インターネットモニタリングブログ | アディッシュ

不正決済の防止には何が必要か。キャッシュレス決済サービスの現状と今後に関する考察

スマートフォン(以下、スマホ)が広く普及し、近年さまざまな決済サービスが登場しています。特にこの一年は、経済産業省によって進められている「キャッシュレス・消費者還元事業」(ポイント還元事業)が2019年10月1日の消費税増税と同時にスタートし、話題には事欠かない印象です。しかし、キャッシュレスサービスによる不正利用や被害事案も出てきており、運営企業やこれからキャッシュバックキャンペーン等を考える企業にとっては、不正決済対策を考える必要性が高まってきました。
そこで今回は、改めてキャッシュレス決済がどういうものかを振り返るとともに、不正決済防止対策で考えるべきポイントを整理していきます。

キャッシュレス決済サービスの成り立ちと現状

キャッシュレス決済は非常に利便性の高いものです。スーパーなどでの買い物では、クレジットカードやそのカードに紐づいたID、Edy等の電子マネーを利用できる店舗が増えてきました。マイレージと紐付いたクレジットカードで支払うことでマイレージを貯めていくこともできます。またPayPayやLINE PayなどのQR・バーコード決済ではキャッシュバックキャンペーンが積極的に展開されていて、コンビニなどで少額の支払いをする際に使うなど、使い分けをしている人も増えています。
このようにキャッシュレス決済の選択肢が広がった今、現金をほぼ持ち歩かず生活する人も増えてきているようです。

キャッシュレス決済とは

改めて「キャッシュレス決済」とは何か、まずは整理してみましょう。

キャッシュレス決済を定義すると、「物理的な現金(紙幣・硬貨)を使用しない決済手段」です。具体的な種類としては「クレジットカード」や「デビットカード」、「電子マネー」「QRコード」などが挙げられます。実際にお金を払うタイミングについても、予めお金を入金して使う「前払い」、買い物時に口座から引き落とされる「即時払い」、後日口座から引き落とされる「後払い」といった類型が存在します。

すでに多くのサービスが普及していますが、代表的なものを支払い方法で分類したカオスマップがこちらです。

出典:TechCrunch Japan2019(2019年1月7日記事より)

キャッシュレス決済の現状

日本は治安の良さや根強い現金信仰、キャッシュレス決済の手数料の高さなど、さまざまな理由からキャッシュレス化が遅れていると言われ、実際に2016年のキャッシュレス決済比率(キャッシュレス支払手段による年間支払金額÷国の民間最終消費支出 )は、20%でした。内訳を見ると、古くから利用されてきたクレジットカードに加え、21世紀に入り登場した電子マネーが徐々に浸透している様子が伺えます。背景にはスマホの普及やサービスの多様化などが挙げられるでしょう。

出典:一般社団法人キャッシュレス推進委員会作成「キャッシュレス・ロードマップ2019」

 

日本は今後、政府の後押しもあり、キャッシュレス決済の浸透が加速していくと予想できます。

2018年4月、日本政府はインバウンド事業の推進等を背景に、キャッシュレスに関する方針として「キャッシュレス・ビジョン」を発表しました。この中では、大阪・関西万博(2025年)に向け、前年「未来投資戦略2017」で設定した2027年までにキャッシュレス決済比率を40%にとする目標を前倒しし、より高い決済比率を実現することが宣言されています。2020年の東京オリンピック・パラリンピックを前に、すでに訪日外国人が急増している状況もキャッシュレスの推進を後押ししているのでしょう。

また、直近でも2019年10月からの消費税率引上げに伴い、中小企業向けの中小・小規模事業者によるキャッシュレス手段を使ったポイント還元を支援する「キャッシュレス・消費者還元事業」(ポイント還元事業)が経済産業省により進められている最中です。政府施策や世間の認知・関心の高まりの中、ますますその波は広がっていくと考えられます。

「キャッシュレス・ビジョン」2018年4月 / 経済産業省 商務・サービスグループ 消費・流通政策課 より

キャッシュレス決済の抱える課題と対策

キャッシュレス決済が広がるにつれて、不正利用のターゲットになることも避けては通れません。現にシステムに登録した個人情報を盗まれたり不正に利用されたりする被害が出ており、社会問題となりつつあります。ここで運営事業者に求められる対策について考えていきましょう。

システムの脆弱性

決済サービス事業者はサイバー攻撃や不正利用を意識したシステム構築を徹底しなくてはいけません。最近の事例では、二段階認証がなくパスワード再設定も容易であるという脆弱性をついて、他のサービスで入手したIDとパスワードを使い「本人になりすました」ものがありました。

この方法はIDやパスワード管理の煩わしさを軽減するために、同じIDとパスワードを使い回しているユーザーを狙ったサイバー攻撃で「リスト型アカウントハッキング攻撃」と言います。リスト型アカウントハッキング攻撃を防ぐためには、ユーザーにパスワードの使い回しをしないよう告知を徹底する他、異なるIPアドレスからのログインがあった場合には通知を行う、ワンタイムパスワードを発行しログインを二重認証するといったWebサービスを提供する事業者側でのセキュリティを意識したシステム構築が必須です。

本人確認業務の徹底

セキュリティを配慮したシステム構築のみならず、不正目的での利用を未然に阻止するための重要なオペレーションがあります。

具体的には、本人確認や反社会的勢力との取引排除のチェックの業務です。ユーザーが登録する際に、本人であることを証明するための複数の書類を提出し、間違いなく本人であると判断されて初めて利用が可能になるオペレーションが一般的です。また反社会的勢力との関係が疑われるユーザーではないかといったチェックも、不正利用目的のユーザーを排除するために重要なプロセスです。この各種証明書をつぶさに確認する作業やリスクの高いユーザーを見つける業務には、独特のポイントやノウハウがあるため、実績のある専門業者が請け負っていることが多いです。

アディッシュでもオンライン決済サービスを運営する事業者向けに、24時間365日体制で本人確認業務を支援するサービスを提供しています。詳しくは「本人確認サービス」ページをご覧ください。

決済完了間際での対策

セキュリティを配慮したシステム構築やユーザー登録時のチェックをすり抜け、不正決済が行われた場合に極力その実損害が発生しないように行う最終対策も重要です。

例えば一定金額以上の決済がなされた、あるいはマネーロンダリングを疑われるような特定のアカウント間の資金移動が見つかった、といった不正の予兆と考えられうる取引があった場合にアラートが上がり、必要な場合には取引を停止するような仕組みです。これらを運用で実施していくには、ユーザーの過去の取引実績や傾向、その他の要素で不正の疑いが強い取引を検知する専用ツールの利用やノウハウをもつ専門業者のサポートが欠かせません。

アディッシュでもユーザー登録・利用・決済といった時系列で不正利用を防止する運用の「不正決済対策サービス」支援を行なっています。

最新の動向

2019年8月に金融庁は、キャッシュレス送金・決済を行う資金移動業者に対して、立入りを含めた集中検査を行うことを発表しています。検査内容は、システムの安全性や利用者保護、マネーロンダリング対策などの内部管理体制を重点的に点検するもので、不備があった業者に対しては行政処分が行われる可能性があるとされています。

今後のキャッシュレス推進に関する考察

政府がキャッシュレス化を積極的に推進する背景には、インバウンド需要だけでなく少子高齢化や人口減少に伴う人手不足への対応、IT活用による中小・小規模事業者の生産性向上や地方の活性化といった課題、社会の成長に対する不安があるでしょう。また、消費者や事業者もキャッシュレスの利便性を実感する機会が増えたことで、そのメリットや楽しさに関心を持つ人が増えてきています。

昨年設立された業界横断的かつ産学官が連携する「キャッシュレス推進協議会」は、今年に入り「コード決済」の技術的仕様のガイドラインを策定するなど、プロジェクトを着実に進めています。また、市場もIT系企業だけでなくコンビニエンスストアなど多業種の参入が始まり、決済手段や業者が乱立する事態となっており、来年のオリンピック・パラリンピック開催は、ユーザーが一気に増加するキャッシュレス化のターニングポイントとなると考えられます。

 

さらに今後はインターネットの高速化・大容量化やIoTの本格化など、人々の生活スタイルも変化していくでしょう。大阪・関西万博(2025年)と節目のイベントが続く中、キャッシュレス推進の動きが加速し、普及していくことは明白です。「2027年6月までにキャッシュレス決済を4割に」という目標を2年前倒しした政府の目算は、よほどの大きな問題がない限り実現するでしょう。

しかし、キャッシュレスを推進していくには、日本の決済インフラが抱える課題の解消が不可欠です。大きな課題の一つがオペレーションの問題です。リリースされたばかりの決済サービスを導入した店舗で購入者を目の前に、店員がマニュアルを開きながらレジ操作する様子を見たことがあるという話も聞きます。多種多様なキャッシュレスサービスの普及に伴い、それらを受け入れる店舗側の運用オペレーションには多大な負荷がかかっています。もう一つ、特に重要な課題がセキュリティの担保です。テクノロジーの進化や新たな利用者層の獲得に伴い、システムの脆弱性をついたサイバー攻撃や、安全性担保のオペレーションの網をかいくぐる不正ユーザーとのイタチごっこは続いていくでしょう。

ネットワーク事業者や決済サービス事業者はより一層厳格なセキュリティ対策を続けていくことが社会的な責務です。しかし、それだけで不正利用をゼロにすることは難しいでしょう。最終的には消費者一人ひとりが自身や家族の資産を守るため、より情報感度を高め、リテラシーを向上させる意識を持たなくてはいけない時代になっているのです。その意識をキャッシュレス決済を提供している事業者が啓発することも求められているのかもしれません。