コンテンツにスキップ
アカウントを作成
または
サインイン
Stripe ドキュメントのロゴ
/
アカウントを作成
サインイン
概要
事業で活用する
資金の管理
プラットフォームに組み込む
カードを発行する

Stripe Issuing の管理設定とツールで不正使用を管理する

不正取引が Issuing プログラムに及ぼす影響と、不正取引に対処するために実行できる手順についてご紹介します。

ペイメントファシリテーション製品である Issuing は、基本的に、企業とイシュアの双方に不正利用のリスクと責任を割り当てます。不正利用取引とは何か、不正利用が発生した場合の責任は誰にあるのか、Stripe の提供リソースをどのように使用すれば不正利用を効果的に監視・防止できるのかをお客様は把握しておかなければなりません。自らの役割と責任を理解し、Stripe のリソースを効果的に活用することで、ビジネスに適していると思われるレベルまでリスクは抑えられます。

不正対策へのアプローチを決定する際には、次の点を考慮してください。

  • **不正利用の予想程度:**毎月の平均不正利用件数は、業界、地域、ビジネスモデル、その他の要因によって大きく異なります。ユーザーが不正利用に対して不審請求の申し立てを行っている割合は、取引件数の 0.1% 以下であることがほとんどですが、発行数によってこの数字は大きく異なったりします。まれなビジネスモデルや取引量が少ない場合を除き、不正利用がまったく発生しないのは珍しいことです。
  • 不審請求の申し立ての定義:不審請求の申し立ては、アカウント所有者がカード発行会社に対してカード明細書の請求に異議を申し立てた場合に発生します。不審請求の申し立てが起こる理由はさまざまです。たとえば、アカウント所有者が請求に気付かなかったり、不正利用と認識したり、購入した商品やサービスに不満を感じたりすると発生します。不審請求の申し立ては、不正行為が発生した場合にイシュアが資金を回収する手段として役立ちます。

取引の不正使用

決済の不正利用は、主に次の 3 つの種類に分かれます。

  • 不正利用取引:決済カードを不正に使用して金銭や財産を不正に取得すること。
  • ビジネスの不正利用: 個人が不正なアカウントを作成し (多くの場合、盗難された身元情報を使用)、不正に利用。
  • アカウント乗っ取り (ATO) 詐欺:権限のない第三者が正当なアカウント所有者のログイン情報を侵害し、そのアカウントでアクションを実行すること。

ビジネス詐欺や ATO 詐欺は Issuing で発生する可能性がありますが、通常、不正利用取引のリスクの方が大きいです。

Stripe Issuing では、Stripe が発行したカードにおける未承認の支払いという形で、取引の不正利用が発生しています 。取引の不正利用は、カード保有者のライフサイクルのどの時点でも発生する可能性があります。また、正当なビジネスでの購入も取引の不正利用の対象となります。発行済みのカードは、以下によって侵害を受ける可能性があります。

  • 物理的な盗難
  • カード保有者によるカードの紛失
  • 以下に挙げる手口で侵害された資格情報:
    • フィッシング
    • スパイウェア
    • 安全ではない決済
    • 外部からの侵害

損失に対する責任

損失に対する責任は、特定の取引に関連する問題が一方の当事者に財務的な損失をもたらす場合に発生します。 責任は通常、取引において不正利用が生じた場合や、ビジネスが購入時に義務を履行しなかった場合に発生します。

賠償責任の所在は、企業 (購入されるサービスまたは商品の提供者)、Stripe Issuing ユーザーであるお客様、またはカード保有者 (まれな場合) のいずれかに割り当てられます。つまり、賠償責任がイシュアに割り当てられた場合、例外が適用されない限り、お客様が責任を負うことになります。イシュアが不正取引の責任を負う場合の詳細については、責任の割り当てをご覧ください。

Stripe Issuing を使用することで、不正利用監視システムを構築したり、ビジネスロジックや取引に関する裁定を作成したりすることができます。Stripe は不正利用防止に関するサポートを提供する場合がありますが、イシュアに責任があると見なされる損失については、お客様がすべて責任を負います。そのため、不正利用を監視、管理、防止するための十分な制御機能を構築する必要があります。

責任の割り当て

多くの場合、不正取引に対する責任は企業が負います。ただし、以下に挙げる要因で、責任が発行ユーザーであるお客様に移転することがあります。

  • **対面取引:**カードまたはモバイルウォレット (Apple Pay や Google Pay など) が取引で使用される場合、いくつかの例外を除き、イシュアが不正利用に対する責任を負うことになります。
    • カードやウォレットは、接触型または非接触型のチップインターフェイスを使用するか、磁気ストライプをスワイプして、利用可能な場合はいつでも電子的に読み取れる必要があります。通信販売や電話販売など、手動でカード番号が入力される場合は、企業が責任を負います。
    • 磁気ストライプ決済のみに対応している端末でチップ対応カードが使用された場合、責任は企業に移ります。
    • 企業の使用端末が一般的なチップ取引に対応していても、実際には磁気ストライプが取引で使用されていた場合、責任の所在は発行ユーザーであるお客様に留まります。
  • **非対面取引:**取引 (オンライン商取引) でカードが使用されない場合、責任の所在は 3D セキュア (3DS) に委ねられます。3DS による追加の検証レイヤーは、利用場面に関係なく不正利用の責任が企業からカード発行会社に移行させる「ライアビリティシフト」を引き起こします。Stripe Issuing を介する場合、企業が 3DS をトリガーすると、カードで 3DS が有効になっているかどうかを問わず、不正利用の責任がカードの発行ユーザーであるお客様に自動で転嫁されます。したがって、3DS を有効にしておくことで、不正取引に対する賠償責任のリスクを軽減できます。Stripe Issuing の 3DS の詳細については、こちらのページをご覧ください。
  • **デジタルウォレット取引:**3DS の考慮事項とは別に、Apple Pay または Google Pay ウォレットで Stripe Issuing カードを使用し、非対面取引を行うと、責任がイシュアに転嫁されることになります。

取引の不正防止対策とツール

賠償責任が伴う取引で不正利用がもたらすリスクを考えると、事前に行動し、監視と防止に努める必要があります。以下は、Stripe Issuing プログラムに追加できる制御機能とツールです。できるだけ多くの制御機能とツールを利用して、プログラムの不正利用取引のリスクを抑えることをおすすめします。

不正防止に関する事前の管理設定

不正利用防止に関して、Stripe は以下の予防制御機能を提供しています。

本人確認 / ビジネス確認

本人確認 (KYC) または法人確認 (KYB) は、カードを使用する企業または個人に関する情報を収集・確認するための必須プロセスです。この情報には、企業を代表する法人または個人の情報、企業の所有者または管理者に関する情報が含まれます。KYC/KYB を管理するには、Connect アカウント登録を実装します。これにより、基本的な義務に関する複雑な事務が Stripe で処理されます。

Connect を使用して KYC/KYB を管理する方法の詳細については、Connect を使用したリスク管理をご覧ください。

支出管理

支出管理を利用すると、特定の国や業種 (カジノなど) をブロックしたり、オーソリごと (例: 100 USD) や 1 カ月ごと (例: 1 カ月あたり 3,000 USD) の利用限度額を設定したりすることができます。この支出管理は、カードまたはカード保有者ごとに適用できます。今後の支出パターンがわかっていると最も効果的です。

利用限度額と業種制限を組み合わせて実装し、不正利用時にリスクを抑えられるようにすることをお勧めします。カードとカード保有者にルールを設定して支出を管理する方法については、支出管理をご覧ください。

3D セキュア

3D セキュア (3DS) は追加の認証レイヤーであり、オンライン購入が正当なカード保有者によって行われたものであることを確認するために企業が使用します。3DS は、オンライン取引で企業が 3DS をリクエストし、かつお客様が Issuing プログラムで 3DS を有効にしている場合にのみ機能します。追加の 3DS ステップは決済時に発生します。カード保有者には認証ページが表示され、スマートフォンまたはメールに送信された確認コードの入力を求めるメッセージが表示されます。

オンライン取引における不正利用の損失リスクを軽減するために、3DS を有効にすることをお勧めします。3DS の詳細と有効化の方法については、3D セキュアを使用したカード保有者認証をご覧ください。

不正防止に関するリアルタイムの管理設定

不正利用防止に関して、Stripe は以下のリアルタイム制御機能を提供しています。

Stripe による防御策

Stripe は、デフォルトで自動制御機能を提供しており、賠償責任に変更を加えることなく不正利用リスクを軽減することができます。Stripe は特に、カードテスティングのように見えるオーソリや、独自のリスクモデルに基づいてリスクが極めて高いと推定されるオーソリのブロックを試みます。

これらの防御策は通常、純粋な追加手段であり、オーソリのごく一部 (0.5% 未満) にのみ影響します。これらの自動制御機能を、リスク管理プログラムの代わりと見なすべきではありません。最終的には、プログラムの特性に合ったユーザー体験とリスク管理のバランスを見極める必要があります。Stripe の防御レイヤーは、賠償責任には影響しません。

リアルタイムの Webhook

オーソリリクエストは、オーソリ時点で利用可能なデータを基にリアルタイムで承認または拒否を決定できます。これにより、オーソリの結果を適切に管理しつつ、独自の不正利用防止ロジックを実装できます。Stripe のリアルタイム Webhook を使用すれば、他の支出行動への影響を最小限に抑えながら、特定の不正パターンを監視できます。たとえば、オーソリの場所に関するオーソリデータを基に、特定の地域、通貨、企業をブロックすることもできます。

リアルタイム Webhook とその仕組みの詳細については、リアルタイム認証をご覧ください。

不正利用に関するチャレンジ

不正利用のチャレンジにより追加の検証レイヤーが設けられ、ユーザーは SMS で購入を確定することになります。これにより、リスクが高い正当な購入が誤ってブロックされるケースを最小限に抑えることができます。購入を確認した後、カード保有者は取引を再試行できます。

不正利用をチャレンジで処理する方法の詳細については、不正利用のチャレンジをご覧ください。

確認データの比較

実行されるすべてのオーソリで、決済時に提供された値と登録されている値を比較します。以下の点で不一致が検出された場合は、通知が送られます。

  • CVV2 (またはセキュリティコード)
  • カードの有効期限
  • 請求先住所
  • 請求先の郵便番号
  • PIN 番号 (入力時)

登録されているカード情報と決済時に入力されたカード情報の不一致を見つけることで、不正行為が特定しやすくなる場合があります。たとえば、カード保有者の請求先住所と決済時に提供された郵便番号が一致しない場合、カード保有者の郵便番号を知らない不正利用者が盗難カードで購入を試みている可能性があります。登録されている CVV2 と決済時に入力された CVV2 が一致しない場合、関連付けられている CVV を知らない不正利用者が、カード番号を順番に入力して有効なカード番号を探っている可能性があります。

リスク許容度とオーソリの性質 (例: 対面かオンラインか) を基に、確認データの値に不一致が見つかった場合、オーソリを拒否できます。

不正使用後の取引に関するツール

Stripe では、不正取引が発生した後に以下の措置を実行しています。

トークン管理

Tokens API を使用してデジタルウォレットトークンを管理し、不正行為に関連付けられたデジタルウォレットカードを遮断します。

カードのネットワークトークンの管理方法については、トークン管理をご覧ください。

カード管理

お客様またはカード保有者が不正利用の疑いを抱いた場合、ダッシュボードまたは Issuing API でカードを一時的に無効にし、調査開始以降の不正利用をブロックすることができます。アクティビティが正式に承認された場合は、カードの認証情報を保持したまま再度有効にできます。不正利用を確認した場合は、すぐにカードを解約してください。

Issuing API を使用してカードを無効にする方法については、カードの無効化をご覧ください。

不審請求の申請

不正な取引が発生した場合は、ダッシュボードまたは API から「不正利用」という名目で Visa または Mastercard に不審請求を申し立てることができます。販売時に実施される確認内容によっては、企業が不正取引の責任を負うことがあります。不審請求の申し立てによって売上が回収される保証はなく、解決までに時間がかかる場合があります。

不審請求の申し立ての処理方法については、Issuing での不審請求の申し立てをご覧ください。

ユーザー向けの防止策と教育

Stripe の不正防止策を調整するとともに、カード所有者を教育することで、その利用頻度を減らすことができます。

ユーザーの設定

ユースケースとワークフローに応じて、Stripe のデフォルトの管理に対する以下のような調整をリクエストできます。

Stripe はこれらのリクエストに個別に対応できますが、お客様は、このようなリクエストに起因するリスクの増加や損失に対して最終的な責任を負います。

カード保有者に情報を提供する

カード情報を安全に保つ方法をカード保有者に伝えます。口座のアクティビティーを特に注意して確認するよう伝えることで、ユーザー、そしてお客様が不正行為を早期に検出できるようにします。カード保有者に必ず以下の予防手段について通知してください。

  • 実店舗でカードスキマーがないか確認する: 支払い端末にカメラやスキミング装置が取り付けられていないことを確認します。カードリーダー、ポート、ディスプレイ、キーパッドに何も挿入または取り付けられていないことを確認します。
  • **信頼できる企業との取引:**カード情報は、既知の信頼できる企業にのみ提供してください。
  • 紛失または盗難されたカードをできるだけ早く解約する: 不正行為者がカード認証情報を取得できるようになる前に、不正利用を防止するための対策をすぐに実行します。支出を続けるには、紛失または盗難されたカードをキャンセルした後に新しいカードを作成します。

指標を監視する

Issuing が有効なアカウントの不正使用を特定および測定するのに役立つ、監視を推奨する指標を以下に示します。

先行指標

先行指標は、潜在的な不正利用を早期に特定するのに役立つ指標です。

  • 不正な確認用データ (CVC2、有効期限) による経時的なオーソリの拒否。
  • 経時的なオーソリ率。
  • 地理的な範囲外での経時的なオーソリ。
  • 取得企業の国別のオーソリ (時系列)。
  • 業種コード別のオーソリ (時系列)。
  • 時間の経過に伴う強制的なキャプチャー

遅行指標

遅行指標は、不正行為が自社の Issuing プログラムに及ぼす影響を評価するのに役立つ指標です。

  • 不正使用として不審請求が申請された総支出額の経時的な割合。
  • 不審請求の申請における経時的な勝敗比率。
  • 不審請求の申請による経時的な絶対損失。
  • 不審請求の申し立て率が最も高い企業を取得します。

参照情報

このページはお役に立ちましたか。
はいいいえ