オーソリゼーションとは?クレジットカードのオーソリを解説

オーソリゼーション

オーソリゼーションとはクレジットカードを使用する際に、そのクレジットカードが本当に有効かどうかをカード会社に確認する作業のこと。お店などの決済端末から電話回線やインターネット回線などを通じて行われます。

オーソリゼーションとは?

加盟店は、カード会員が一定の金額を超える買物をしようとする場合には、これに応じてよいかどうか(与信の可否について)、カード会社の承認を求めなければなりません。これを「オーソリゼーション」(信用照会、オーソリ請求=AR=authorization request)といい、一定の金額を「フロアリミット」といいます。

ただし、上得意客への掛売りは、オーソリの枠外と見るべきでしょうか(ケース・バイ・ケースで処理)。フロアリミットは誰が決めるのか。加盟店とアクワイアラーの立場から見ると、この金額が高ければ高いほど、オーソリ請求の手間が省けることとなります。

一方、イシュアーの立場からすると、低いほどセキュリティが確保できます。日本では、日本クレジット産業協会が、両者の意見を参考にして、フロアリミットを決めていますが、その水準は次第に下がって、いまではゼロに近い状態になっていることについては、前述したとおりです。

国際ブランドは、各国の決定についてはそれぞれに委ねる姿勢をとっていますが、フロアリミットを日米で比較してみると、日本のほうが高い水準を維持しているようです。オーソリの法的効果は、次の2点です。

  • イシュアーは、承認を与えた取引については、責任を負う
  • アクワイアラーおよび加盟店は、オーソリ・ルール違反の場合には、チャージバックの責任を問われる

全件オーソリと一部オーソリ

オーソリをめぐっては、不正カード取引を防ぐために、金額の多寡を問わず、すべての取引についてオーソリを求める「ゼロフロアリミット」=「全件オーソリ」の要請と、オーソリ・コストの軽減と回線容量のパンク防止の見地から、フロアリミットを越える取引についてのみ、オーソリをかける「一部オーソリ」の要請とが、二律違反的に対立しています。

オーソリは本来、一部オーソリが基本とされています。ところが、この原則は、①セキュリティ問題と、②端末機能の向上(たとえば、G-CATにより、次第にくずれて、現在は、全件オーソリに近い状態になってきています。ただし、小額の飲食代金等は例外です。

全件オーソリは、当然のことながらコストが高くつきます。端末の配置、ノン・オン・アス取引か否かなどで、バラツキはあるものの、平均して1件10~30円の費用がかかります。この点、ICカードは、オーソリ回数を減らし、コスト削減に資することとなるでしょう。

オーソリ請求の内容

オーソリ請求のフォーマットは、ISO8583に定められた43桁の枠内で、3段階に分けて入力されます。

  1. 磁気テープ内のすべてのデータ(会員番号、氏名、有効期限、カードタイプ、各ブランドの特殊番号、VISAとダイナースはCVV、MasterCardはCVC、JCBはCAV、アメックスはDBCなど)
  2. 加盟店による入力(取引日、金額、エントリーコード、店の所在地など)
  3. アクワイアラーによる入力(加盟店の業種、アクワイアラー検索番号など)

国際ルールでは、アクワイアラーは加盟店から送られてきたデータを、「手を加えずにそのまま転送すること」が義務付けされています。このルール違反はチャージバックの理由となります。

国際プランドカードのオーソリシステム

加盟店からアクワイアラーに対するオーソリ請求(AR)の流れを示すと、次の図のとおりとなります。

ARの流れ

ARの流れ

① カード会員:カード呈示

②・④ 加盟店:アクフイアラーに対しAR(一般的な場合)

③ 加盟店:イシュアーに対しAR(端末の機種による)

⑤・⑥ アクワイアラー:国内または海外のイシュアーに照会

注1:ARの方法は、電話、端末またはホットラインによる。

注2:加盟店への回答は失印方向の逆の流れとなる。

この図の中の⑥は、国内のアクワイアラーが海外のイシュアーにARを送るケースを示します。ARへ回答する場合、本来ならばイシュアーが自らデータを調べ、与信の可否を決めて回答するのが筋です。しかし、その手間を省き、回線の容量超過を防ぐために、⑥の流れのなかには、次の3つの工夫が施されています。

  1. イシュアーがアクワイアラーに対し、業種別に一定の上限金額を示し、その範囲内であれば、イシュアーに代わって承認することを授権するプログラム。無効通知および取引回数の制限(velocity check)も当然のことながらチェックの対象に含まれています。無効通知とは、紛失・盗難カード、使用を差し止められたカードなどの事故カードを、イシュアーがアクワイアラーに連絡し、アクワイアラーがこの番号をリストアップして、加盟店に流す通知です。国内的なものと、国際的なもの(ウオーニング・ブレティン=WBという)とがあります。国内の通知は、大手アクワイアラーが作成するが、記載容量の関係上、事故カードが100%加盟店に伝わらないケースがあるようです。
    一方、WBは国際ブランドカードが作成し、メンバーに配布します。伝達方法は、ペーパーベースと電子的手法とがあります。WBは、配布先、無効カード番号の掲載期間、更新方法などキメ細かく運営されています。
  2. 国際ブランドカードに対し、イシュアーが一定形式のパラメーターを示し、ある条件が発生した場合、国際ブランドカードがイシュアーに代わって、このパラメーターに従ってARを処理することを授権する「スタンドイン・パラメーター」と称するものがあります。スタンドインとは、「間に立つ」ことを意味します。一定の条件とは、たとえば、イシュアーの回答が長引いて時間切れになった場合、ARそのものが何らかの理由でイシュアーに届かなかった場合、イシュアーが営業時間外で休む(たとえば、昼休み)ことをあらかじめ届けていた場合(これを、サインアウトという)などです。パラメーターの内容はきわめて詳細なもので、たとえば、VIP扱いにして欲しいとか、ゴールドカードの客を一般カードの客と別扱いにして欲しいとか、業種別の取引上限金額、取引回数の制限(キャッシングは1日3回までとか)など、数多くの事項が含まれています。
  3. アクワイアラーのコンピュータが故障して、国際ブランドカードの回線に接続できないときに発動される緊急プログラムもあります。この場合には、無効通知のみをチェックするケースが多いようです。

イシュアーのARチェッキングシステム

以下の図は、イシュアーがARの内容を審査し、これに回答(承認、コールミー、拒否、ピックアップなど)するプロセスをまとめたものです。

ARスクリーニングテーブル

ARスクリーニングテーブル

汚水の浄化槽とそのなかに仕込まれた漉し紙を想像してください。ARの受入から回答までのスクリーニング(漉し紙)の段階が多ければ多いほど、不正を見抜く精度は高くなるが、コストも当然のことながら高くなります。

最終段階の「その他ホワイト情報のチェック」は、いわゆるカード会員の行動調査にかかわるもので、

  1. 海外からのARが突然飛び込んできたので海外旅行の有無を確かめる
  2. 会員へそれとなく電話をかけて買物の意思をチェックする

などの狙いがあります。

このチェッキングシステムが簡単なものであれば、オーソリシステムの内部に組み込まれますが、高度化されたものは、オーソリシステムの枠外、すなわち、ARと平行して作動する仕組となっています。「PRISM」あるいは「FALCON」と称される不正探知システムが、その代表例です。

両者とも、いわゆるスコアリング方式により、あるカード取引をカード会員の一般的な購買パターンと比較して、不正使用の確率を算出、警告を出すものです。

SNSでもご購読できます。