和洋菓子の製造販売を行う鎌倉紅谷は23年11月に自社ECサイトをリニューアルした。リニューアルに合わせセキュリティ対策の強化と転売対策の強化を目的に不正注文検知サービス「O-PLUX」(提供:かっこ)を導入、クレジットカード不正利用の検知率を大幅改善し、作業効率の向上に成果が出ているという。鎌倉紅谷のダイレクト・マーケティング部 スーパーバイザー 吉田裕子氏と同部CS室シニアスタッフの中西ののか氏に導入の経緯などについて聞いた。
鎌倉紅谷のダイレクト・マーケティング部 スーパーバイザー 吉田裕子氏(=写真左)と同部CS室シニアスタッフの中西ののか氏
ECサイトのリニューアルを機にセキュリティ強化
鎌倉紅谷は鎌倉・鶴岡八幡宮の目と鼻の先に本店を構える創業70年の和洋菓子店。「『おいしい』の先にある気持ちを一番大切にするお菓子屋」というビジョンを掲げ、鎌倉をはじめ神奈川県を中心に9つの実店舗を構えている。近年はECにも力を入れているという。クルミを詰め込んだキャラメルをバター生地で挟んだ「クルミッ子」や、ラスクをヒントに生まれたオリジナル菓子「あじさい」、サブレの「鎌倉だより」など人気商品を多く持つ。同社の菓子は手作業による工程も少なくないことから生産量に限りがあり、実店舗・ECともに連日完売が続く人気ぶりだ。人気の一方で、店舗やECでの悪質な購入による転売問題にも頭を悩ませてきたという。また、近年巧妙化するECサイトのセキュリティ脅威に対し、常にセキュリティ対策を万全にしておく必要性を感じていたという。セキュリティ・転売対策の取り組みを中心にEC強化の流れについて迫る。
ーーECサイトをリニューアルした経緯について教えてください。
吉田裕子氏(以下、吉田):当社では、2000年頃からECサイトをスタートしていますが、当時は電話受注がメインでした。コロナ禍までは店舗での販売を中心に展開していましたが、おかげさまでEC化率が向上するなど成長し続けています。
EC強化の取り組みを進める中でサーバーの強度やセキュリティ対策も重要視していました。将来を見据えて強固なEC基盤を構築すべく2023年11月にECプラットフォーム「Shopify」によるリニューアルを行いました。サーバーの部分では、以前はアクセスが集中した際にECサイトが落ちてしまうことがありました。こうしたことが起きないよう強靭なサーバーを持つEC基盤への切り替えを検討しました。セキュリティ対策については以前「クレジットマスターアタック(※1)」が疑われる不自然なアクセスを検知したことがあり、その時は手動で対策して事なきを得たのですが、スタッフの負担も大きかったことや、ECサイトを運営している以上は常にこうした脅威にさらされ続けることを考えるとシステム的な対策が急務と考えました。
※1:クレジットマスターアタック=クレジットカード番号の規則性を利用し、機械的にカード番号を生成して他人のカード番号を割り出す不正の手口。ECサイトに対し、プログラムによるランダムな大量アタックを行い有効なカード情報を見つけ出し詐取するもの。
長年の悩み「転売対策」も実現
ーー当時の状況について詳しく教えてください。
吉田:当時は別のECプラットフォームを使っていたのですが、不自然な大量アクセスを検知した際、手動でアクセスできないように対応していました。すぐにアクセスをブロックするための専用システムを導入したのですが、実装されるまでの約1週間、土日含む毎日、複数名で深夜と早朝に対応を余儀なくされましたね。決済に関わる大切な部分なので、神経も使いました。大量アクセスがあるだけでオーソリ料金も上乗せ請求されるので、無駄なコストもけっこうかかります。その時は緊急性もあって、当時のECプラットフォームと一番相性が良かった別のシステムを選んだのですが、実はその時から転売対策も可能な「O-PLUX」に魅力を感じていました。「shopify」へのリニューアルが決まっていた時期だったので、リニューアルの際はより強固な対策として「O-PLUX」導入をしようと決めていました。事前に不正を防ぐというのはもちろんですし、スタッフの作業負担軽減も大きな目的です。
ーーリニューアル後のセキュリティ対策の体制についてはいかがですか。
吉田:2023年11月のリニューアルからクレジットカード決済の機能を、「EMV 3-Dセキュア(3Dセキュア2.0)」(※2)対応の「Shopifyペイメント」を採用しています。プラスで不正注文検知サービス「O-PLUX」を導入しており、二重で不正対策する形をとっています。クレジットマスターやクレジットカードの不正利用と合わせて、長年の課題であった転売問題の対策も実現しています。
※2:「EMV 3-Dセキュア(3Dセキュア2.0)」=web上でクレジットカード決済をする際の不正利用を防ぐための本人確認の仕組み。本人確認に生体認証(指紋や顔認証など)やワンタイムパスワードなど動的認証の仕組みを取り入れたもの。なおクレジット取引セキュリティ対策協議会は2024年3月に「クレジットカード・セキュリティガイドライン」を改訂し2025年3月末までに全EC加盟店で「EMV 3-Dセキュア(3Dセキュア2.0)」の導入を原則義務化している。
中西ののか氏(以下、中西):「O-PLUX」導入は、導入社数が多く信頼性が高いこと、転売対策の部分など細かいチューニングができるので当社のニーズに合致していたことから決めました。空室情報や海外転送サービス判定ができる外部のデータベースの連携、利用企業の不正注文を共有ネガティブデータベースとして審査に活用できるといった点などは社内でも評価が高かったですね。リニューアルサイトの本オープン前にテストサイトでトライアルも使わせていただいて、総合的に判断して本導入した形です。
吉田:「O-PLUX」は「Shopify」とプラグイン連携もしているため開発面ではスムーズに導入できましたね。
ーーちなみに「O-PLUX」導入以前の転売対策はどのようにされていましたか。
中西:毎日の注文データの中から不正注文に該当するものを目視でチェックするという対応をとっていました。たとえば数量限定商品などご購入数の上限を設けさせていただくことがあるのですが、同じ方が上限を越えて注文しているかどうかの見分けが難しいことがありました。特に大変だったのが名寄せの部分で、例えばマンション名が書いてある配送先と書いていない配送先だと一致しないため、そのチェックに毎日2時間程はかかっていましたね。
クレジットカード不正利用の検知率大幅改善、工数削減に成果
ーーセキュリティ対策強化の成果としてはどうでしたか。
吉田:クレジットカード不正利用の検知部分ですと、検知率の大幅改善が実現できています。リニューアルの前は金額としては大きくはないもののチャージバックが発生していたため、成果を実感しています。チャージバックが起きてしまうと商品代金の金額的な損失だけでなく、経理的な処理など含めると1件の処理が完了するまでに何カ月もかかります。スタッフのトータル作業時間やストレスを考えると、これらが解消されたのは大きいですね。
中西:転売対策の部分では、不正注文を検知するために従来かかっていた作業時間を1割以上削減出来ていると思います。「O-PLUX」は、転売と思われる海外転送サービスの住所なども検知してくれるので非常に画期的だと思います。これまでの目視の運用では絶対にわからなかった部分もカバーできているという実感がありますね。
吉田:数字にはあらわれない部分にはなりますが、システムを入れて対策を強化しているというのは、運営スタッフの安心感も大きいです。ECサイトを運営している限り、年々巧妙化したり次々に新たに登場するセキュリティ脅威にさらされ続けるので、大切なお客様のデータを守るための対策をしている・いないでは心理的に大きな差があると思います。
ーーツールに期待することなどはありますか。
吉田:常にアップデートされていると思いますのでさらなる進化に期待しています。
中西:コンビニなどにある「警察官立寄所」の防犯マークのような形で、「O-PLUX導入ECサイトです」といった共通のマークを用意していただいたら、不正の抑止力や防犯にならないだろうかと考えたこともあります。当社としてもしっかり不正対策や転売対策を行っているということをアピールしていけたらと思っていますし、「O-PLUX導入」のマークがついているだけで防犯になるようなシステムになることを期待しています。
2025年に工場新設…生産体制を強化へ
ーーEC事業の今後の展望などについて教えてください。
吉田:売上を2倍・3倍に伸ばしていきたい思いがあります。会社としての大きな動きでは2025年に神奈川・小田原に工場を新設予定です。「クルミッ子」をはじめ連日完売で商品が足りていない状況が続いていますので、生産体制を強化して店舗でもECでもひとりでも多くのお客さまに安心・安全に商品を届けられるようにしていきたいです。商品数の充実が他の何よりも転売対策につながります。本当に基本的なことなのですが、お客様が欲しい時にいつでも安心して商品をご注文いただけるECサイトを目指していきます。
かっこ「O-PLUX」とは?
かっこが提供する不正注文検知サービス「O-PLUX」は、データサイエンスを活用した独自の審査ロジックにより、不正注文をリアルタイムに検知、クレジットカードのなりすまし注文、不正転売・悪質転売、後払い未払いといった不正被害の防止及び審査業務の自動化を実現するクラウドサービス。累計で11万サイト以上に導入されている。住所表記の揺れや異体字等の表記も自動的に名寄せできるほか、不正取引情報を事業者間で共有するなど独自のデータベースも構築し不正を検知する。各ECカートともAPI接続やTAG連携、CSVアップロードなど多様な連携方法を用意している。かっこによると「EMV 3-Dセキュア(3Dセキュア2.0)」を導入していても、すり抜けてしまう不正注文は起こり得るとしており鎌倉紅谷のように「EMV 3-Dセキュア(3Dセキュア2.0)」導入と「O-PLUX」を併用し重層的な対策を行うEC事業者も少なくないという。
この続きは、通販通信ECMO会員の方のみお読みいただけます。(登録無料)
※「資料掲載企業アカウント」の会員情報では「通販通信ECMO会員」としてログイン出来ません。