「店舗にクレジットカード決済を導入したら、お客さんからは喜ばれるけど、決済手数料がネックだよな・・・」
という声をよく聞きます。
それでも、手数料を上回る売り上げアップが見込めたり、現金の持ち合わせがない客の取りこぼし防止というメリットが大きいことから、クレジットカード決済導入にふみきるお店が多くあります。
しかし、導入前に知っておきたいデメリットは、決済手数料以外にもあるんです。
それは、カードの不正利用がおきた場合の利用者への補償についてです。
不正利用の保証は、カード会社がしてくれるものと思い込んでいませんか?
この記事では、クレジットカード決済を導入するなら事前に絶対知っておきたい、不正利用の際のお店のリスクについて解説しています。
加盟店はセキュリティ対策が義務付けられている
偽造カードやスキミング(磁気情報を読取ること)で、お客さんのクレジットカードが不正利用された場合、その被害を補償してくれるのは誰だと思いますか?
私は以前、不正利用は、すべてカード会社が負担してくれるものだと思っていました。
しかし、実際には、お店が負担しなくてはいけないケースもあると知って驚きました。
どうしてお店が責任を取ることになっているのでしょうか?
それは、クレジットカード加盟店には、セキュリティ対策が義務付けられているからです。
きちんとセキュリティ対策をしていないとみなされた場合は、不正利用の責任は店舗にあると判断されます。
店舗が講じなければならないセキュリティ対策とはどんなことでしょうか?
クレジットカードのタイプとセキュリティ
クレジットカードは、次の3種類のカードがあります。
- 磁気タイプのカード
- 磁気ストライプとICチップが両方ついているカード
- ICチップのみのカード
磁気テープとICチップの特徴
磁気テープは、スキミングなどでカード情報を盗まれやすい弱点があります。
一方、ICチップのカードは、カード情報が暗号化されており、磁気テープのカードに比べて情報が漏洩しにくく、セキュリティーが強くなっています。
もともと、クレジットカードは磁気ストライプのカードが使われていましたが、セキュリティの面でICチップのカードの方が優れており、現在は、磁気タイプからICチップタイプへ、ほぼ以降が完了しています。
セキュリティ対策の義務化でIC対応が必須に
2021年4月から施行された改正割賦販売法ではセキュリティ対策の義務対象事業者を拡大し、事業者が取り組むべく対策としてクレジットカード・決済端末のIC化があげられています。
IC未対応なら不正利用された損害は店側負担
店舗のセキュリティ対策の義務化により、以前は、カード発行会社が行っていた不正利用の被害の補償についても、2015年10月からは、対面決済で店舗がIC未対応の場合は、店舗側の責任になるというルールに変わりました。
ICチップつきのクレジットカードを、IC未対応の端末で決済し、不正利用された場合は、店舗が被害の補償をしなければならなくなったのです。
必要なセキュリティ対策を講じていないとみなされるわけです。
こういった法律の改正や、補償責任のルールの変更により、カード決済時には、店舗はIC対応の決済端末を使うことが必須になったのです。
主要のモバイル決済はIC対応済み
主要のモバイル決済は、すでにIC対応しています。
STORES 決済 ・Square・Airペイ・楽天ペイなどのカードリーダーは、IC型クレジットカードの統一規格EMVの基準を満たしたものが現在使われているので、問題なくIC決済ができます。
また、磁気ストライプのカードでも決済できる仕様になっています。
ただ、ICチップと磁気ストライプ両方を搭載しているカードもあるので、その場合は、必ずIC決済をするように気を付ける必要があります。
間違って磁気ストライプで決済してしまうと、万が一、不正利用だった場合、被害額を補償しなくてはならなくなります。
本人確認を怠った場合も、被害の責任は店舗が負う
対面取引において、「カードの有効性を確かめること」と「本人確認」は、加盟店の義務とされています。
加盟店の義務を怠った場合、不正利用の責任は店舗が負わなければならなくなります。
加盟店の義務
- 提示されたクレジットカードの有効性の確認
- クレジットカードの提示者とクレジットカードの名義人との同一性の確認
カードの有効性の確認というと、「何をすればいいの?」を思ってしまいますが、カードリーダーで読み取って問題なく決済できれば、①の「提示されたクレジットカードの有効性の確認」を行ったとみなされるので、加盟店の義務が果たされます。
②については、暗証番号(PIN入力)をしてもらうことで本人確認ができます。
売上票に署名(電子サインの場合は画面への署名)してもらい、本人確認する方法もありますが、2022年3月に公表された経済産業省がまとめたクレジットカード・セキュリティガイドライン「3.0版」では、暗証番号による本人確認を強く推奨しています。
一方、署名は、2025年3月を目途に加盟店の任意とする方向で検討されており、暗証番号(PIN入力)による本人確認を推奨しています。
従業員やアルバイトにも、カード決済の取り扱いについては、十分理解してもらい、リスクを回避する必要があります。
加盟店の義務と不正利用被害の負担については、経済産業省がガイドラインを発表しています。
不正利用被害の負担のリスクについて詳しく書かれているので、一度読んでみると参考になります。
ネットショップの不正利用は、原則「店舗負担」
実店舗であれば、上記のように、IC対応のカードリーダで決済する、署名をきっちり確認するなどしておけば、不正利用があっても、店舗に責任を問われることはありません。
しかし、これがネットショップだと話が変わります。
ネットショップで不正利用があると、基本的には、ショップ側がもたなくてはいけないことになっています。
そこで、より強固なセキュリティ対策として、カード番号と名義名、カード有効期限、セキュリティーコードに加え、3Dセキュアを入力する本人認証の方法がとられるようになりました。
3Dセキュアとは、専用のパスワードのこと。
カード利用者が、カード発行会社のオンラインサイトなどで、事前登録すれば使えます。
(3Dセキュアに対応しているクレジットカードに限ります)
ネットショップの不正利用でも、3Dセキュアの入力があれば、カード会社が補償してくれます。
しかし、3Dセキュアの認知度が低いことや、カード利用者があらかじめ設定していたIDやパスワードを忘れてしまい、パスワード再発行などの手間により購入意欲がそがれてしまうといった危惧もあり、導入しない店舗も少なくありません。
3Dセキュアを導入せずにチャージバックが起きた場合は、お店が全額負担となります。
チャージバックとは
カード利用者が利用代金の支払いに同意しないために、クレジットカード会社が加盟店の売上を取り消すこと
キャッシュレス化の推進を政府はめざしていますが、このあたりの課題を解決しないと、ネットショップにとって不利な状況が続くことになります。
店舗側としては、ネットショップには3Dセキュアを導入して、できるだけリスクを回避することが重要です。
(参考)クレジットカードの不正利用について