ECサイト運営を行っていると意図せずクレジットカード不正利用の注文を受注処理してしまい、後々チャージバックが発生して、売上も返還して商品も返ってこないという悲劇が起こることも少なくありません。

チャージバックを受けてしまうと、基本的にはECサイト運営側が売上金を返還し、被害を負担することになる仕組みになっています。

しかし、該当の不正注文について特定の条件をクリアできれば、ECサイト運営側は売上金を返還せずに済み、チャージバック金額の負担責任がカード会社へと移る『ライアビリティシフト（Liability Shift）』という制度があります。

今回はそのライアビリティシフトとその適用条件に強く関連する3Dセキュア2.0について解説していきます。

チャージバックとは

本題のライアビリティシフトの話に入る前に、まずチャージバックの流れについて説明しておきます。

まずクレジットカード不正利用の注文は上図のような形で流れていきます。
理想は不正利用の疑いがある時点で受注処理せずにキャンセルしてしまえればいいのですが、忙しいタイミングや不正注文と分かりにくい場合、意図せず受注処理を進めてしまうこともあると思います。

クレジットカード不正利用金額が普段と比べて高額な場合、後日カード会社から本当のカード所有者に注文有無の確認連絡が届きます。

ここで不正利用が発覚し、カード所有者はチャージバックの依頼を行い、カード会社はカード所有者の求めに応じてECサイト運営者に売上金額の返還請求を行います。

ECサイト運営側としては、カード所有者が確かに注文を行った証拠を提示することでチャージバックに対して異議申し立てを行うことはできますが、多くの不正注文の場合、そういった証拠は揃えられないため売上金額を返還する対応になるでしょう。

これがチャージバックの基本的な流れであり、ほとんどのケースではECサイト運営側が負担を受けるような形になります。

しかし、特定の条件下でチャージバック金額の負担がECサイト運営側からカード会社へと移る制度があります。

それがライアビリティシフトです。
次にライアビリティシフトについて説明していきます。

ライアビリティシフトとは

ライアビリティシフトとは、クレジットカード不正利用された注文が特定の条件を満たすことで、チャージバック発生時の金額負担責任がカード会社へと移る制度のことを言います。

このライアビリティが適用される条件は、「3Dセキュア2.0による認証が実行され、認証を通過していること」になります。

「3Dセキュア2.0」について

さて3Dセキュア2.0という新たな専門用語が出てきました。
ライアビリティシフトについての理解を適切に進めるために、ここで3Dセキュア2.0についても簡単に説明しておきます。

3Dセキュア2.0とは、各クレジットカード会社が提供する認証サービスで、3Dセキュア2.0を導入したECサイトでは、注文者の注文リスクが高いと判断された場合にクレジットカードと紐づいた端末へSMSなどで認証番号が通知され、注文者はその認証番号をECサイト画面へ入力して注文が完了する仕組みとなっています。

3Dセキュア2.0はリスクベース認証を導入しており、すべての注文に対して認証が実行されるわけではありません。

この図のように、独自のアルゴリズムで怪しい注文と判定された場合にその認証機能が実行されます。
これにより、ユーザの購入モチベーションに悪い影響を与えずにセキュリティを高めることができると注目されています。

2025年までにすべてのECサイトへの導入が義務付けられており、ShopifyをはじめとしたECプラットフォームサービスでは、標準で決済機能に導入されております。

今回のライアビリティシフト適用の条件としては、上記の認証実行フローを通ってきた注文にのみ適用され、チャージバックの金額負担責任がカード会社へと移り、ECサイト運営側は保護されるようになっています。

ライアビリティシフト適用と3Dセキュア2.0の問題点

ライアビリティシフトや3Dセキュア2.0について調べていらっしゃる方の中で誤解をされている方も少なくないと思いますが、『3Dセキュア2.0の導入＝安全なECサイト運営』というのは間違いです。

先ほど説明した通り、ライアビリティシフトの適用条件は、3Dセキュア2.0の認証が実行されて認証を通過した注文のみ対象となります。

そしてこの3Dセキュア2.0の認証はクレジットカード不正利用に対して必ず実行されるものではありません。

クレジットカード不正利用注文が3Dセキュア2.0のアルゴリズムにより低リスクと判定された時には、認証なしで注文が通されます。

認証が実行されなかったクレジットカードの不正利用注文はライアビリティシフトの適用対象とはならず、万が一気づかずに受注処理を進めてしまった場合は、ECサイト運営側がチャージバック金額を負担し、売上を返還することとなります。

なので、「3Dセキュア2.0を導入してるからクレジットカード不正利用注文のチャージバックを負担しなくていい」というのは誤解ですので気を付けてください。

チャージバックにはどう対策すべきなのか

ここまで、ECサイト運営側からチャージバック金額の負担を回避する方法としてライアビリティシフトについて紹介してきましたが、正直言ってこのライアビリティシフトの適用条件も不確実性が存在するためECサイト運営側が負担を被る可能性が非常に高く残ります。

一番のチャージバック対策としては、やはり不正リスクの高い注文は全てキャンセルするというルール設定が重要かなと思います。

Shopifyでは、全ての注文に対して不正注文リスク判定を行ってくれるので、高リスクと判定された注文は強制的にキャンセルすることが可能になります。

その他のチャージバック対策としては、チャージバック保険へ加入することでしょう。
GMOインターネットグループであったり、Shopifyでは損保ジャパンと提携し、内部アプリとしてチャージバック保険を提供しています。

まとめ

ということで今回はECサイト運営とは切っても切り離せない、チャージバックを回避する手段として、ライアビリティシフトとそのキーとなる3Dセキュア2.0について解説しました。

近年ではクレジットカード情報の漏洩などでクレジットカードを不正利用したECサイト利用が増えてきています。

3Dセキュア2.0やライアビリティシフトという制度はあるものの、それらは必ずしもECサイト運営者を守ってくれる完璧なセキュリティというわけではありません。

ライアビリティシフトの適用条件に該当しなければチャージバックの金額負担は避けられませんので、不正注文を通してしまわないように、怪しいと思われる注文は厳格に対応したり、もしもの時に備えてチャージバック保険へ加入しておくこともECサイト運営側がとれる自衛手段となるかと思います。

ShopifyでのECサイト制作ご相談ください

株式会社Neightbor.ではShopifyを使ったECサイト制作についていつでもご相談受け付けております。

「ECサイトを作りたいけど何から始めればいいかわからない」「小規模でいいから自社のECサイトが欲しい」などECサイト制作に興味があるけれど、どこに相談してもいいかわからない方でもまずは弊社にお問い合わせください。それぞれのお客様に適したECサイト制作について提案させて頂きます。