なぜネット決済の支払フォームはあんなに入力項目が多いのか？

By Fosforix

いろいろなサイトで買い物をしてお金を払う場合、フォームにいろいろな情報を入力しなければならないのですが、なぜあんなにたくさんの項目を埋めなければならないのか？という根本的疑問について「Sift Science Blog」がまとめています。

Why are payment forms so complicated? | Sift Science Blog
http://blog.siftscience.com/why-are-payment-forms-so-complicated-2/

これが最小限のあるべきフォーム。クレジットカード決済の場合、カード番号・期限を入力するだけで終わりのはず。3つのフィールド、合計20文字入力すればOK。

しかし実際にはこうなっています。14フィールド、131文字も入力必須。

姓・名・住所・国・都市（市町村）・州（都道府県）・郵便番号・電話番号・会社名・セキュリティコード・カードの種類などなどが必要で、ネット全体の支払フォームでは平均して12フィールド・70文字が必要となっています。

なぜこんなに必要なのかという理由が以下になります。

◆クレジットカード詐欺と闇市場

By Elliot Moore

オンラインで決済を受け付けて支払を行うすべてのサイトはクレジットカード詐欺という問題に直面しており、闇市場においては犯罪者が40ドル(約3800円)で盗んだクレジットカード番号100個ほどを買い、その盗まれた不正番号を信用してしまっているウェブサイトから高価な品物を購入するために使用しています（あとで転売してお金に換えるため）。

自分のクレジットカード番号を不正に使用された人は毎月の請求書やレポートを見てその事実に気づき、「チャージバック(代金請求の差し戻し)」をするために銀行へ電話したりします。これがオンラインでの買い物の場合、銀行ではなく商品を売った側にこの不正な詐欺によるチャージバックをする義務・責任が課せられ、この対応処理をするのに非常にコストがかかるのです。アメリカ国内だけでも1年で34億ドル(約3259億円)も失われてしまっており、これらの損失を抑えるため、大手クレジットカード会社は90年代の終わりに2つの不正防止システムを導入しました。

・1つめ：「AVS(Address Verification Service：住所確認サービス)」

By bitzcelt

カードを持っている人の請求先住所と銀行に登録されている住所とが一致するかを確認するシステムです。しかし詐欺師たちは住所情報も購入するため、今では余り有効ではありませんが、それでもこのAVSによってオンライン詐欺の28％を見つけ出すことが可能で、一方で詐欺師ではない普通のユーザーも8％程度、引っかかってしまいます。先ほどの支払フォームとフィールドの場合、131文字の内50文字はこの住所確認に費やされています。

・2つめ：「CVV(Card Verification Value：カード番号確認)」

By dphiffer

これは1997年にマスターカードが開始したもので、カード裏面に3桁の暗証番号を印刷するというもの。直後にVISAカードなども追随しています。理論上では、このCVVについては、PCI-DSS(PCIデータセキュリティスタンダード：クレジットカード大手5社が決めたセキュリティ基準)ではデータとして保存することを禁じているため、犯罪者の手に入ることはありません。というのはあくまでもタテマエで、実際にはもちろんCVVコード付きのクレジットカード番号が闇市場では流通しています。国や売り手によってはさらに同じような方式のCSC・CVV2・CVVC・CVC・CCV・SPCなどのセキュリティコードも使っているのが現状です。

AVSとCVV、この2つのシステムはオンライン詐欺から消費者・購買者・お客様・ユーザーを守るための善意から始まったものなのですが、実際にはこのシステムの運用分だけコストが掛かっており、なおかつ最終的なコンバージョン、要するにちゃんと問題なく買えたかどうかというのを妨害する要因にもなっているわけです。

というのも、あまりにも入力するフィールドが多いとユーザーは途中で入力をやめて離脱したり、請求先住所を打ち間違えたり、新しい住所に引っ越した際にそのデータが銀行に反映されるまでのタイムラグで拒否されたり、そもそもカード裏面のセキュリティコードのことを知らなかったりするためです。ある研究データによると、セキュリティコードの入力を省くと、コンバージョンレート(成約率、お買い物に成功した割合)がなんと40％も高くなったそうです。

◆不正行為を許容するか、それとも面倒な入力をさせるか

By Jorge Franganillo

オンライン詐欺に対抗するためには、ユーザーの利便性を下げてでもいいから不正行為をしないようにするか、あるいはユーザーの利便性を上げるために面倒な入力を省かせるかのどちらかしかないように見えますが、実際にはどちらかを選ぶ必要は無く、両立は可能です。

幸いなことにインターネット上では「ユーザーはどのIPアドレスだったか？」「プロキシサーバを経由しているかどうか？」「Torノードを経由しているかどうか？」「サイト内をどのように巡って来ているのか？」「この物理デバイスからいくつのアカウントが作られたか？」「メールは正しいドメインから送信されているか？」というような何百もの情報を集め、機械的な学習アルゴリズムを駆使して事前に危険信号を察知することが可能となっており、そのようなシステムの開発と導入が進んでいます。

・ネット決済を提供しているサイト運営者への重要な2つの警告

By 401(K) 2013

上記のような事実から考えると、「CVVとかあってもなんか意味ないし、入力フォームも少ない方がいいんじゃないの？」と考えがちですが、実際には以下のような重要な危険性が2つ出てきます。

1つめとして、自分が今使っているオンライン決済業者(ペイメント・プロセッサー)で先ほどの「AVS」と「CVV」を除いたときに取引手数料にどのように影響するか？という点。住所や郵便番号などを削っても取引手数料は変化しませんが、CVVを厳格に運用している決済業者であれば、CVVなしの場合には手数料を0.1％上げてくるはずです。つまり、余計に高くついてしまうわけです。

2つめは入力フォームや確認のプロセスを削ったり省略した場合、厳格に収益と不正行為の割合を測定して記録する必要が出てきます。結果的に収益が増えるのか減るのか、あるいは不正行為が増えるのか減るのかというのを見極めるべきである、ということです。