ネット通販における安全なインフラ作りに貢献するかっこ株式会社（本社:東京都港区、代表取締役社長CEO : 岩井 裕之、証券コード：4166、 以下、かっこ）は、EC事業者の不正被害や対策に関する実態調査を実施しましたので、その結果を公表いたします。今回で3度目の実態調査になり、業界としての動向の変化を把握する一助になれば幸いです。
2022年度調査　https://prtimes.jp/main/html/rd/p/000000084.000009799.html
2021年度調査　https://prtimes.jp/main/html/rd/p/000000071.000009799.html

■調査の背景　
　一般社団法人日本クレジット協会の発表（※1）によると、クレジットカード番号等の情報を盗まれ不正に使われる「番号盗用被害」が2022年度は過去最多の411億円にもなり、2023年1-6月においてもすでに245億円を超えており、更なる被害拡大が予測されます。また、情報漏えいの要因の一つであるフィッシング被害についても、2022年度の報告件数は過去最多の968,832件となり、2017年から5年間で98.7倍にも増加しています。（※2）
　こうした状況を踏まえ、かっこは、EC事業者における不正注文やフィッシング詐欺などのセキュリティ意識や不正対策の実態について、独自に調査を実施いたしました。
（※1）一般社団法人日本クレジット協会：「クレジットカード不正利用被害額の発生状況（2023年9月）」
（※2）フィッシング対策協議会「月次報告書」

■調査概要
調査時点         ：2023年11月
調査対象         ：EC事業者（※）で不正注文対策に関わる担当者
有効回答数      ：549件
調査方法         ：ネット方式によるアンケート調査
（※）年商規模　10億円未満49.9％、10億円以上50.1％

■調査結果（サマリ）
【意識・認識】
①割賦販売法でふれられているクレジットカードの不正利用防止措置義務化について、7割以上が内容までよく知っている。前年より7%増加しており、セキュリティ意識が高まっていると言える。
②「フィッシング対策ガイドライン」※3について、67％が内容までよく知っている。企業規模別にみると、年商10億円未満では59.1％にとどまり、10億円以上では77.1％が良く知っていると回答。企業規模によって意識の違いがみられる。
（※3）「フィッシング対策ガイドライン」とは、フィッシング対策協議会が整理した対策や対応方法を示したガイドライン
③不正対策としての本人認証のひとつであるEMV3-Dセキュア（以後、EMV3DS）導入の必須化を知っているのは、76.5％だった。

【被害】
④不正注文被害にあったことがあるEC事業者は、34.4%の約3社に1社で被害としては、クレジットカード不正利用が6割以上と最も多かった。
⑤直近1年間で不正注文被害にあった回数は4～7回が最も多く29.6％を占め、被害金額としては、年間総額で25~50万円が最も多かった。
⑥フィッシング被害にあったことがあるEC事業者は、38.1%の約3社に1社で被害としては、個人情報漏洩が最も多かった。

【対策】
⑦不正注文対策をしている割合は34.4％（昨年77.5％）、フィッシング対策をしているEC事業者の割合は90.2％だった。
⑧不正注文対策としては、本人認証である「3Dセキュア」（3Dセキュア0、EMV3DS）を導入しているとの回答が最も多かった。一方、「EMV3DS」の導入率は36.1％にとどまっている。
⑨「EMV3DS」への懸念点として、コストに関するものが最も多く、次いで商品単価や商材などを加味するなどリスク判定のカスタマイズができない点、不正のすり抜けの発生を懸念している声が多かった。
⑩フィッシング対策としては、送信元認証のDMARCでの対策が最も多かった。

■調査結果の詳細
【意識・認識】
①割賦販売法においてクレジットカードの不正利用防止措置義務化について、7割以上が内容までよく知っている。2022年と比べ7.2%増加しており、セキュリティ意識が少しずつ高まっていると言える。

②「フィッシング対策ガイドライン」について、67％が内容までよく知っている。企業規模別にみると、年商10億円未満では59.1％にとどまり、10億円以上では77.1％が良く知っていると回答。企業規模によって意識の違いがみられる。

③不正対策としての本人認証のひとつであるEMV3-Dセキュア（以後、EMV3DS）導入の必須化を知っているのは、76.5％だった。

【不正被害】
④不正注文被害にあったことがあるEC事業者は、34.4%の約3社に1社で被害内容としては、チャージバック（クレジットカード不正利用）が最も多かった。

⑤直近1年間で不正注文被害にあった回数は全体では4～7回が最も多く29.6％で、被害金額としては、年間総額で25~50万円が最も多かった。

⑥フィッシング被害にあったことがあるEC事業者は、38.1%の約3社に1社で被害内容としては、個人情報漏洩が最も多かった。

【対策】
⑦不正注文対策をしている割合は74.9％（昨年77.5％）、フィッシング対策をしているEC事業者の割合は90.2％だった。

⑧不正注文対策としては、3Dセキュアをはじめとした本人認証を導入している割合が、最も多かった。一方、「EMV3DS」の導入率は36.1％にとどまっている。
＊実施している対策方法の質問は複数回答における全体の割合（母数が1009名）で、「EMV3DS」を導入しているかの質問は単一回答で549名を母数とした割合(母数が異なるため割合の数値が異なる)

⑨「EMV3DS」への懸念点として、コストに関するものが最も多く、商品単価や商材などを加味するなどリスク判定のカスタマイズができない点、不正のすり抜けが発生することを懸念している声が多かった。

⑩フィッシング対策としては、送信元認証のDMARCでの対策が最も多かった。

■考察
　今回の調査では、クレジットカード不正対策の義務化への認知度が前年比7％増加しており、セキュリティ意識の高まりが示唆されました。フィッシング対策ガイドラインについては、企業規模による意識の違いが見られ、大手企業ほど高く認知されています。
　不正注文やフィッシング被害に遭ったEC事業者は3社に1社の割合にのぼっており、中でもクレジットマスターによる被害が最も増加傾向にあり、続いて初回限定商品を狙った不正取得のケース、悪質転売の被害が大きくなっています。2022年4月の改正個人情報保護法により、個人情報漏洩時の報告・通知を義務化された以降も、個人情報漏洩による被害は拡大しており、今後もより一層、対策の強化が求められるものと考えられます。
　不正注文対策において本人認証の主流になっているのは3Dセキュアでしたが、その最新版であるEMV3-Dセキュアを導入している割合は36.1％にとどまっています。導入が進まない課題として最も多くあがったのはコストの問題で、次に商品単価や商材などを加味した判定ロジックのカスタマイズができない点、不正者のすり抜けなどが危惧されています。
　フィッシング対策については、既に9割以上が対策済みで、DMARCを導入しているケースが最も多く見られました。
　今回の調査は、事業者の対策意識の向上や対策を実施しているにも関わらず、不正被害が増加している状況が確認できる結果となりました。複雑化、多様化する不正被害に対して、自社対策のみではなく業界横断的に、重層的な対策を実施することが重要です。
　今回明らかになった不正対策コストやその導入効果についての課題を克服するためには、現状を把握し投資対効果に見合った有効性の高い対策を講じていくことが、今後、より重要視されるのではないかと考えられます。

■かっこ株式会社について　
　かっこは、「未来のゲームチェンジャーの『まずやってみよう』をカタチに」という経営ビジョンを掲げ、当社の有するセキュリティ・ペイメント・データサイエンスの技術とノウハウをもとに、アルゴリズム及びソフトウエアを開発・提供することで、企業の課題解決やチャレンジを支援することを目指しております。特に、オンライン取引における「不正検知サービス」を中核サービスとして位置づけ、不正注文検知サービス「O-PLUX（オープラックス）」、不正アクセス検知サービス「O-MOTION（オーモーション）」を提供しております。

　かっこは、今後も、幅広くセキュリティサービスを提供することで不正注文や不正アクセスの対策を支援し、安心・安全なオンライン取引・ネット通販の環境づくりに貢献してまいります。

会社概要
かっこ株式会社
住所 ： 東京都港区元赤坂一丁目5番31号
代表者 ： 代表取締役社長CEO　岩井　裕之
設立 ： 2011年1月28日
URL ： https://cacco.co.jp/
事業内容 ： SaaS型アルゴリズム提供事業
              （不正検知サービス、決済コンサルティングサービス、データサイエンスサービス）
関連サイト ：
不正検知メディア「不正検知Labフセラボ」 ：  https://frauddetection.cacco.co.jp/media/
データサイエンスぶろぐ ：  https://cacco.co.jp/datascience/blog/
採用情報 ： https://cacco.co.jp/recruitment/index.html