- オンライン決済時にCVCの入力を求めるかどうかは、店舗や企業が選んだ決済サービスによっています。
- CVC(カード認証コード)は、オンライン取引でのクレジットカード不正利用を防ぐために導入されました。
- カード裏面に書かれたCVCを求めることで、「カード情報」を盗まれただけでは不正利用ができないようにしているのです。
クレジットカードそのものを盗まれたら意味がないけどね。
CVCの入力を求めるかどうかは店舗側が決めている
インターネットで商品を購入しようとするとき、サイトや企業によって、クレジットカード情報のセキュリティコードが必要なときとそうでないときがあります。
セキュリティコードは必須ではないのですか?
クレジットカード会社や国際ブランドは、セキュリティ基準を設けています。
しかし、CVCの採用は店舗や企業の判断に委ねられています。
- セキュリティを重視するならCVCを必須とするでしょう
- 利便性を優先するならCVCを求めない判断もあります
つまり、最終的に、CVCの入力を求めるかどうかは、店舗や企業の方針によるんだね。
CVCの入力を求めるかどうかは、主に店舗やサービスを提供する企業、または決済代行会社が決定しています。
- 決済代行会社の方針
- 業界ごとの慣習や規制
- 店舗や企業の方針
決済代行業者の役割
この中でも重要なのが「決済代行業者」です。
多くの店舗や企業は、直接クレジットカード決済を処理するのではなく、決済代行会社を利用しています。
つまり、決済システムによって、CVCの入力が必要かどうかが決まることが多いです。
また、業界によって、セキュリティ対策に関する慣習や規制が異なります。
例えば、旅行業界では不正利用のリスクが高いため、CVCの入力を求める傾向にあります。
ただし、クレジットカード会社が定めるセキュリティ基準を満たすことは、加盟店契約の条件になっている場合が多いでしょう。
クレジットカード会社は、加盟店に対してチャージバック(不正利用による損失)の保証を提供しています。
ただし、この保証を受けるためには、加盟店がセキュリティ基準を満たしている必要があります。
リスクが高いと判断された加盟店には、CVCの導入を強く推奨したり、義務づけたりすることがあります。
CVCが導入された経緯
「CVC」は、主にオンラインでのクレジットカード取引を保護するために導入された仕組みです。
1990年代後半から2000年代にかけてのインターネットの普及で、オンライン取引が急増しました。
しかし、その分 クレジットカードの不正利用も増加してしまいました。
カード券面に書かれている番号や有効期限などの情報が盗まれ、悪用されるケースが目立つようになったのです。
そこで、カード会社が考えた対策の一つが「CVC」です。
「CVC」は、「Card Validation Code(カード認証コード)」の略で、カードの裏面に印字されている数字(通常は 3桁または4桁)です。
CVCは、カードを物理的に所持している人しか知り得ない情報(所持情報)とされています。
オンラインでのクレジットカード決済でCVCの入力を求めるのは、不正利用を減らすため。
企業のデータベースから顧客のクレジットカード番号や有効期限などの情報が盗まれることがあります。
ただし、そのような事例でもセキュリティ上の理由でCVCを保存していないことが多く、流出を免れる可能性が高いからです。
カード情報の盗難だけではオンラインで悪用できないようにすることで、消費者とお店の両方を保護しているといえます。
CVCの不完全さ
しかし、CVCは簡易的な対策で、いくつかの限界があります。
- カード情報の盗難には一定の対策になりますが、カード自体が盗まれた場合は全く効果がありません。
- また、偽サイトなどでCVCを入力してしまって、騙し取られてしまう可能性もあります。
