アンドエスティが「3Dセキュア2.0」の超効率的運用に成功したワケ。オーソリ承認率大幅改善、売上アップにつながった不正対策アプローチとは?

オーソリ承認率低下の危機に直面したアンドエスティ。「EMV 3-Dセキュア」(3Dセキュア2.0)の高度な運用をAIベースの不正検知・防止ソリューション「Riskified(リスキファイド)」で成功させ、オーソリ承認率を大幅に改善した。販売の機会損失を削減し売上アップ、週10時間以上の業務効率化を実現した「不正対策を金脈に変える」秘策とは?
キヨハラサトル[執筆], 吉田 浩章[撮影] 7:00
[Sponsored by: ]

クレジットカードの不正利用が増加するなか、EC事業者は不正対策の強化が課題になっている。一般社団法人日本クレジット協会のセキュリティガイドライン6.0版では、なりすましによる不正リスクを判断する「EMV 3-Dセキュア」(3Dセキュア2.0)の導入義務化が明記された。

そんな環境下、アパレルECモール「and ST(アンドエスティ)」を運営するアンドエスティは、最も高度な要件が求められる『パターン1』加盟店のリスク判断で「EMV 3-Dセキュア」による本人認証を行う運用に成功。不正対策強化を通じて販売の機会損失が大幅に減少、売上アップにつなげた。「EMV 3-Dセキュア」の導入が義務化された後のEC事業者が取るべきアクションについて、アンドエスティの取り組みを成功事例の1つとして紹介する。

「EMV 3-Dセキュア」運用開始「後」に直面した不正の増加

まず、アンドエスティのセキュリティ対策の変遷を見ていく。ECモール「and ST(アンドエスティ)」は2014年(当時の名称「.st(ドットエスティ)」)から、既に注文全件に対して「3-Dセキュア」を運用していた。

実はそれ以前からチャージバックが増加しており、チャージバックリスクを避ける狙いから、2012年からすべての取引で「3-Dセキュア」を適用するという運用を手がけていた。

アンドエスティが運営するECプラットフォーム
アンドエスティが運営するECプラットフォーム

アンドエスティHDのDX本部シニアマネージャーで、事業会社のアンドエスティでプラットフォーム開発部シニアマネージャーを務める本多由美子氏によると、一般的に、新たに「3-Dセキュア」を導入する企業では、導入直後に決済の離脱(カゴ落ち)により売り上げが5~10%落ちるデメリットがあるという。

アンドエスティは長期間にわたって「3-Dセキュア」を運用していたため、不正利用への対策は問題ないと判断していた。

しかし、2021年頃から不正利用が急増。カード会社(アクワイアラー)から不正利用対策が求められるようになった。そこで2022年に「EMV 3-Dセキュア(3D-セキュア2.0)」への切り替えを実施し、セキュリティの強化を進めた。これにより、不正対策は万全になると考えたという。

さらに、「EMV 3-Dセキュア」は動的なパスワードの発行やフリクションレスフロー(リスクベース認証で低リスクと判断された場合、追加認証なしで認証が完了するフロー)により、顧客の入力負荷が軽減し、カゴ落ちの減少を見込んでいた。

ところが、予想とは異なり不正利用も減りませんでした。社会全体で不正利用が増加するのに伴い、アンドエスティにおいても不正利用は増加していったのです。(本多氏)

アンドエスティHD DX本部 シニアマネージャー/アンドエスティ プラットフォーム開発部 シニアマネージャー 本多由美子氏
アンドエスティHD DX本部 シニアマネージャー/アンドエスティ プラットフォーム開発部 シニアマネージャー 本多由美子氏

「3-Dセキュアの実装=不正対策ではない」という現実に直面

決済承認率は大幅に低下していた

不正利用が増加すると、チャージバックの被害だけでなく、裏側ではカード会社からの信頼が低下し、結果として承認率が下がってしまう恐れがある。

アクワイアラー側では、不正利用の被害額が一定額を超えると「不正顕在化加盟店」として指導対象とする基準を設けており、不正が積み重なることでオーソリ承認率が落ちてしまう。しかし、加盟店側はなかなか気づきにくいという落とし穴がある。特に「3-Dセキュア」を導入した場合、チャージバック通知が加盟店には来ないため、不正利用が無くなったような錯覚をおこす場合がある。不正被害額負担は加盟店に発生しないが、不正が抑止されていなければ、気付かないうちにオーソリ承認率が落ちてしまうというわけだ。

アンドエスティが決済代行会社を通じて数字を確認したところ、「3-Dセキュア2.0」での認証拒否数が多かったことに加え、カード会社でのオーソリ(信用照会)拒否数も多かった。「その結果にがくぜんとした」と本多氏は振り返る。

アンドエスティは現在、Riskifiedが提供するAIベースの不正検知・防止ソリューション「Riskified(リスキファイド)」を導入しているが、その導入前のオーソリ承認率は、かなり低い水準まで落ち込んでいた。これは、業界平均とされる90~95%と比較しても厳しい承認率だった。“不正が多い加盟店”と見なされた結果、カード会社が審査を厳しく絞っており、本来正しいユーザーの取引までもが拒否されている可能性が高い状態だったという。

この結果を踏まえ、「『EMV 3-Dセキュア』に対応すれば不正対策になると思っていたが、それだけでは万全とは言えない」(本多氏)と認識を改めた。

AIベースの網羅的な不正対策を求め「Riskified」を導入

オーソリ承認率の悪化に直面したアンドエスティは、不正を減らすために、不正対策ソリューションの検討を始めた。以前にも検討したことがあるものの、最終的には導入を見送ったといい、今回は再検討となった。

かつて不正検知ソリューションの導入を見送った理由は「ルールベースのソリューションでは、人の手によるチューニングが必要となり、運用担当者(CSチーム)が常時張り付く必要があり、属人化してしまう」(本多氏)という懸念があったため。

内製による不正検知システムを試みた際は、不正住所検知サービス「Fdec」を用いた住所の自動ブロックと、CSチームによる手動での出荷可否チェックを併用していたが、この体制はCSチームへの作業負荷が極めて高いという課題を抱えていた。

加えて、検知ロジックが住所単体に依存していたため、正規ユーザーのブロックが発生するうえに、不正ユーザーによるルールの巧妙な回避も発生し、検知精度が頭打ちになった。

そこで今回の再検討では、人の手を介さず、AIベースで瞬時に、かつリアルタイムで不正を判断してもらえるソリューションを第一に求めた

そんな際に、情報交換でつながっていた同業他社が「Riskified」を導入し効果が出ているという話を聞いた。これが導入を検討するきっかけになった。

「Riskified」の3つの特長「AIの検知精度」「信頼性」「プロダクトの網羅性」

その後、数社の不正検知ソリューションを比較検討した結果、「Riskified」の採用を決めた。決め手は「AIベースによる精度の高い判断とチャージバック保証」「パートナーとしての信頼性」「プロダクトの網羅性」だった。

・AIベースによる精度の高い判断とチャージバック保証

人の手が入るルールベースではなく、AIベースでリアルタイムに精度高く不正を検知できる点。精度の高さと、作業の効率化・省人化につながる点が評価につながった。さらに、万が一チャージバックが発生した場合でも「Riskified」が全額補償してくれるため、「3-Dセキュア」の運用変更が現実的に可能になると判断した。

・パートナーとしての信頼性

「Riskified」のインテグレーションエンジニアを始め、チーム全体が、「安心して任せられる」という対人面での信頼感も大きな要因となった。

・プロダクトの網羅性

「Riskified」は、決済時の不正対策(チャージバック保証)に加え、「不正ログインや複数アカウント作成を防ぎたい」という要望にも応える「アカウント保護」の機能を提供していた。これにより、不正対策をログインやアカウント登録といった「入り口」から、出口決済やチャージバックといった「出口」まで重層的で網羅的に実施できると判断した。

結果的にアンドエスティは、「Riskified」の決済前の「アカウント保護」と決済時の「チャージバック保証」の2つのプロダクトを導入した。

「Riskified」の導入により、これまで不正対策が手薄だった領域が完全にカバーされ、ユーザーのサイトアクセスから決済完了後まで、一連の流れを網羅した万全な不正対策体制を構築することが可能となった。これにより、これまで全件対象に実施していた「EMV 3-Dセキュア」の運用から、加盟店のリスク判断で「EMV 3-Dセキュア」による本人認証へ移行。販売の機会損失が大幅に削減されたという。

Riskified」の導入がセキュリティ強化に加え、売上アップにつながったという

「EMV 3-Dセキュア」の具体的な運用3パターン

「EMV 3-Dセキュア」を導入する加盟店は、不正利用対策の内容や抑止効果に応じて3つの運用パターンが認められている。アンドエスティは当初、パターン3の運用だったが、「Riskified」の導入をきっかけに『パターン1』の運用に移行。不正対策の強化や運用の効率化につながった。

  • パターン1加盟店のリスク判断により「EMV 3-Dセキュア」の認証を行う
    ただし、加盟店が網羅的に行う不正対策が「EMV 3-Dセキュア」と同等以上の不正抑止対策の効果があることを前提とする。

  • パターン2カード番号登録時に「EMV 3-Dセキュア」による認証を行う
    アカウントなどの厳格な管理・不正ログイン対策を講じた上で、ログイン時にアカウントなどの利用者であることを確認する。また、決済の都度、加盟店のリスク判断によって「EMV 3-Dセキュア」による認証を行う。

  • パターン3決済の都度、「EMV 3-Dセキュア」による認証を行う
    また、カード番号の登録時に「EMV 3-Dセキュア」による認証を行うことが推奨されている。

『パターン1』の運用を選ぶ場合、加盟店は「決済前」「決済時」「決済後」すべての場面で網羅的な不正対策を講じることや、24時間365日継続的なセキュリティ対策の実施を可能とするための組織体制整備を行い、カード会社(アクワイアラー)・PSP(決済サービスプロバイダー)の了解を得ることが要件とされている。

網羅的な不正対策の具体例としては、「Riskified」の「アカウント保護」で不正ログイン対策(ログイン試行回数の制限強化、単純パスワードの排除など)を行い、「チャージバック保証」で決済時の不正検知と決済後の配送保留・キャンセル対応(目視チェックの自動化)をカバーすることがあげられる。

『パターン1』で求められる網羅的な不正対策の一例
『パターン1』で求められる網羅的な不正対策の一例

「Riskified」導入による運用・業務の効率化

アンドエスティは、直面していた「EMV 3-Dセキュア」運用の課題に対して、AIベースの不正検知ソリューション「Riskified」を導入することで、どのように顧客体験の向上、業務効率化、そして販売の機会損失が大幅に削減したのか。アンドエスティの本多由美子氏と、Riskified Japanのアカウント エグゼクティブであるナボン恵子氏に聞く。

週10時間以上かかっていた目視チェックの工数がゼロに

──アンドエスティは「Riskified」を導入、2025年5月13日に運用を開始しました。導入によって業務プロセスはどのように変化しましたか。

アンドエスティ 本多氏(以下、本多氏):最も顕著な変化は、不正対策に費やしていた担当者の工数がゼロになったことです。導入前は、決済の都度「EMV 3-Dセキュア」認証を行う「パターン3」の運用であったことから、カスタマー担当者が週に最低でも10時間程度、時にはそれ以上を費やして目視での配送保留やキャンセルを判断していました。

特に不正利用が集中して発生するときは、担当者が半日以上対応に追われることもあり、属人的な判断に頼っていました。「Riskified」導入後は、AIの活用によりこの工数が完全にゼロとなり、担当者はより戦略的な業務にリソースを割くことができるようになりました

本多氏は「Riskified」導入後すぐに良い変化を感じたという
本多氏は「Riskified」導入後すぐに良い変化を感じたという

Riskified Japan ナボン氏(以下、ナボン氏):不正検知を迅速に行えることは、売り上げが伸びやすいセール時などに配送遅延を防ぐためにも非常に重要です。工数の圧縮という点でも、導入効果がすぐに発揮されましたね。

Riskfied Japan アカウント エグゼクティブ ナボン恵子 氏
Riskfied Japan アカウント エグゼクティブ ナボン恵子氏

本多氏:その通りです。このほか、「Riskified」導入をきっかけに、決済成功率や、カード会社別の状況なども確認し、不正検知・防止の「健康状態」を数字で可視化するようにできたことも助かりました。

「Riskified」の導入を決めた際に、導入によって「今後は『入り口』から『出口』まですべて網羅的な不正対策が完成する」とカード会社に説明したところ、実際には「Riskified」の運用開始前からカード会社からの信用が回復し始め、次の月からは承認率が改善しました

ナボン氏:「Riskified」の「チャージバック保証」も、アンドエスティさんの業務に影響を与えたと思います。不正によるチャージバックが発生した場合、業務フローはどのように変わりましたか。

本多氏:2025年5月13日を基点とした導入後4か月間で見ると、アクワイアラー側から不正が発生したという報告は一件のみでした。ただ、反証が認められ、実質的に不正によるチャージバックはゼロ件です。

ナボン氏:はい。この一件の不正チャージバックは、自身のアカウントが行った決済にもかかわらずチャージバックを要求した、いわゆる「フレンドリーフラウド」(本人不正利用)と呼ばれる行為でした。この場合、加盟店はチャージバックが不正であることを示すための反証資料を提出する必要がありますが、この作業は非常に煩雑。しかも、この反証資料はアクワイアラーに一定期間内に提出しなければならないというルールがあります。

本多氏:その反証プロセスが「Riskified」のおかげで劇的に簡素化しました。「Riskified」は、不正チャージバックが届くと、反証に必要な資料を自動で作成して提供してくれます。アンドエスティはコントロールセンターから簡単な情報を入力するだけで、76時間以内に反証資料が用意され、それをアクワイアラーに提出する事で、チャージバックが取り下げになる可能性が高まります。その結果、全体的なチャージバック率の低下につながり、最終的にオーソリ率にも良い影響を与えています

劇的な承認率改善が、売上拡大の決め手に

ナボン氏:「Riskified」導入の最大の成果は、やはり不正検知承認率ならびにオーソリ承認率の大幅な改善だと思われます。導入前の承認率が非常に厳しい数値だったため、当初は10%の改善をめざしていました。

本多氏:はい。当社のオーソリ決済承認率は低い水準にまで落ち込み、早急に対策が必要でした。この厳しい状況から脱却するため、まず業界平均の90%に戻したいという目標を立て、「Riskified」導入時は10%改善を目標としました。社内では当時、わずかな承認率の改善でも相当数の非承認取引を回避できるため、設定した目標を達成することで、極めて大きな経済効果が見込めると試算していました。

ナボン氏:そして、「Riskified」導入後、8月末時点で当初目標の10%を優に超える改善を達成しました。これは素晴らしい成果です。

本多氏:この導入実績は社内でも高く評価されています。クレジットカード決済に失敗したユーザーが他の決済手段に移行するケースも考慮すると、改善した承認率のうち、約半数は「従前は失注していた売り上げを取り戻せた」と見ています。アンドエスティの売上規模からすると、大きな売上拡大となりました。売上アップという点では、導入後に半年程度かかるだろうと予想されていた効果が、実際にはわずか2〜3か月で達成できたことも驚きです。

ナボン氏:年間の予想上昇値が導入後3か月程度で達成できましたね。「Riskified」が不正をブロックし、悪い情報をイシュアー側に流さないことで、良いユーザーのフローだけが承認されるようになった点も大きく寄与していると考えられます。

顧客体験が改善して「三方よし」を実現

本多氏:「Riskified」の導入によって、不正対策と同時に顧客体験の改善も実現しました。従来の「3-Dセキュア」の運用、パターン3ではユーザーが注文確定ボタンを押してから認証画面が表示され、ロード時間が長く発生し、チャレンジパスワードの入力などが必要となることが多く、結果的に顧客の離脱(カゴ落ち)を招いていました。

しかし「Riskified」導入後は、「Riskified」がまずリスクを判断し、低リスクであれば「3-Dセキュア」認証をスキップしてオーソリへ進める運用となったため、決済スピードが大幅に向上し、こちらは注文確定ボタンを押したらすぐに注文が通ります。これは、『パターン1』に移行したおかげです。

「3-Dセキュア」の運用をパターン3から1に移行したことで大多氏はさまざまなメリットを感じている
「3-Dセキュア」の運用をパターン3から1に移行したことで大多氏はさまざまなメリットを感じている

ナボン氏:決済時のカゴ落ち率も改善しましたよね。当初の目標であった「2ケタ以上落ちていた離脱を半減する」に対し、実際にはカゴ落ち率が5分の1になるという大幅な改善が見られました

本多氏:お客さまは安心してスピーディに購入できますし、アンドエスティは売上アップになりますし、アクワイアラー・イシュアーも不正者を防ぐことで健全な取引が増えるので、本当に「三方よし」となります。

パターン1の運用をかなえるアンドエスティの組織体制

24時間365日の継続的なセキュリティ体制

──「EMV 3-Dセキュア」のパターン1の運用要件として、加盟店は「24時間365日継続的なセキュリティ対策の実施を可能とするため、専門部署設置や専任担当者の配置等の組織体制整備」を行うことが求められています。組織体制を教えてください。

本多氏:ECサイトのセキュリティ運用においては、私を含むECセキュリティチームが中心となり対策を実行しています。また、CS部門と連携し、日々の運用を担っています。さらに、企業全体としてのセキュリティ体制を万全とするため、経営層をトップとした「セキュリティ統括ユニット」を中心に、全社的な指導・報告体制を構築しています。

ナボン氏:「Riskified」を導入することで、アンドエスティのセキュリティチームの延長線上として、「Riskified」が24時間365日の不正検知を網羅的にサポートする体制を構築しました。

「Riskified」がアンドエスティの「EMV 3-Dセキュア」パターン1の運用をサポートしている
「Riskified」がアンドエスティの「EMV 3-Dセキュア」パターン1の運用をサポートしている

本多氏:不正アクセスなどの大きなフラウド(詐欺)が発生した場合でも、「Riskified」側で悪性なボットの遮断などがすでに行われた状態でアンドエスティに報告が来るため、アンドエスティは常に状況を把握しつつも、緊急対応に追われる必要はなくなりました

アンドエスティの不正対策の流れ
アンドエスティの不正対策の流れ

プラットフォーマーとしての安全追求とポリシー保護への挑戦

──現在、アンドエスティのECモールは自社ブランドのみを扱うビジネスモデルから、オープンモール化によってさまざまな外部企業のブランドが出店するプラットフォーマーへと変貌を遂げています。その意味でも不正対策はより重要になりそうです。

本多氏:プラットフォーマーとして、出店ブランドの皆さまに安心してご利用いただくためにも、セキュリティ対策は引き続き万全にし、安全安心を追求していきたいと考えています。そして不正対策を広義で捉え、盗まれたカードによる不正だけでなく、アカウントを多数作成して買い占め、転売を行うなどのポリシー違反についても対策を強化したいと考えています

また、エンドユーザーによる過度な利用――たとえばコラボ商品の1ユーザーでの複数購入による転売となる行為も、「Riskified」の「ポリシー保護」ソリューションの導入を検討することで、改善を図りたいです。

──「EMV 3-Dセキュア」の効率的な運用を検討する他のEC事業者へのアドバイスをお願いします。

本多氏:「EMV 3-Dセキュア」は不正対策のゴールではありません。「EMV 3-Dセキュア」を導入しているからと安心せず、網羅的な不正対策が必要です。その際の対策は、不正を防ぐための単なるコストではなく、売上アップの面でも不可欠な要素です。

『パターン1』の運用は難しく思えるかもしれません。しかし「Riskified」のように、プロのサービスがチェックリストを満たすためのフォローをしてくれます。アンドエスティ側でもこうした助けを得て、体制を整えることで『パターン1』の運用を実現できました。

『パターン1』の運用をするためのチェックリストの一例
『パターン1』の運用をするためのチェックリストの一例

本多氏:注文確定ボタンが押され、決済が完了する瞬間は、お客さまがサイトを訪れ、楽しんでくださったお買い物の「ゴール」です。その「ゴール」へと導くために、私たちは服を企画し、作り、撮影し、集客するなど、あらゆる工程に想いと魂を込めてきました。それは、販売までの長い道のりの「最後のバトン」に他なりません。

だからこそ、その大切な「最後のバトン」を不正利用によって落とされてしまうことが、私たちにとって最も悔しいことなのです。この想いこそが、私たちがこれまで不正対策に取り組んできた原動力です。アンドエスティの「お客さまにワクワクを届けたい」という原点に立ち返ると、不正対策の強化は、お客さまが欲しいものを買えて笑顔になってもらうための重要な手段です。

ナボン氏:収益面で考えても、広告やマーケティングにせっかく多額の費用を投じても、決済の最後で売り上げを落としてしまうことになるのは非常にもったいないですね。

本多氏:その通りだと思います。その意味では、不正対策はEC事業者が今一番やるべき、売上アップへの「金脈」だといえるのではないでしょうか。

[Sponsored by: ]
この記事が役に立ったらシェア!
関連リンク: 
関連記事: 

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
[スポンサー]