化粧品ECサイトの不正利用を大幅に削減したセキュリティソリューション
PGマルチペイメントサービスを導入いただいている大手化粧品ブランドのA社は、3Dセキュアやセキュリティコードの導入など、さまざまな対策を行なってもなかなか減らないクレジットカード不正利用に悩まされていました。そこで、GMOペイメントゲートウェイが提供する不正利用対策ソリューションの一つ「不正防止サービス(Sift)」を導入。不正利用対策の作業量を大幅に削減しつつ、多い時は月に300万円に達していた不正利用されたクレジットカード情報による取引を10万円以下に抑えることができました。今回は、A社のマーケティング担当者様の声とともに導入後の効果や運用方法をご紹介いたします。
-
Index
- 複数の対策でも減らなかったクレジットカード不正利用
- 機械学習で精度が上げられる不正防止サービス(Sift)を導入
- チェック・運用工数を減らしてクレジットカード不正利用も激減
- EMV 3-Dセキュアと併用してさらに安全に
複数の対策でも減らなかったクレジットカード不正利用
2021年から公式ECサイトに不正防止サービス(Sift)を導入する化粧品ブランドA社は、約100万人の登録会員を擁し、スキンケア商品を中心に年間約30億円を販売しています。
ECサイトの売上が伸びるにつれてA社を悩ませたのがクレジットカードの不正利用の増加でした。2020年頃には1ヶ月で平均50件程度の不正利用が発生。SNSでアイテムが話題になった時や海外のギフトシーズンなど、売上が増える時には不正利用もあわせて増加し、多い月には150件、300万円のカード不正利用が発生したこともあったといいます。
割賦販売法におけるクレジットカード情報保護および不正利用対策の実務上の指針である『クレジットカード・セキュリティガイドライン』は、クレジットカードの不正利用金額が50万円を超える月が3ヶ月連続した加盟店を「不正顕在化加盟店」として、複数の不正利用対策の導入を求めています。A社でも、GMOペイメントゲートウェイ(以下GMO-PG)を通してアクワイアラ(クレジットカード加盟店契約会社)から不正利用対策についての要請を受けました。3Dセキュアやセキュリティコードの導入のほか、過去不正利用時の配送先住所のリストを独自に作成し、全ての取引について配送先のチェックを行うなどの対策を行っていましたが、クレジットカード不正利用を減らすことはなかなかできませんでした。
機械学習で精度が上げられる不正防止サービス(Sift)を導入
2020年秋、不正利用が増えてしまったためGMO-PGの担当者に相談したところ、「リンクタイプPlus(リンク型決済)で導入できるクレジットカード不正利用対策」として紹介されたソリューションの一つが、不正防止サービス(Sift)でした。
▼リンク型決済の概要
不正防止サービス(Sift)は、GMO-PGが提供するリンク型決済ページに手を加えることなく、ECサイト内で入力される購入商品、住所やメールアドレスなどのクレジットカード情報以外の情報のほか、ページ遷移、各ページでの滞在時間などのサイト上での行動が送信され、取引をスコアリングしてクレジットカード不正利用の可能性が高い取引を発見する仕組み。判定結果に対してフィードバックを行うことで、ルールの設定やチューニングを人が行う必要なく、機械学習により精度を高めることができる点が特徴です。
「リンクタイプPlusで利用できることは大前提ですが、比較対象のソリューションに比べて価格がリーズナブルだったこと、機械学習で精度が上げられるため人手をかけなくて良いというところを評価し、導入を決めました」(A社マーケティング担当者) A社では2020年11月に初回の打ち合わせを行い、翌月には要件定義を開始。2021年3月下旬にはテスト運用をスタートしました。
チェック・運用工数を減らしてクレジットカード不正利用も激減
導入後約1ヶ月の運用トレーニング期間は、クレジットカードの不正利用を判定するためのスコアによる取引判断の設定せずに運用し、不正防止サービス(Sift)に機械学習を進めさせました。不正の傾向は各サイトで異なるため、適切な閾値の設定もサイトにより異なります。運用トレーニング期間中は、Siftの技術担当者がお客様環境の取引とスコアの状況を確認し、トライアンドエラーで閾値の設定や運用方法を検討する伴走型の技術支援を提供。「最初は閾値の設定をどうすればいいか判断しづらかったのですが、Siftの技術担当者の方にアドバイスをいただいて解決していきました」(A社マーケティング担当者)
2021年5月以降は閾値を設定してスコアの高い取引を自動でブロックするようにすることで、クレジットカード不正利用が目に見えて減ったといいます。「本来のお客様にご迷惑をかけては困るので、自動ブロックの閾値は少し高めに設定しています。それでも不正利用防止の効果は出ています」(A社マーケティング担当者)
不正防止サービス(Sift)導入で大きく軽減されたのが、出荷時の配送先住所のチェックにかかる工数。従来は全ての取引について、配送先住所を独自に作成したブラックリストと照合し、該当する取引の出荷を停止していました。不正防止サービス(Sift)導入後は目視チェック対象の取引だけに限定し、チェック工数を大幅に削減。「当日出荷分の配送先指示データを倉庫に送る締め切りが朝10時30分。以前は朝の8時30分からチェックを開始しても締め切りに間に合わないことがありましたが、不正防止サービス(Sift)を導入してからはそれがなくなりました」(A社マーケティング担当者)
日々の運用では、不正な取引の情報やGMO-PGから受領する配送停止情報をもとに、不正取引を不正防止サービス(Sift)に機械学習させています。「海外のギフトシーズンや商品の個数制限を緩和した時などに取引数が増えると不正の件数も増加しますが、不正防止サービス(Sift)に学習させればすぐに防いでくれるようになります。学習にかかる時間は1日30分程度なので、負担にはなりません」(A社マーケティング担当者)
不正防止サービス(Sift)導入以外にも海外IPアドレスからの接続を停止するなどの対応を継続して行い、2022年に入ってからは、カード不正利用の件数は平均して月10件以下、金額は2~3万円から多い月でも10万円程度までに減少しています。「お客様からの使いづらさや判定ミスといった、不正防止サービス(Sift)の導入に関連する問い合わせや苦情は1件もありません。なおかつ、自分も物流担当者も業務にかかる時間・工数・精神的な負担が減りました。クレジットカード不正利用も減って、効果はコストに十分見合っていると感じています」(A社マーケティング担当者)
EMV 3-Dセキュアと併用してさらに安全に
2022年10月、国際クレジットカードブランド各社は従来型の3Dセキュアのサービスを終了。それまで3Dセキュアを利用していた加盟店は、後継となるEMV 3-Dセキュア(3Dセキュア2.0)への切り替えが必須となりました。A社のECサイトも2022年9月からEMV 3-Dセキュアに切り替え、不正防止サービス(Sift)と併用しています。
A社における不正防止サービス(Sift)とEMV 3-Dセキュア併用時の判定・取引の手順としては、まず不正防止サービス(Sift)のスコアによる判定を行い、高スコアの取引についてはクレジットカード決済を自動ブロック。それ以外の取引については、GMO-PGのサイト上にある決済ページへと遷移し、クレジットカード情報を入力すると取引情報がEMV 3-Dセキュアに連携されます。EMV 3-Dセキュアは取引情報に基づくリスク判定を行い、安全であればフリクションレス(追加認証なし)の取引を承認し、危険であれば取引を拒否。どちらとも言えなければチャレンジモードで追加認証を要求します。
全ての取引に対して追加認証を要求する従来の3Dセキュアに比べ、EMV 3-Dセキュアはリスク判定の結果、安全な取引に対してはフリクションレスで取引できるため、取引途中でのカゴ落ちのリスクが下がるというメリットがあるといわれています。
▼リンク型決済における不正防止サービス(Sift)とEMV 3-Dセキュアの併用
不正防止サービス(Sift)とEMV 3-Dセキュアを併用することのメリットは、クレジットカード発行会社(イシュアー)に追加認証要素を登録していない、すなわち3Dセキュアのパスワードを設定していないクレジットカード番号についてもスコアにより取引をブロックできること。3Dセキュアの弱点として、パスワードを登録しているカード利用者が少なく、その場合は3Dセキュアを適用しないという運用を行わざるを得ないという点がありました。3Dセキュアではリスクベース判定を行っていますが、現時点で全ての取引に適用することは難しいといわれています。不正防止サービス(Sift)と併用して先にスコアが高い取引をブロックすることで、EMV 3-Dセキュアの追加認証ができないクレジットカードであっても不正利用を減らすことができるのです。
もう一つのメリットが、不正防止サービス(Sift)は加盟店の基準で取引を行うか拒否するかを判断できること。EMV 3-Dセキュアのリスクベース認証はあくまで「クレジットカードが不正に利用されている可能性(リスク)」によりクレジットカード発行会社(イシュアー)が判断するものであり、取引を承認するか拒否するかの判定基準について加盟店では介入できません。対して、不正防止サービス(Sift)のスコアによる判定は、サイトの特性に合わせた不正取引の判断ができるため、例えば「短期間に同じ商品が同じ送付先住所で繰り返し購入されており転売が疑われる」といった取引も加盟店の基準でブロックすることが可能になっています。「EMV 3-Dセキュアはまだ導入したばかりなので、不正防止サービス(Sift)と併用しての運用についてはサポートも受けながらこれからさらに精査していくところです」(A社マーケティング担当者)
「化粧品ブランドのECサイトとして、店舗とは差別化した企画で売上を伸ばしていきたい。そこで不正な買い物が多発すると、お客様のブランドへの期待値が下がってしまいます。お客様を裏切らないよう、クレジットカードの不正利用対策には引き続き取り組んでいきたいです」とA社マーケティング担当者。そのためにEMV 3-Dセキュア導入後も不正防止サービス(Sift)には引き続き大きな期待を寄せています。