学習塾、結婚相手紹介サービス、パソコン教室の6つの役務が対象とされている)については、基本クレジットカードの加盟店契約ができません。物販だけの契約等はあるものの、特定継続的役務提供はカード利用できないのが一般的です。ところが、海外では特定継続的役務提供を取り扱うケースがあります。海外のアクワイアラは、契約は簡単にできるがペナルティが厳しいケースなどがあるので、リスクとして考える必要があります。支払抗弁などが発生すると、その理由に関係なく、加盟店取引の解除になるなど、カード加盟店の経営には注意が必要です。
クレジットカード決済の各レイヤーのリスク
以上にように、そもそも決済業務は、不正との戦いでもあります。利便性を追求する時、相反してリスクが生まれます。さまざまな新しい技術と、かかわる企業や人がそれぞれの立場で、不正を防止する意識づけが必要なのだと考えています。