Stripe Issuing の管理設定とツールで不正使用を管理する
不正利用が Issuing プログラムに及ぼす可能性がある影響と、不正利用に対応するための手順を理解します。
Issuing はペイメントファシリテーション・プロダクトであり、ビジネスとカード発行会社の双方において、不正リスクと責任が生じる可能性が本質的に存在します。このため、当社のプラットフォームを使用する一環として、損失に対する自社の責任と、このリスクを適切に管理する方法を理解する必要があります。このドキュメントでは、不正利用の種類に関するガイダンスを提供し、不正利用が発生した場合の責任の所在の特定、不正利用の監視・防止に役立つ Stripe が提供する利用可能なリソースについて、概要を説明します。
Issuing における不正利用
決済に関する不正利用には、主に次の 3 タイプがあります。
- 取引の不正利用: 資金や資産を不正に取得するためのパーチェシングカードの不正利用。
- ビジネスの不正利用: 個人が不正なアカウントを作成し (多くの場合、盗難された身元情報を使用)、不正に利用。
- アカウントの乗っ取りによる不正利用: 正当なアカウント所有者のログイン情報がサードパーティーによって侵害され、そのアカウントで不正な操作が実行される。
ビジネスの不正使用と ATO による不正使用も Issuing で発生する可能性がありますが、多くの場合取引の不正使用の方がリスクは高くなります。このガイドでは、取引の不正使用に焦点を当て、その対策として利用できるツールについて説明します。
取引の不正使用
Stripe Issuing では、Stripe が発行したカードにおける未承認の支払いという形で、取引の不正利用が発生しています 。取引の不正利用は、カード保有者のライフサイクルのどの時点でも発生する可能性があります。また、正当なビジネスでの購入も取引の不正利用の対象となります。発行済みのカードは、以下によって侵害を受ける可能性があります。
- 物理的な盗難
- カード保有者によるカードの紛失
- 次のような手口による認証情報の侵害
- フィッシング
- スパイウェア
- 安全ではない決済
- 外部からの侵害
損失に対する責任
損失に対する責任は、特定の取引に関連する問題が一方の当事者に財務的な損失をもたらす場合に発生します。 責任は通常、取引において不正利用が生じた場合や、ビジネスが購入時に義務を履行しなかった場合に発生します。
損失に対する責任は、加盟店 (サービスまたは購入される商品のプロバイダー)、Stripe Issuing のユーザーである貴社、または (まれに) カード保有者のいずれかに割り当てられます。すなわち、損失に対する責任が「カード発行者」に割り当てられている場合、例外が適用されない限り、貴社が責任を負うことになります。
Stripe Issuing を使用すると、不正利用モニタリングシステムを設計して、自社のビジネスロジックを作成し、取引に関する決定を下すことができます。Stripe が取引の不正防止をお手伝いすることはできますが、カード発行会社が責任を負うとみなされるすべての損失については、依然としてお客様の責任となります。このため、不正利用を監視、管理、防止するための十分な制御を構築する必要があります。
責任の割り当て
多くの場合、不正取引に対する責任はビジネスにあります。ただし、「ライアビリティシフトが Stripe Issuing ユーザーである貴社に転嫁される要因」がいくつか存在します。
カード提示取引 カードまたは Apple Pay や Google Pay などのモバイルウォレットが取引に使用された場合、通常はカード発行会社が不正利用に対する責任を負いますが、以下のようないくつかの例外があります。
カードとウォレットは、利用可能な場合は接触型または非接触型チップインターフェイスを使用するか、磁気ストライプをスワイプして、電子的に読み取られる必要があります。 通信販売や電話販売など、手動でカード番号を入力する場合は、「責任はビジネスにあります」。
チップ対応カードが、磁気ストライプ決済にのみ対応する端末で使用された場合、責任は加盟店に移行します。
- ただし、加盟店が使用する端末が、通常はチップ取引に対応しているものの、特定の取引に磁気ストライプが使用されている場合、「発行会社である貴社に責任があります」。
カード非提示取引 カードが取引時に「提示されない」オンラインコマースの場合、「責任は主に 3DS によって決まります」。
注
「3DS」 3DS は、加盟店が高いリスクがあると判断したオーソリに対してリクエストできる追加の認証手段です (そのため、不審請求の申請の際にはカード発行会社が不正利用に関するライアビリティに対する責任を負う可能性が高くなります)。この追加の認証手段 (通常は 1 回限りのパスコードなどの多要素認証を使用) によって、「ライアビリティシフト」がトリガーされます。ライアビリティシフトでは、状況にかかわらず、不正利用に関するライアビリティは加盟店からカード発行会社にシフトします。
ビジネスから特定のカードのオーソリのために 3DS がリクエストされると、カード保有者は取引を完了するために追加の認証を完了しなければならないことがあります。ただし、認証がトリガーされるかどうかは、カードを 3DS に登録しているかどうかと、免除または「フリクションレス」フローが存在するかどうかに応じて決まります。フリクションレスフローでは、設定されている 3DS リクエストがすべて自動的にバイパスされます。3DS 登録はアメリカでは必須ではなく、デフォルトで無効になっています。このため、アメリカのカード発行会社は、カード保有者に不要な負荷をかけないようにするため、一貫してカードを登録しません。Stripe Issuing のコンテキストでは、加盟店が 3DS をトリガーすると、カードで 3DS を有効にしたかどうかに関係なく、通常は不正利用に関するライアビリティが Stripe Issuing ユーザーであるお客様に自動的にシフトします。このため、3DS を有効にしておくと、不正利用に関する金融上の責任を負うリスクを軽減できます。詳細については、Stripe Issuing の 3DS についてご覧ください。
デジタルウォレットの使用
3DS の考慮事項に関係なく、カード非提示取引の際に Stripe Issuing カードが Apple Pay や Google Pay で使用された場合、「責任はカード発行会社に移行 (ライアビリティシフト) します」。
取引の不正防止対策とツール
取引の不正利用によって責任が生じるリスクを考慮すると、事前対策を講じて不正利用の監視・防止を実行する必要があります。以下は、Stripe Issuing プログラムに追加できる管理設定とツールです。できる限り多くの管理設定とツールを使用して、プログラムにおける取引の不正利用リスクを抑えることをお勧めします。
| 管理設定/ツール | 特典 | 欠点 |
|---|---|---|
| 3D セキュア (3DS) | カード保有者の確認に追加の認証手段を導入することで、特定の取引での損失に対する責任を軽減します。 | 一部の取引でカード保有者に追加の認証ステップが生じます。 |
| 支出管理 | カードとカード保有者にルールを設定して、支出を管理します。 | 複合的なルールを適用する機能が制限されます。 |
| リアルタイムの Webhook | 販売時に利用可能なすべてのデータに基づく、リアルタイムでのオーソリの承認または拒否の決定。 | Stripe Webhook への実装が必要です。 |
| Stripe による防御策 ベータ | Stripe のリスクスコアに基づき、リスクの高い取引を自動的にブロックします。 | 一部の正当な取引が拒否される場合があります。 |
| 確認データ | 認証時にセキュリティコードまたは有効期限が一致しない場合に認証を拒否します。 | カスタム設定を利用できません。 |
| トークン管理 | 不正行為に関連付けられたデジタルウォレットトークンを一時停止または無効化できるようになります。 | Tokens API への実装が必要です。 |
| カード管理 | 不正行為に関連付けられた物理カードまたはバーチャルカードを一時停止または無効化できるようになります。 | なし。 |
| 不審請求の申請 | 不審請求の申請を行うことで、不正行為によって失った売上を回復できる可能性があります。 | 不審請求の申請は売上の回復を保証するものでなく、解決までに時間がかかる可能性があります。 |
不正防止に関する事前の管理設定
本人確認 / ビジネス確認
本人確認 (KYC) またはビジネス確認 (KYB) は、カードを使用する会社または個人に関する情報を収集および確認する必須のプロセスです。この情報には、法人と、ビジネスの代表者およびビジネスを所有または管理する人物に関する個人情報が含まれます。
KYC/KYB を管理する最も簡単な方法は、Connect アカウント登録を導入することです。これにより、Stripe は基本的な義務に関連する複雑な処理を行うことができます。
支出管理
支出管理を使用すると、特定の国または加盟店カテゴリー (カジノなど) をブロックし、オーソリごと (100 USD など) または月ごとの利用限度額 (月額 3,000 USD など) を設定できます。これらの管理権限は、個々のカードまたはカード保有者のいずれかに適用できます。予想される支出パターンがわかっている場合に最も効果があります。
不正利用された場合にお客様のリスクを抑えられるように、利用限度額および加盟店カテゴリーの管理を組み合わせて実装することをお勧めします。詳細については、支出管理をご覧ください。
3D セキュア
3D セキュア (3DS) は、オンライン購入が正当なカード保有者によって行われていることを確認するために加盟店が使用する追加の認証手段です。3DS はオンライン取引に使用され、加盟店のリクエストに応じてお客様が Issuing プログラムで有効にした場合にのみ機能します。追加の 3DS ステップは購入時に発生し、カード保有者には認証ページが表示され、電話またはメールに送信された確認コードを入力するように求められます。
オンライン取引での不正利用による損失のリスクを軽減するため、3DS を有効にすることをお勧めします。詳細については、3DS の詳細と有効にする方法をご覧ください。
不正防止に関するリアルタイムの管理設定
リアルタイムの Webhook
オーソリの時点で利用できるデータに基づき、オーソリリクエストをリアルタイムで承認または拒否できます。これにより、オーソリ結果の管理が可能になり、独自の不正防止ロジックを実装できるようになります。Stripe のリアルタイムの Webhook を使用して、他の消費行動への影響を最小限に抑えながら、特定の不正利用パターンを対象に設定できます。たとえば、オーソリを行う場所でオーソリデータを使用して、特定の地域、通貨、加盟店をブロックできます。詳細については、リアルタイムの Webhook とその仕組みをご覧ください。
Stripe による防御策
Stripe はデフォルトで、損失の責任を変えることなく不正行為のリスクを軽減するための自動制御機能をいくつか用意しています。 考慮事項は複数ありますが、Stripe は以下の場合にオーソリのブロックを試行します。
- カードテスティングと思われる場合。
- Stripe のリスクモデルに基づき、極めて高リスクと判断した場合。
こうした防御策は通常、オーソリのごくわずかな部分 (0.5% 未満) にしか影響を及ぼさないため、自社の管理プログラムの代替とみなすべきではありません。最終的には、自社のプログラムの特性に最適なユーザー体験とリスク管理の間の理想的なバランスを特定する必要があります。Stripe の防御策は責任には影響しません。
不正利用に関するチャレンジ
不正利用に関するチャレンジは、ユーザーが SMS で購入を確定する際の追加の確認手段を提供します。これにより、最初はリスクが高いように見える正当な購入が誤ってブロックされることを最小限に抑えられます。購入の確定後に、カード保有者は取引を再試行できます。詳細については、不正利用に関するチャレンジをご覧ください。
オーソリシグナル
オーソリシグナルを使用すると、以下に基づいて、オーソリを拒否または承認する判断をリアルタイムで行うことができます。
- 確認データ: 購入時に提供されたカードの値が、登録されているものと一致しているかどうか
- 不審請求の申請の評価: 不正利用が発生した場合に、オーソリに対して不審請求が申請される可能性
- 高リスクの加盟店アラート: 不審請求の申請のアクティビティーに基づく、加盟店のリスクレベル
- カードテスティングリスク: カードテスティング攻撃の可能性
詳細については、オーソリシグナルをご覧ください。
不正使用後の取引に関するツール
トークン管理
API でデジタルウォレットトークンを管理し、不正行為に関連付けられたデジタルウォレットカードをすぐに停止します。トークン管理と API の有効化について、詳細をご覧ください。
カード管理
お客様またはカード保有者が不正利用である疑いを持った場合、ダッシュボードまたは API でカードを一時的に無効化し、調査を進めながら以降の不正利用をブロックできます。操作がオーソリされていた場合は、カードの認証情報を維持して再度有効化できます。不正利用を確認した場合は、すぐにカードを解約します。詳細については、カード管理と API の使用方法をご覧ください。
不審請求の申請
不正利用取引が発生した場合、ダッシュボードまたは API から、理由を「不正利用用」として Visa または Mastercard に取引に対する不審請求を申請できます。場合によっては、販売時に行われている検証内容に応じて、加盟店が不正利用取引の責任を負うことがあります。詳細については、不審請求の申請の処理をご覧ください。
ユーザー向けの管理と教育
Stripe の不正利用管理のさまざまな側面を調整して、カード保有者を教育することで、不正利用管理が必要となる頻度を下げることができます。
ユーザーの設定
ユースケースとワークフローに応じて、Stripe のデフォルトの管理に対する以下のような調整をリクエストできます。
- 3DS 要件の緩和
- 取引金額の上限の引き上げ
Stripe はこれらのリクエストに個別に対応できますが、お客様は、このようなリクエストに起因するリスクの増加や損失に対して最終的な責任を負います。
カード保有者に情報を提供する
カード情報を安全に保つ方法をカード保有者に伝えます。口座のアクティビティーを特に注意して確認するよう伝えることで、ユーザー、そしてお客様が不正行為を早期に検出できるようにします。カード保有者に必ず以下の予防手段について通知してください。
- 実店舗でカードスキマーがないか確認する: 支払い端末にカメラやスキミング装置が取り付けられていないことを確認します。カードリーダー、ポート、ディスプレイ、キーパッドに何も挿入または取り付けられていないことを確認します。
- 信頼できるビジネスと取引する: よく知っていて信頼できる加盟店にのみカード情報を提供します。
- 紛失または盗難されたカードをできるだけ早く解約する: 不正行為者がカード認証情報を取得できるようになる前に、不正利用を防止するための対策をすぐに実行します。支出を続けるには、紛失または盗難されたカードをキャンセルした後に新しいカードを作成します。
指標を監視する
Issuing が有効なアカウントの不正使用を特定および測定するのに役立つ、監視を推奨する指標を以下に示します。
先行指標
先行指標は、潜在的な不正利用を早期に特定するのに役立つ指標です。
- 不正な確認用データ (CVC2、有効期限) による経時的なオーソリの拒否。
- 経時的なオーソリ率。
- 地理的な範囲外での経時的なオーソリ。
- 加盟店のアクワイアラの国による経時的なオーソリ。
- 加盟店カテゴリーコードによる経時的なオーソリ。
- 時間の経過に伴う強制的なキャプチャー。
遅行指標
遅行指標は、不正行為が自社の Issuing プログラムに及ぼす影響を評価するのに役立つ指標です。
- 不正使用として不審請求が申請された総支出額の経時的な割合。
- 不審請求の申請における経時的な勝敗比率。
- 不審請求の申請による経時的な絶対損失。
- 不審請求が申請された取引の割合が最も高い加盟店のアクワイアラ。
不正利用を管理する
Issuing には不正利用の可能性が伴うため、徹底的な監視と事前の不正管理が必要です。自身の役割と責任を理解し、Stripe のリソースを効果的に活用することで、リスクをビジネスに適切と思われるレベルまで抑えることができます。
不正対策へのアプローチを決定する際には、次の点を考慮してください。
想定する不正利用の発生件数: 毎月の不正利用の平均件数は、業界、地域、ビジネスモデルなどによって大きく異なります。通常、ユーザーが不正利用に対して不審請求を申請する割合は、取引額の 0.1% 以下ですが、カード発行の規模によって大きく異なります。 特殊なビジネスモデルや取引量が少ない場合を除き、不正利用がまったく発生しないことはまれです。
不審請求の申請の定義: 不審請求の申請が発生するのは、口座名義人がカード明細書に記載されている支払いについて、カード発行会社に異議を申し立てた場合です。不審請求の申請の理由は、口座名義人が支払いに見覚えがない、支払いを不正利用であると解釈した、購入した商品やサービスに不満を抱いている、など多岐にわたります。不審請求の申請は、不正行為が発生した際にカード発行会社が売上を回復するのに役立ちます。
不正利用に関する Stripe の追加のシグナルと制御機能: Stripe Issuing は現在、API 中心のユーザーのうち、不正取引の特定・防止に役立つ高度なシグナルの使用に関心がある方に、高度なリスク関連プロダクト (ベータ版) を提供しています。詳細については、サポートにお問い合わせください。