ネット通販における安全なインフラ作りに貢献するかっこは3月15日、EC事業者の不正対策に関する実態調査の結果を公開した。クレジットカード不正対策の義務化は7割超が認識しているものの、「対策済み」の事業者は5割に留まることなどがわかった。不正注文被害の内容は、「クレジットカード不正」が7割以上ともっとも多く、「悪質転売」「後払い未払」が続いた。
このほど結果を公開したEC事業者の不正対策に関する実態調査は、EC事業者の担当者を対象に2021年12月に実施したもので、546件の回答を得た。日本クレジット協会の発表によると、クレジットカード番号等の情報を盗まれ、不正に使われる「番号盗用被害」が年々増加しており、2021年1月から9月の被害額は、223.9億円(前年同期比43.1%増)に及んでいる。また、東京商工リサーチの調査によると、2021年に上場企業が公表した個人情報漏えい・紛失事故の件数は137件、漏えいした個人情報は574万9773件に達している。こうした状況を踏まえ、かっこは、EC事業者におけるセキュリティ意識や不正対策の実態についての独自調査に至ったとしている。
改正割賦販売法でクレジットカードの不正対策が義務化されていることを知っているかを尋ねた問いでは、「内容までよく知っている」が39.0%、「名前は知っている」が35.2%で、7割を超える人が認識していることがわかった。「クレジットカード不正の負担は基本的にEC事業者であることについても、65.4%が「知っている」と回答した。
クレジットカード不正や悪質転売などの不正注文対策の状況については、「対策している」が50.9%と過半数を超え、「対策していない」は39.6%だった。不正注文対策をしていない理由は、「被害が少ない」がもっとも多く33.3%、次いで「優先順位が低い」(29.2%)、「どんな対策が良いか不明」(27.8%)と続いた。
クレジットカード不正、不正転売、後払い未払などの不正被害に遭ったことがあるかを尋ねた問いでは、「被害に遭ったことがある」が23.4%、「被害に遭ったことはない」が70.3%だった。被害に遭った不正被害の種類は、「クレジットカード不正」が74.2%ともっとも多く、続く「悪質転売」(34.4%)、「後払い未払い」(33.6%)を引き離した。
どのような情報や項目を使用した不正だったかを尋ねたところ、「架空の住所」が47.7%ともっとも多く、「同一人物による複数人へのなりすまし」(43.0%)、「架空の電話番号」(40.6%)が続いた。
不正アクセス(デバイスやシステムに不正ログイン)とはどういうものか知っているかを尋ねた問いでは、84.8%が認識していることがわかった。不正アクセス対策の状況は、「ツールにて対策」と「自社にて対策」と合わせ、8割を超える事業者が対策していることがわかった。「対策していない」は9.8%に留まった。
不正アクセス(デバイスやシステムに不正ログイン)の被害に遭ったことがあるかを尋ねた問いでは、「被害に遭ったことがある」が24.0%、「被害に遭ったことはない」が70.3%だった。不正アクセスを受けた結果、どのような実害があったかを尋ねた問いでは、「ウイルス感染」がもっとも多く64.1%、「メールの不正中継」(46.6%)、「顧客のログイン情報(個人は特定できないIDとPW)の漏洩」(41.2%)と続いた。「個人情報(住所、メアド、電話、クレカ情報等)の漏洩」も32.8%だった。
これらの結果を踏まえ、かっこは、不正注文対策については、義務化等の認知は広がっている一方、実際に対策している事業者は5割程度に留まり、クレジットカードの「番号盗用被害」が急増している昨今の状況を踏まえると、より一層不正対策が浸透することが望まれるとの見解を示した。被害状況としては、「クレジットカード不正」が最も多かったものの、「悪質転売」「後払い未払」等の被害も一定程度発生しており、幅広い対策が求められる結果となったとしている。不正注文対策の中には、不正による被害額を補填する保険/補償サービスがある、被害額の補填だけでは、不正そのものを排除していないため、却って不正の温床になりかねないとし、急増する不正を根本的に対策するには、「本人認証」や「不正検知システム」といった不正そのものを排除する方策が有効と考えられるとした。
不正アクセス対策については、8割超が認知しているとともに実際に対策を行っており、対策意識の高さが伺える結果となったとした。一方で、「不正アクセスの被害にあったことがある」と回答した24.0%のうち、「顧客のログイン情報の漏えい」に至ったケースが41.2%、「個人情報の漏えい」に至ったケースが32.8%となり、何らかの情報漏えい事故に及んだケースが一定割合発生していることがわかった。情報漏えい事故は、それを発端に顧客が犯罪に巻き込まれる可能性もあり、事業者の信用が毀損するばかりか損害賠償にも発展しかねないとし、不正アクセス等によるサイバー攻撃は年々巧妙化を増していることから、事業者はこれまで以上に複合的に対策を行うことが重要であるとの考えを示した。
