2016年7月21日8:00
~より安全なオンライン航空券予約の実現に向けて不正検知サービス導入の成果~
日本航空(JAL)では、2011年頃から急増した国際線航空券のオンライン決済における不正利用を1/10以下に減少させました。今回は、その対策について紹介します。
手作業による不正対策で不正利用を1/3に
2015年は1/10以下に不正を削減
JALグループは国際線で54線、国内線で117路線運航しております。国内線では「JAL SKY NEXT」として、全クラスに本革シートやWi-Fiを導入した機材を順次展開しております。また、国際線では全クラスにゆとりのシートを導入した「JAL SKY SUITE」を、欧米路線や東南アジア路線といった中長距離の路線で展開。この国際線のビジネスクラスシートは、個室のようなプライベート空間と、フルフラットにしたときのベッドの広さに高い評価をいただいています。また、エコノミークラスのシートも改善されておりまして、シートピッチと座席のスリム化によって、前後のシートの幅が約10cm広くなりました。
こういった部分が評価されて、SKY TRAX(スカイトラックス)社が運営するワールド・エアライン・アワードで、世界で最もすぐれたビジネスクラスシートに贈られる「ベスト・ビジネスクラス・エアラインシート」賞を、2013年に日本の航空会社で初めて受賞しました。また、エコノミークラスのシートについても2015年に「ベスト・エコノミークラス・エアラインシート賞」を日本の航空会社で初めて受賞いたしました。
「JAL SKY SUITE」は国際線を利用されたお客さまからご好評いただいており、JCSI(日本版顧客満足度指数)で2015年、国際線で顧客満足度1位を獲得しました。また、アメリカのFlightStats社の調査では、国内線と国際線の定時到着率が世界1位となり、運航の品質も向上しています。
さて、JALでは、国際線のWebサイトでチケット販売を行っていますが、クレジットカードの不正被害額は、2011年ごろから顕著に増え、2012年で爆発したような形で最悪な状況になりました。この事態を回復する目的で、さまざまな分析など、手作業による対策を2013年に行ったところ、前年の1/3くらいまで減少しました。ただ、人手で行うのは時間がかかり、業務効率も悪いため、2014年に不正検知ツール「CAFIS Brain」を導入しました。2015年には最終的に、最多だった2012年の1/10以下まで、不正利用を減少させることができました。
デバイス情報や決済に関わる情報から不正を検知
手作業で得られた知見と不正検知ツールを活用
具体的には、利用者がJALのホームページで国際線のチケットを購入した際に、デバイス情報や決済に関わる情報を受け取って、それをそのまま「CAFIS Brain」に暗号化して送っています。その判定結果が戻り、JALの管理画面で確認して、その後の手を打つ、といった仕組みです。
「CAFIS Brain」を導入する以前は、これまでの不正利用にはどういったケースがあるのかを、IPアドレスやカードの発行国などを全部羅列して、特徴などを確認していました。不正のケースでどういう傾向が見つかったかというと、航空券を買った日から搭乗する日までが非常に近いことがわかりました。例えば、今日チケットを購入した人が明日搭乗するとか、明後日乗るなどです。国内線の航空券の場合には当日ご購入されるケースも非常に多いのですが、国際線の、特に中長距離の路線で、購入翌日に急に出発するという人はあまりいないため、疑わしい要素として注目するようにいたしました。
それから、JALは日本の航空会社であり、日本人のお客さまが非常に多いです。そのため、大半は日本のIPアドレスですが、不正のケースでは海外のIPアドレスが非常に多く見つかりました。
ほかには、出発地、IPアドレス、クレジットカード発行国、この3点の関連性に何か傾向があるのではと考えました。例えば、今週末プライベートで香港やシンガポールなど近場の国に家族や友達と旅行するとします。今日や明日に航空券を購入される場合、多くが日本から出発されます。そのため、IPアドレスも恐らく日本となります。ただ、不正のケースのIPアドレスは、タイやフィリピンといった東南アジアが多く見受けられました。また、カードの発行国はアメリカが多く、被害のおよそ9割以上となっています。
以上の関連性は1つの傾向で、必ずしもすべてのルールに当てはまるわけではありませんが、この3点が一致しないケースがかなり高いです。
導入前に手作業で確認していたような傾向は、「CAFIS Brain」以外の不正検知ソフトも含め、同じようなルール設定がされていることが分かりました。もちろん、ルール設定がないものについてもユーザ側で設定ができるので、自社の被害のルールをカスタマイズしていくことは可能です。さらに、自社の不正の傾向として被害が大きいものはスコアリングを上げたりすることで、精度をより高くすることができます。
ルールの自動化により業務を効率化
人の目では判らなかった不正も判別可能に
不正検知ツール導入による効果として、まずは業務の効率化が挙げられます。従来は、抽出したデータの中から手作業で探し出していたのですが、この作業がツールによって自動的に行われるようになったことが一つ目の大きなメリットです。
二つ目は、例えば、過去に不正の実績がある同じ端末からまた購入されたという場合、今までの手作業ではせいぜいIPアドレスなどでしか判り得なかった不正を判断できるようになりました。つまり、人の目ではなかなか見つけられないような取引が検知できるようになり、精度が飛躍的に向上しました。
そのほか、24時間365日の対応が可能となり、監視体制の維持ができるようになったのは三つ目の大きなメリットです。
不正検知ツール導入後も人的な対応を強化
最終的な不正の判別は人の目で判断
不正検知ツールの導入により、不正利用のパターンが蓄積されましたが、必ずしも完全に無人化されるわけではないのが実態です。スコアリングのチューニングが必要ですし、正規の取り引きか、不正か判別しにくいケースが非常に多いです。すぐにブラック判定できるケースは実はそれほど多くなく、恐らく7割~8割のケースにおいて、最後は人の目で判断していかなければなりません。
ですから、残念ながらツールを導入したら後は何もしなくてもいいというわけではなく、刻々と変化するトレンドを把握しそれをルールやスコアリングのチューニングに反映させる必要があります。トレンドを把握しながら上手くツールを使うことで、今後増えていく不正はより確実に防いでいけると考えています。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」の日本航空 Web販売部 Web・コールセンター企画グループ 田島 朝一 氏の講演をベースに加筆を加え、紹介しています。
