商品・サービスの販売を行う事業者にとって、クレジットカードへの犯罪対策は欠かせません。顧客からの信頼・信用に係るため、対策できていない場合は早急に行動すべきです。

そこで今回は「スキミング」という犯罪行為について、主な手口と対策方法を解説します。顧客の損失を防いで信頼・信用を勝ち取り、新規顧客・リピーター獲得につなげましょう。

ひととおり目を通せば、早急に対策すべき理由と、自社に合う対策方法が見つけられます。

スキミングとは

スキミングとは、クレジットカードやICカードなどの情報を抜き取る犯罪行為です。抜き取った情報は偽造のカード作成に利用され、不正使用へとつながります。

カードそのものが盗まれるわけではないため、被害者は犯罪に遭っている自覚がありません。事業者側は、偽造されたクレジットカードを利用させない対策を講じる必要があります。

対策を講じるには、スキミングの手口を理解することから始めましょう。

スキミングの主な手口

2種類のクレジットカード別に、スキミングの手口を解説します。効果的な対策を講じるためにも、具体的な手口について理解を深めてください。

接触型カード（ICチップ付きのクレジットカード）の場合

接触型カードの場合「スキマー」と呼ばれる特殊な機械をクレジットカードに直接接触させ、情報を抜き取ります。たとえば、決済処理用の端末やATMなどにスキマーが仕込まれていると、カードを通しただけで情報が抜き取られます。

スキマーは正規の装置のように偽造されており、その有無を素人が判別するのは難しいです。

非接触型カード（ICチップがないクレジットカード）の場合

非接触型カードの場合、スキマーを近づけるだけでクレジットカード情報が抜き取られます。スキマー本体は手のひらに収まるサイズなので、実行者はどこでもスキミングできます。

人が密集している空間はもちろん、財布などが入った荷物をロッカーなどへ預けている際も、利用者への注意喚起が必要です。接触型よりも簡易的な手段で犯行が行われるため、被害に遭いやすい手口といえます。

事業者が押さえておくべきスキミングの対策

事業者が押さえておくべきスキミング対策を5つ解説します。顧客を守り信頼を得るためにも、実行できる対策から始めてみてください。

「PCI-DSS」に完全準拠している決済代行会社を選ぶ

「PCI-DSS」に完全準拠している決済代行会社を選び、国際基準のセキュリティで顧客を守りましょう。

＜PCI-DSSとは？＞

• 国際カードブランド5社により設立された、クレジットカード情報保護のセキュリティ基準
• 認定には訪問調査やサイトの脆弱性チェックなど、厳しい条件をクリアしなければならない

「PCI-DSSへの完全準拠」とは、強固なセキュリティで守られていることを意味します。顧客のカード情報を守る体制が整えられているため、決済代行業者選びの判断基準としましょう。

セキュリティコードの入力を求める仕組みを導入する

顧客がクレジットカードを利用する際は、セキュリティコードを入力してもらうことで、偽造カードの不正利用を防ぎやすくなります。

＜セキュリティコードとは？＞

• クレジットカードに設定された3～4桁の数字
• スキミングではセキュリティコードまで抜き取れない

スキミングによりカード番号や有効期限などを抜き取られたとしても、セキュリティコードは盗まれません。そのため、セキュリティコードの入力が必要な場合、偽造カードを不正利用できない仕組みです。

ただし、セキュリティコードが裏面に書かれているクレジットカードもあるので、顧客には注意喚起を行いましょう。

3Dセキュア（本人認証）システムを導入する

3Dセキュアシステムの導入により、クレジットカード情報が抜き取られたとしても、不正利用のリスクを抑えられます。

＜3Dセキュアとは？＞

• カード利用者しか知らないパスワードを入力するシステム
• 利用者以外はカードが使えない

3Dセキュアの本人確認は、パスワード入力や端末認証など方法はさまざまです。カード番号・有効期限を抜き取られたとしても、本人確認によりクレジットカードは不正利用されません。

セキュリティ対策として有効でありながら仕組みはシンプルなので、顧客へ負担をかける心配がない対策手段です。

ICチップ対応の決済端末を導入する

ICチップ対応の決済端末であれば、偽造クレジットカードの利用を防げます。

＜ICチップとは？＞

• カード情報を格納した小型の電子部品
• 情報は暗号化され、スキミングによる読み取りが困難

クレジットカードへの情報格納方法には、磁気ストライプとICチップの2種類があります。磁気ストライプは暗号化されないため情報が抜き取られやすく、偽造もしやすいことが特徴です。

一方、ICチップは情報が暗号化されているほか情報量も多く、抜き取られにくい性質を持っています。ICチップ対応の決済端末導入により、情報の抜き取りや偽造カードの利用を防ぎやすくなります。

売上明細を定期的に確認する

売上明細を定期的に確認して、クレジットカードが不正利用されていないか確認することも大切です。具体的には、以下のポイントを確認してください。

＜売上明細でチェックすべきポイント＞

• リピーターの顧客が、これまでにないほど高額な買い物をしている
• 同じ商品が何度も購入されている

上記のような履歴が残っていれば、不正利用の疑いがあります。これ以上被害を広げないためにも、異常が見つかったときは決済代行業者などへ連絡してください。

売上明細を確認するタイミングは「毎週○曜日にチェック」など具体的なスケジュールを立て、定期チェックを習慣化させましょう。

決済代行サービスなら「SUIクレジットサービス」がおすすめ

セキュリティに強い決済代行サービスなら「SUIクレジットサービス」がおすすめです。SUIクレジットサービスでは、以下のようなセキュリティ対策を行っています。

＜SUIのセキュリティ対策＞

• 3Dセキュア認証
• セキュリティコード認証
• 「PCI-DSS 3.2.1）」に完全準拠している

顧客のカード不正利用を防止するため、SUIクレジットサービスには各種セキュリティ対策が施されています。PCI-DSS 3.2.1にも完全準拠していることから、国際基準のセキュリティ対策です。

また、SUI独自の売上管理画面も提供しており、ExcelやCSV、TSVにも対応しています。売上データを管理しやすいので、万が一クレジットカードを不正利用されていても売上から確認できます。

初期費用が安い、複数のカードブランド対応、ローリスクからハイリスクまで幅広い業種にも対応していてセキュリティの高い「SUIクレジットサービス」をぜひご検討ください。

まとめ

スキミングは、クレジットカード偽造の巧妙な犯罪手口です。誰でも被害に遭うリスクがあるため、事業者側での対策を行ってはいけません。「事業者が押さえておくべきスキミングの対策」で解説した対策方法を参考に実行してみましょう。

コスト・労力などの要因で対策が行えないという場合は「SUIクレジットサービス」の利用をご検討ください。セキュリティへの万全な対策を実施済みです。

さらに、初期費用が安く、加盟店審査は最短1日で完了します。海外の決済期間を通すことも可能なので、副業サイトや情報商材を取り扱う事業者様でもご利用いただけます。