カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, カード新着情報, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報, 書籍・レポート情報

オンラインにおけるカード決済不正と対抗策の過去10年とこれからの展望　不正検知ソリューション「ReD Shield」、デバイス情報「iovation」を提供（上）

2018年5月14日8:00

■株式会社スクデット/ジグザ株式会社

スクデットは、不正検知ソリューション「ReD Shield」、およびデバイス情報「iovation」を中心に提供する不正対策のスペシャリスト集団となります。今回は、カード決済における過去10年間の不正動向とそれに対抗する施策を振り返るとともに、最近の傾向から見る今後の不正傾向と対抗策について見通しを紹介します。また不正対策と関連が強くなっている業務自動化ロボット(RPA)について、専門家であるジグザに説明していただきます。

株式会社スクデット　代表取締役　細江啓太氏
ジグザ株式会社　代表取締役　櫛田和洋氏

スクデットは不正対策を導入するためのスペシャリスト企業

私は1999年から対面取引におけるカード会社向けの不正対策システムに関わっており、2010年には独立して決済代行会社及びオンライン店舗向け（非対面取引）の不正対策に特化した企業であるスクデットを立ち上げました。当初は早すぎると言われましたが、さまざまなご縁で日系インドネシア企業の決済代行事業の立ち上げ時に不正対策を導入することができました。

現在、不正対策は主に航空会社やデパート、決済代行会社など、デバイス識別テクノロジーは大手カード会社、大手たばこ会社、運送会社などにご提供しています。1カ月で200万トランザクション以上の取引を国内でスクリーニングしており、ブラックリストを保有しています。スクデットは、そのような不正対策を導入するためのコンサルティング、サポート、チューニングなどのスペシャリストの会社と言えると思います。

今年の初め、2018年１月13日にNational Retail Federationという米国最大の実店舗・オンライン店舗用のイベントに参加しました。約600社、関係者約3万5,000人が集まるイベントですが、この中でAI、オムニチャネル、オムニチャネルに対応するアプリなど、いくつか重要なテーマがありました。また、とても重要なキーワードなのですが、巨人アマゾンに対する施策も挙げられていました。具体的には、なぜオムニチャネルなのか？ということですが、アマゾンのプレゼンス拡大とともに小売業の実店舗で顧客離れが起きるので、その中でお客様を店舗に呼ぶ施策として、オムニチャネルあるいはオンラインtoオフラインという2つの施策が非常に大事になるということです。

その内容の1つは、店舗の在庫情報をWEBで公開する、店舗が情報を提供するということ。もう１つは、2～3年前からの話として、家で買い物を行うが、実際のモノはなるべく早く欲しいということで、店舗ピックアップが米国では流行ってきたのですが、これに加えて、決済も事前に行うのが当たり前になってきています。これは単純にモノを早く欲しいというだけではなく、米国では店舗サービスが悪いので、列に並ばなくても自分のモノがあり、それをピックアップすれば帰れるといった利便性を求められているのです。加えて、アプリをダウンロードするとさまざまなプッシュ通知が来ると思いますが、とにかく店舗に来てもらうために、例えば、「明日の15時までに来店したお客様はシャンパンを10％オフにします」といったオファーが数多く来ます。すると、1本だけで済まず、4～5本買ってしまうこともあります。そうなると、オンラインで買う、オフラインで買う、対面で買う、非対面で買うという中で、決済のスタイルはあまり大事ではなくなります。決済はオンラインで済ましながら、店舗で買うこともあり得ます。その中で非常に重要な橋渡し的な役割を果たしているのがアプリです。

私のアメリカでの経験ですが、スターバックスにお客様がいきなり入ってきて、コーヒーを飲んで帰る。決済もしなければ、注文もしていない。なぜ、毎日同じ人が来て、このようなことやっているかと店員に聞いたところ、アプリから注文して、ピックアップし、決済もアプリと連携したカードで支払っているからとのことでした。

アプリコマースの普及とデバイス識別が不正対策へのキー

今までの決済は、普通にレジに並んでカードを提示し、バーコードを読み込ませたり、サインを記載したりしたのですが、これからはアプリで決済を終わらせて、そこから支払いを証明するため、QRコードを提示するようなことが当たり前になってきます。すると、カードが実際に人の目に触れる機会が減ってきますから、カード情報の漏えいは減ると思いますが、実際に現状では、カード番号の漏えいではなく、ユーザーID・パスワードを使い回すという消費者側の態度・行動が最大の問題になっているので、そこを根本的に改善しないと、不正はなかなか減らないのかなと考えています。もう1つがフィッシングです。最近のフィッシングメールは本当に巧妙にできています。あとはマルウェアによるユーザーIDとパスワードの抜き取り。加盟店サイトへのハッキングです。

ユーザーID・パスワードをWEBサイトに入力することは危険だということをユーザーは認識しなければいけません。誘導するところはブラウザではなくアプリにする。店舗のアプリまで偽造するのは難しいので、これにより自分たちを守ることになります。

ユーザーがアプリを使うと、決済情報やカード情報を入力しても保管される場所はスマホになり、加盟店のサーバに保管されるわけではありません。決済情報はダイレクトに決済会社に送られるので、個人情報やカード情報は安全です。

アプリからのアクセスは、加盟店にとってもメリットがあります。ネットバンキングでも、商店のサイトでも、カードローンでも同様ですが、現在、広告ブロック技術やプライベートモードなどによりデバイス情報取得が難しくなっている中で、アプリを通すとその中にさまざまなソフトウェアを仕込めるので、有益な情報を取得でき、個々のニーズを知ることができます。しかし、だからといって急にアプリが普及するわけではありません。そこで私たちは、デバイス情報を新たな要素とした認証が必要ではないかと考えています。ユーザーIDとパスワードではなく、登録時に使われたデバイスと同じものであれば、初めてログインさせるという仕組みです。

不正対策として「iovation」と「ReD Shield」を提供

私どもはそのために2つのソリューションを用意しています。1つは「iovation」で、デバイスの情報だけを取得して識別するためのテクノロジーです。もう１つはデバイスと個人情報の両方を組み合わせて認証するサービス「ReD Shield」で、個人情報の取り扱いについてはPCI DSS準拠しています。

「iovation」のサービス概要ですが、デバイスから取得した情報を「iovation」に流すと、取引の可否の審査結果が○、△、×といったかたちで出てきます。

現状では海外での利用が多く、オンラインバンキング、トラベルなどさまざまな分野でご活用いただいています。国内では大手カード会社の申込ページや大手百貨店の決済、通信キャリアの決済、航空会社のマイレージ決済などがあります。

ユースケースでキャッチーなものとして、米国でビットコイン交換所のセキュリティに使われているケースをご用意しました。ビットコイン全体としては優良なユーザーが手数料を支払って使うことがメインですが、よからぬ人がクレジットカードを使ってビットコインを買ったり、マネーロンダリングに使われたりするケースがあります。その対応手段として、申込み、口座開設などのタイミングでデバイス情報やネットワーク情報を取得することで、不審なものについてはチェックできます。それでもすり抜けて、マネーロンダリングなどに使われてしまったアカウントについては、ブラックリストに入れます。これらを単にひとつの交換取引所で行うのではなく、複数業者で連携して、情報を交換し合うということを行っており、さらにこれをビットコイン取引業者だけではなく、オンラインバンクや銀行の送金業務にも使っていただくといったかたちで、エコシステムの幅広い普及に取り組んでいます。

弊社は「ReD Shield」で個人情報とデバイス情報を組み合わせて、また、「iovation」でデバイスのみの情報で、決済不正対策を行っています。このような対策をすると、オペレーションとしては不正のスクリーニング業務が大量に発生します。そこで、不正スクリーニングの自動化などについて、ジグザ櫛田氏から紹介いただきます。