Stripe Issuing の管理設定とツールで不正使用を管理する

ペイメントファシリテーション製品である Issuing は、基本的に、企業とイシュアの双方に不正利用のリスクと責任を割り当てます。不正利用取引とは何か、不正利用が発生した場合の責任は誰にあるのか、Stripe の提供リソースをどのように使用すれば不正利用を効果的に監視・防止できるのかをお客様は把握しておかなければなりません。自らの役割と責任を理解し、Stripe のリソースを効果的に活用することで、ビジネスに適していると思われるレベルまでリスクは抑えられます。

不正対策へのアプローチを決定する際には、次の点を考慮してください。

• **不正利用の予想程度:**毎月の平均不正利用件数は、業界、地域、ビジネスモデル、その他の要因によって大きく異なります。ユーザーが不正利用に対して不審請求の申し立てを行っている割合は、取引件数の 0.1% 以下であることがほとんどですが、発行数によってこの数字は大きく異なったりします。まれなビジネスモデルや取引量が少ない場合を除き、不正利用がまったく発生しないのは珍しいことです。
• 不審請求の申し立ての定義:不審請求の申し立ては、アカウント所有者がカード発行会社に対してカード明細書の請求に異議を申し立てた場合に発生します。不審請求の申し立てが起こる理由はさまざまです。たとえば、アカウント所有者が請求に気付かなかったり、不正利用と認識したり、購入した商品やサービスに不満を感じたりすると発生します。不審請求の申し立ては、不正行為が発生した場合にイシュアが資金を回収する手段として役立ちます。

取引の不正使用

決済の不正利用は、主に次の 3 つの種類に分かれます。

• 不正利用取引:決済カードを不正に使用して金銭や財産を不正に取得すること。
• ビジネスの不正利用: 個人が不正なアカウントを作成し (多くの場合、盗難された身元情報を使用)、不正に利用。
• アカウント乗っ取り (ATO) 詐欺:権限のない第三者が正当なアカウント所有者のログイン情報を侵害し、そのアカウントでアクションを実行すること。

ビジネス詐欺や ATO 詐欺は Issuing で発生する可能性がありますが、通常、不正利用取引のリスクの方が大きいです。

Stripe Issuing では、Stripe が発行したカードにおける未承認の支払いという形で、取引の不正利用が発生しています 。取引の不正利用は、カード保有者のライフサイクルのどの時点でも発生する可能性があります。また、正当なビジネスでの購入も取引の不正利用の対象となります。発行済みのカードは、以下によって侵害を受ける可能性があります。

• 物理的な盗難
• カード保有者によるカードの紛失
• 以下に挙げる手口で侵害された資格情報:
  • フィッシング
  • スパイウェア
  • 安全ではない決済
  • 外部からの侵害

損失に対する責任

損失に対する責任は、特定の取引に関連する問題が一方の当事者に財務的な損失をもたらす場合に発生します。 責任は通常、取引において不正利用が生じた場合や、ビジネスが購入時に義務を履行しなかった場合に発生します。

賠償責任の所在は、企業 (購入されるサービスまたは商品の提供者)、Stripe Issuing ユーザーであるお客様、またはカード保有者 (まれな場合) のいずれかに割り当てられます。つまり、賠償責任がイシュアに割り当てられた場合、例外が適用されない限り、お客様が責任を負うことになります。イシュアが不正取引の責任を負う場合の詳細については、責任の割り当てをご覧ください。

Stripe Issuing を使用することで、不正利用監視システムを構築したり、ビジネスロジックや取引に関する裁定を作成したりすることができます。Stripe は不正利用防止に関するサポートを提供する場合がありますが、イシュアに責任があると見なされる損失については、お客様がすべて責任を負います。そのため、不正利用を監視、管理、防止するための十分な制御機能を構築する必要があります。

責任の割り当て

多くの場合、不正取引に対する責任は企業が負います。ただし、以下に挙げる要因で、責任が発行ユーザーであるお客様に移転することがあります。

• **対面取引:**カードまたはモバイルウォレット (Apple Pay や Google Pay など) が取引で使用される場合、いくつかの例外を除き、イシュアが不正利用に対する責任を負うことになります。
  • カードやウォレットは、接触型または非接触型のチップインターフェイスを使用するか、磁気ストライプをスワイプして、利用可能な場合はいつでも電子的に読み取れる必要があります。通信販売や電話販売など、手動でカード番号が入力される場合は、企業が責任を負います。
  • 磁気ストライプ決済のみに対応している端末でチップ対応カードが使用された場合、責任は企業に移ります。
  • 企業の使用端末が一般的なチップ取引に対応していても、実際には磁気ストライプが取引で使用されていた場合、責任の所在は発行ユーザーであるお客様に留まります。
• **非対面取引:**取引 (オンライン商取引) でカードが使用されない場合、責任の所在は 3D セキュア (3DS) に委ねられます。3DS による追加の検証レイヤーは、利用場面に関係なく不正利用の責任が企業からカード発行会社に移行させる「ライアビリティシフト」を引き起こします。Stripe Issuing を介する場合、企業が 3DS をトリガーすると、カードで 3DS が有効になっているかどうかを問わず、不正利用の責任がカードの発行ユーザーであるお客様に自動で転嫁されます。したがって、3DS を有効にしておくことで、不正取引に対する賠償責任のリスクを軽減できます。Stripe Issuing の 3DS の詳細については、こちらのページをご覧ください。
• **デジタルウォレット取引:**3DS の考慮事項とは別に、Apple Pay または Google Pay ウォレットで Stripe Issuing カードを使用し、非対面取引を行うと、責任がイシュアに転嫁されることになります。

取引の不正防止対策とツール

賠償責任が伴う取引で不正利用がもたらすリスクを考えると、事前に行動し、監視と防止に努める必要があります。以下は、Stripe Issuing プログラムに追加できる制御機能とツールです。できるだけ多くの制御機能とツールを利用して、プログラムの不正利用取引のリスクを抑えることをおすすめします。

不正防止に関する事前の管理設定

不正利用防止に関して、Stripe は以下の予防制御機能を提供しています。

不正防止に関するリアルタイムの管理設定

不正利用防止に関して、Stripe は以下のリアルタイム制御機能を提供しています。

不正使用後の取引に関するツール

Stripe では、不正取引が発生した後に以下の措置を実行しています。

ユーザー向けの防止策と教育

Stripe の不正防止策を調整するとともに、カード所有者を教育することで、その利用頻度を減らすことができます。

ユーザーの設定

ユースケースとワークフローに応じて、Stripe のデフォルトの管理に対する以下のような調整をリクエストできます。

• 3DS 要件の緩和
• 取引限度額の引き上げ

Stripe はこれらのリクエストに個別に対応できますが、お客様は、このようなリクエストに起因するリスクの増加や損失に対して最終的な責任を負います。

カード保有者に情報を提供する

カード情報を安全に保つ方法をカード保有者に伝えます。口座のアクティビティーを特に注意して確認するよう伝えることで、ユーザー、そしてお客様が不正行為を早期に検出できるようにします。カード保有者に必ず以下の予防手段について通知してください。

• 実店舗でカードスキマーがないか確認する: 支払い端末にカメラやスキミング装置が取り付けられていないことを確認します。カードリーダー、ポート、ディスプレイ、キーパッドに何も挿入または取り付けられていないことを確認します。
• **信頼できる企業との取引:**カード情報は、既知の信頼できる企業にのみ提供してください。
• 紛失または盗難されたカードをできるだけ早く解約する: 不正行為者がカード認証情報を取得できるようになる前に、不正利用を防止するための対策をすぐに実行します。支出を続けるには、紛失または盗難されたカードをキャンセルした後に新しいカードを作成します。

指標を監視する

Issuing が有効なアカウントの不正使用を特定および測定するのに役立つ、監視を推奨する指標を以下に示します。

先行指標

先行指標は、潜在的な不正利用を早期に特定するのに役立つ指標です。

• 不正な確認用データ (CVC2、有効期限) による経時的なオーソリの拒否。
• 経時的なオーソリ率。
• 地理的な範囲外での経時的なオーソリ。
• 取得企業の国別のオーソリ (時系列)。
• 業種コード別のオーソリ (時系列)。
• 時間の経過に伴う強制的なキャプチャー。

遅行指標

遅行指標は、不正行為が自社の Issuing プログラムに及ぼす影響を評価するのに役立つ指標です。

• 不正使用として不審請求が申請された総支出額の経時的な割合。
• 不審請求の申請における経時的な勝敗比率。
• 不審請求の申請による経時的な絶対損失。
• 不審請求の申し立て率が最も高い企業を取得します。