法人カード・決済

法人カードの不正利用対策——スキミング・フィッシングへの防御

法人カードの不正利用パターン(スキミング・フィッシング・カード番号漏洩)と、企業としての防御策。

執筆: Founder's Money 編集部 · 4 分で読了 ·
法人カードの不正利用対策——スキミング・フィッシングへの防御

法人カードの不正利用は、被害額が個人カードより大きくなりやすい。セキュリティ対策を疎かにすると、年間数百万円の損失リスク。本稿では中小企業向けの不正利用対策を整理する。

主要な不正利用パターン

1. スキミング

カードリーダーで磁気情報を盗む。ATMやガソリンスタンドのスキマー被害が多い。

2. フィッシング

カード会社・銀行を装った偽メール・偽サイトで情報を盗む。経営者・経理担当者を標的に。

3. カード番号漏洩

ECサイトのデータ漏洩で、カード番号・有効期限・セキュリティコードが流出。

4. 内部不正

従業員によるカード情報の悪用・経費水増し。

5. 紛失・盗難

物理的な紛失・盗難による不正利用。

カード会社の不正検知

主要カード会社は24時間365日の不正利用モニタリング:

  • 異常な取引パターン検出(海外突発利用等)
  • 本人への確認連絡
  • 疑わしい取引の自動停止
  • 不正利用時の補償(届出から60日まで)

企業側の対策

1. カードの物理管理

  • 金庫・施錠キャビネットでの保管
  • 使用時のみ取り出すルール
  • 退職者カードの即時無効化

2. カード情報の管理

  • カード番号を電子データで保管しない
  • パスワード管理ツールでの暗号化
  • 共有時は社内SLACK等の暗号化されたチャネル

3. 取引明細の定期確認

  • 週次で明細チェック
  • 異常取引の即時通報
  • クラウド会計と連携した自動アラート

4. 利用ルールの整備

  • カード利用申請プロセス
  • 金額別の承認ルール
  • 個人利用禁止の徹底

従業員カードの管理

従業員に追加カードを配布する場合の対策:

  • 限度額の個別設定(必要最小限に)
  • 用途の明文化(出張・接待のみ等)
  • 月次の利用報告
  • 退職時の即時無効化
  • 不正利用時の連帯責任の明示

2要素認証の活用

カード会社のオンラインサービスで2要素認証を必ず設定:

  • SMS認証
  • メール認証
  • 認証アプリ

パスワード漏洩でも、不正アクセスを防御できる。

3Dセキュア(本人認証サービス)

オンラインショップ決済時に追加認証を求めるサービス。VISA Secure・Mastercard Identity Check等。設定すれば、カード番号漏洩でもなりすまし利用を防げる。

フィッシング対策

典型的なフィッシング手口

  • 「カード利用通知 – 確認が必要です」メール
  • 「アカウントが停止されました」通知
  • 「ポイント有効期限切れ間近」案内

見分け方

  • 送信元メールアドレスの確認(公式ドメインか)
  • リンクのURL確認(マウスオーバーで)
  • カード会社サイトに直接ログインして確認(メール内リンクは使わない)

定期的なパスワード変更

カード会社オンラインサービスのパスワード:

  • 3〜6ヶ月ごとに変更
  • 他サービスと使い回さない
  • パスワード管理ツール(1Password・LastPass等)で管理

クラウド会計の活用

マネーフォワード クラウド会計等で:

  • 明細自動取込でリアルタイム把握
  • 異常取引の早期発見
  • 勘定科目別の利用パターン分析

不正利用が発覚した場合の対応

ステップ1: カード会社へ連絡

24時間サポートに即時連絡。カードを停止。

ステップ2: 警察への被害届

不正利用は刑事事件。最寄りの警察署で被害届。

ステップ3: 補償申請

カード会社の規定に従い補償申請。届出から60日以内が原則。

ステップ4: 内部調査

従業員による内部不正の可能性を調査。

EC・SaaS利用時のリスク低減

仮想カード番号の活用

「ワンタイム仮想カード番号」発行サービスを使うと、ECサイトごとに別の番号で決済。漏洩時の被害を限定。

サブスクリプション管理

月次のサブスクリプションリストを定期確認。不要なサービス・身に覚えのない請求を発見。

従業員教育

定期的な情報セキュリティ研修:

  • フィッシングメールの見分け方
  • カード情報の取扱ルール
  • パスワード管理
  • 不審な連絡時の対応

セキュリティチェックリスト

  1. カードの物理的保管(施錠)
  2. 2要素認証の有効化
  3. 3Dセキュア設定
  4. 明細の週次確認
  5. 従業員カードの限度額個別設定
  6. パスワードの定期変更
  7. 退職者カードの即時無効化
  8. クラウド会計連携
  9. 従業員向けセキュリティ研修
  10. 不正利用時の対応手順整備

業種別のリスク

業種 主なリスク
BtoB(法人取引) 大手取引先のなりすまし請求
EC運営 顧客カード情報漏洩からの自社被害
飲食・小売 店舗端末のスキマー
運送業 給油時のカード盗難
建設業 現場での現金管理ミスからの混乱

サイバーセキュリティ保険

大規模な被害に備え、サイバーセキュリティ保険への加入も検討:

  • 不正利用補償の上乗せ
  • 情報漏洩時の対応費用
  • 事業中断損失

年間保険料: 数万円〜数十万円(保険金額・補償範囲による)。

不正利用補償の限界

カード会社の補償には限界がある:

  • 届出から60日以内
  • 明らかな自己過失(暗証番号管理ミス等)は補償対象外
  • 故意・重過失の不正利用は補償外

補償に頼らず、予防が最重要。

カード会社のサービス比較

カード会社 不正検知 補償期間
三井住友 ○ 24時間 届出から60日
JCB ○ 24時間 届出から60日
アメックス ○ 24時間 届出から60日
ダイナース ○ 24時間 届出から60日

専門家相談

大規模な不正利用被害時は、弁護士・税理士の支援が必要。税理士紹介エージェントで企業セキュリティに詳しい税理士を探せる。

よくある質問

Q. 不正利用された場合、補償は確実ですか?

A. カード会社の規定に従えば原則補償されます。ただし届出が遅延・自己過失がある場合は補償外。素早い対応が重要です。

Q. 海外取引で不正利用が多いと聞きますが?

A. 海外利用は不正検知の閾値が高いため、突発的な海外取引で警告が出ます。事前にカード会社に出張予定を連絡することで、誤検知を減らせます。

法人カードの不正利用対策は「予防+早期発見+迅速対応」の3軸。クラウド会計+カード会社のセキュリティ機能+社内ルールを組み合わせることで、被害を最小化できる。

アフィリエイトについて: 本記事には広告主提携のアフィリエイトリンクが含まれることがあります。リンクからのお申し込みでメディアに紹介料が発生する場合がありますが、読者の方に追加の費用負担はありません。編集判断はこの提携関係から独立しています。詳細は アフィリエイトについて をご覧ください。

関連する記事