高リスクの加盟店リスト
Mastercard の Alert to Control High-Risk Merchants (MATCH) のリストに追加するための基準は以下のとおりです。
Visa や Mastercard のようなカードネットワークでは、Terminated Merchant Files (TMF) と呼ばれるデータベースを使用しています。このファイルには、高いチャージバック率やカードブランドルールの違反を理由に、世界中のクレジットカード処理業者によって閉鎖されたアカウントに関する情報が含まれています。
すべての決済代行業者は、新しいユーザーを受け付ける前にこのデータベースを確認する必要があります。また、アカウントが閉鎖され、TMF の基準を満たす場合にはその加盟店をデータベースに追加しなければなりません。
TMF に追加されるということは重大な意味を持ちます。TMF は本来、アカウント申請プロセス中の情報提供を目的としたものですが、多くの団体は TMF に記載されたビジネスや個人を受け入れません。この理由から、TMF の基準を知り、そこに記載されないようにすることが重要です。
The most common lists are Mastercard’s MATCH and Visa’s VMSS. In the following sections, we describe how MATCH and VMSS qualification works and what happens to MATCH entries.
MATCH
MATCH stands for Mastercard Alert to Control High-risk Merchants system. MATCH is Mastercard’s database of Terminated Merchant Files (TMFs) that contain information about accounts that have been closed by credit card processors around the world for high chargebacks or violations of card brand rules.
Criteria for MATCH qualification
ビジネスとクレジットカード処理業者の関係が終了した場合には、処理業者はそのビジネスが MATCH に追加される基準を満たしているかを判断する必要があります。
MATCH の基準のいずれかが満たされた場合には、そのビジネスとの関係終了から 1 営業日以内、または関係終了後にそのアカウントが MATCH の対象となってから 1 営業日以内に、処理業者はそのビジネスに関する情報を MATCH に追加する必要があります。
MATCH qualitative criteria
MATCH 基準の大半 (「理由コード」) は、違法行為や共謀などを含む、カードネットワーク規則の違反に関連するものです。これらの 11 の理由コードと、Mastercard によるその定義を以下に示します。
身元詐称の理由コードが使用されるのは、盗難にあった情報を使って不正なアカウントが開設される場合です。MATCH にこの情報が記載されたことによって、正当な身元保有者による処理アカウントの開設が妨げられることはありません。この情報は、クレジットカード処理業者に対する警告としての役割を果たし、盗難された身元情報が申請に含まれている可能性を示唆します。
| コード | 理由 | 説明 |
|---|---|---|
| #1 | アカウントデータの侵害 | 直接的または非直接的に、アカウントデータへの不正アクセスまたはアカウントデータの開示を引き起こした出来事。 |
| #2 | 共通する購入場所 | 加盟店でアカウントデータが盗まれ、他の加盟店の場所で不正な購入に使用されています。 |
| #3 | ロンダリング | 加盟店がロンダリング行為を行っていた。ロンダリングとは、加盟店が、加盟店と正当なカード保有者の間の商品やサービスの有効取引ではない記録を、アクワイアラー取引記録に提示したことを意味します。 |
| #7 | 不正行為による有罪判決 | 加盟店の主要株主またはパートナーに刑事的不正行為の有罪判決があった。 |
| #8 | Mastercard Questionable Merchant Audit Program | Mastercard Questionable Merchant Audit Program に設定された基準に基づき、加盟店が疑わしい加盟店と判断されました。 |
| #9 | 破産 / 整理 / 支払い不能 | 加盟店は財務責任を果たすことができなかった。または財務責任を果たせない状態になる可能性が高かった。 |
| #10 | 基準の違反 | Mastercard アクワイアラーによって報告された加盟店について、その加盟店は、カード使用取引において加盟店が採用すべき手続きの 1 つ以上に違反があった。例として、すべてのカードの尊重、マークの表示、カード保有者への請求、最小 / 最大取引額の制限、そして Mastercard Rules マニュアルの第 5 章に指定された禁止取引基準への違反が含まれますが、これだけに限定されません。 |
| #11 | 加盟店の共謀 | 加盟店が不正な共謀活動に関与した。 |
| #12 | PCIDSS への非準拠 | 加盟店が、支払いカード業界 (PCI) データセキュリティ基準 (DSS) の要件に準拠できませんでした。 |
| #13 | 違法な取引 | 加盟店が不正な取引に関与した。 |
| #14 | なりすまし犯罪 | アクワイアラーには、記載された加盟店またはその主要株主の身元が、不正に加盟店契約をする目的で不正に詐称されたものであると信じるに十分な根拠がある。 |
MATCH quantitative criteria
2 つの MATCH 理由コードには、特定のしきい値が Mastercard によって定義されており、そのしきい値を超えた場合には、処理業者はそのアカウントを MATCH に追加する必要があります。
アカウントのチャージバックと不正使用行為に関連するこれらの理由コードは、MATCH に追加される理由として最も一般的なものであり、違法行為やルール違反行為に関与していないビジネスにも影響することがあります。これらの理由コードを以下に挙げます。
| コード | 理由 | 説明 |
|---|---|---|
| #4 | 過度のチャージバック | Mastercard アクワイアラーによって報告された加盟店について、ある 1 カ月間の Mastercard チャージバック数が、その月の Mastercard 販売取引の 1% を超え、それらのチャージバックの合計が USD 5,000 以上だった。 |
| #5 | 過度な不正使用 | 加盟店が次の最低報告基準を満たす、またはそれを超える、あらゆる種類の (偽造など) 不正取引を行った。すなわち、加盟店の 1 歴月の売上ドル金額に対する不正使用の割合が 8% 以上で、1 歴月の不正取引が 10 件以上または金額合計が USD 5,000 以上であった。 |
過度なチャージバックや不正使用に関するその他の情報
これらの MATCH 理由コードは、Visa や Mastercard によって運営されているカードブランドのチャージバックおよび不正使用監視プログラムとは別のものです。ただし、定義されているように、MATCH はすべての主要カードネットワークで求められているにもかかわらず、過度なチャージバックの基準は Mastercard カードでのアクティビティのみに適用されます。不審請求の申請が行われたアクティビティが Mastercard カードで起きたものでなければ、それは MATCH 基準の対象とはなりません。他のカードネットワークは、自身のカードブランド監視プログラムに基づきビジネスが「過度な」段階に達した場合や、罰金を課された場合に、そのビジネスを MATCH に記載するよう求めることがあります。
1 カ月は歴月として定義されています。たとえば、処理業者が 1 月の MATCH 基準を評価している場合、1 月の取引数と 1 月のチャージバック数を検討します。1 月に行われた取引からのチャージバック数ではありません。
1 歴月に加盟店に過度のチャージバックが発生するか、または不正の MATCH 基準が満たされて処理関係が打ち切られた場合には、関係がその歴月に終了しなかった場合でも、加盟店は MATCH に追加されることになります。たとえば、あるビジネスが 2 月に MATCH 基準を満たし、処理関係が 9 月まで打ち切られなかった場合でも、その処理業者は MATCH にその情報を追加する必要があります。さらに、関係が最初に打ち切られた際にビジネスが MATCH 基準を満たさなくても、その後で基準を満たせば、MATCH に追加されます。たとえば、関係が打ち切られた後でチャージバックが開始された場合などです。
条件データの例
歴月から以下のサンプルデータを取得します。
- Mastercard の取引数: 125
- Mastercard のチャージバック数: 6
- 取引に対するチャージバックの割合: (6/125) = 4.8%
- Mastercard のチャージバック金額: $6250
このケースでは、後で処理関係が打ち切られた場合、このビジネスは過度のチャージバックにより MATCH の基準を満たします。チャージバックが後で戻されたり、加盟店の主張が認められた場合でも同様です。
過度なチャージバックに関する MATCH 基準には、チャージバックの最小数が存在しません。
MATCH に追加される情報
カードネットワークでは、以下の情報 (存在する場合) を MATCH に追加することが求められています。
- ビジネスの法人名および DBA
- ビジネスの所在地
- ビジネスの電話番号
- ビジネスの納税番号
- ビジネス URL
- 主要株主名
- 主要株主の住所
- 主要株主の電話番号
- 主要株主の納税者番号
- アカウント開設日と閉設日
- MATCH 理由コード
Mastercard は、MATCH リストの正確さを評価しません。
MATCH からの削除
残念ですが、Stripe (または他の処理業者) は通常、ご要望に基づいて MATCH からアカウント情報を削除することはできません。ただし処理業者は、以下の場合に限り情報を削除できます。
- 処理業者がビジネスを誤って MATCH に追加しました。
- 記載の理由が MATCH 理由コード 12 (支払いカード業界データセキュリティ基準 (PCIDSS) への非準拠) によるものであり、ビジネスが PCIDSS に準拠するようになったことを処理業者が確認できた場合。
この 2 つのいずれかの状況に合致する場合、お客様の情報を MATCH に追加した処理業者に記載を削除するよう依頼してください。記録は、Mastercard によって自動的に消去されるまで 5 年間 MATCH システムに残ります。
Next steps if you’re listed on MATCH
MATCH に記載されている場合、新しい処理業者に登録しようとしたときに初めてその事実を知ることになります。MATCH は、申し込みプロセス中に処理業者が情報ツールとして使用することを目的としたものですが、MATCH に記載されているビジネスは通常申し込みを拒否されます。
以前の処理業者に連絡して、お客様の情報が MATCH に追加された理由を確認する必要があります。ただし、MATCH 基準は Mastercard によって決定されたものであり、処理業者はその基準に従う必要があります。たとえば、ビジネスがチャージバックにつながる問題を修正したとしても、Stripe は「過度のチャージバック」基準を満たした加盟店をリストから削除することはできません。
銀行パートナーによる制限のため、正当な加盟店が身元情報を以前に盗まれたなどの情状酌量すべき事情がない限り、一般的に Stripe は MATCH に記載されているビジネスの処理業務を行うことはできません。
不審請求の申請についてサポートが必要な場合は、Stripe サポートまでお問い合わせください。
VMSS
VMSS is Visa’s database of Terminated Merchant Files (TMFs) that contain information about accounts that have been closed by credit card processors around the world for high chargebacks or violations of card brand rules.
Criteria for VMSS Qualification
When a relationship ends between a business and a credit card processor, the processor must determine whether the business meets the criteria to be placed on VMSS.
If any VMSS criteria are satisfied, the processor must add information about the terminated business to VMSS.
VMSS qualitative criteria
The majority of VMSS criteria, or “reason codes,” involve breaches of card network rules, including illegal activity and collusion. See the 13 reason codes and the exact Visa definition below.
The Identity Theft reason code applies when a fraudulent account is opened with stolen information, and the listing of this information on VMSS should not hamper the legitimate identity holder from opening a processing account. It instead serves as a warning to the credit card processor that the application might contain stolen identity information.
| コード | 理由 | 説明 |
|---|---|---|
| 23 | Transaction Laundering | The Merchant or Third Party Agent misrepresented the source of submitted transactions (unauthorized aggregation), and/or submitted transactions on behalf of another Merchant (factoring). |
| 24 | 違法な取引 | The Merchant or Third Party Agent submitted unlawful and/or prohibited transactions into the payment system. |
| 25 | Visa Risk Compliance Program Identification | The Merchant or Third Party Agent was terminated at the Acquirer’s discretion after identification in a Visa risk compliance program and did not adequately remediate. |
| 26 | 加盟店の共謀 | The Merchant or Third Party Agent colluded to commit fraud. |
| 27 | Common Point of Purchase (CPP) | The Merchant or Third Party Agent was identified as a location where account data from legitimate transactions was compromised for use in subsequent fraudulent activity (including skimming) and did not adequately remediate. |
| 28 | 不正行為による有罪判決 | The principal owner(s) of a Merchant outlet or Third Party Agent was/were convicted of a fraud crime. |
| 29 | 破産 / 整理 / 支払い不能 | The Merchant or Third Party Agent cannot fulfill its financial obligations due to potential or actual bankruptcy, insolvency, or suspension of business operations. |
| 30 | Violation of Merchant or Third Party Agent Agreement | The Merchant or Third Party Agent breached their agreement. |
| 31 | Violation of the Visa Rules | The Merchant or Third Party Agent violated the Visa Rules exposing the Acquirer of the payment system to undue risk. |
| 32 | Account Information Security Program Noncompliance | The Merchant or Third Party Agent was non-compliant with the Payment Card Industry Data Security Standard (PCI DSS) and/or the Payment Application Data Security Standard (PA-DSS) requirements. |
| 33 | アカウントデータの侵害 | The Merchant or Third Party Agent suffered a data breach, directly or indirectly resulting in an unauthorized disclosure of payment account and/or transaction information. |
| 34 | Merchant Identity Theft | The Merchant application was submitted using principal owner and /or corporate officer information belonging to individuals that were never party to the Merchant agreement. |
| 35 | Disqualification from the Visa Payment System | Visa disqualified the Merchant or Third Party Agent from participating in the Visa payment system. |
VMSS quantitative criteria
Two VMSS reason codes have specific numeric thresholds defined by Visa for when processors must add accounts to the VMSS list.
These reason codes, which involve chargeback and fraud activity on an account, are the most common reasons for being added to VMSS, and can affect businesses that aren’t engaged in illegal or rule-violating activity. These reason codes are as follows:
| コード | 理由 | 説明 |
|---|---|---|
| 21 | 過度な不正使用 | The Merchant or Third Party Agent submitted excessive fraudulent transactions (US$250,000 fraud amount and 1.8 percent (180 basis points) fraud-to-sales amount ratio in any single month) into payment system, and did not adequately remediate. |
| 22 | Excessive Disputes | The Merchant or Third Party Agent generated excessive disputes (1,000 dispute count, and 1.8 percent (180 basis points) dispute-to-sales amount ratio in any single month) into payment system and did not adequately remediate. |
Removal from VMSS
Stripe—or any other processor—usually can’t remove an account’s information from VMSS upon request. A processor can only remove a VMSS entry if the processor themselves added the business to VMSS in error.
Next steps if you’re listed on VMSS
If you’re listed on VMSS, you might not know until you attempt to sign up for a new processor. VMSS is only supposed to be used as an informational tool by processors during the application process; however, the presence of a VMSS listing often leads to an application being declined.
You’ll need to contact your previous processor to find out why your information was added to VMSS. However, VMSS criteria are determined by Visa and processors are required to follow this criteria. Stripe can’t remove a business that met the “excessive chargebacks” criteria under any circumstances. For example, this is true even if the business has remediated the issues leading to chargebacks.
Because of banking partner restrictions, Stripe generally can’t process for businesses listed on VMSS unless extenuating circumstances apply, such as the case of a legitimate business who previously had their identity information stolen.
不審請求の申請についてサポートが必要な場合は、Stripe サポートまでお問い合わせください。