2021/11/09

※本記事は株式会社アクル（Akuru,Inc.）「KNOWLEDGE」掲載記事の転載です。

クレジットカードの不正対策として、不正検知システムはここ数年で存在感を増してきています。それだけ被害の事例、件数、金額が増加傾向にあることの裏返しとも言えますが、よくある不正検知システムの比較のポイントをご紹介していきます。

クレジットカード業界、金融業界出身の方であれば、CICやJICCという名称を耳にしたことがあるかと思います。割賦販売や貸金において「消費者の信用情報を共有することで、無理な貸付を回避し健全な業界発展をして行きましょう」というものです。

これらと同様に「クレジットカード決済の不正検知」と言うと、「ブラック情報データベースとの一致性により判定されている」とイメージされることが多い印象です。過去に不正利用が生じたカード番号をより多く保有しているシステムほど、不正検知としての効果が高い、という考え方です。

不正検知システム比較の過程でも、「ブラック情報がどの規模で蓄積されているのか」「ブラック情報のソース（入手経路）はどこなのか」といった質問があがることがあります。

～ 過去にチャージバックが発生したカード番号を大量に集約すれば、強固な不正検知システムとして機能する ～

実態はどうなのか、以下に説明していきたいと思います。

実は、不正利用が生じた履歴のあるカード番号の情報をいくら大量に保持していても、不正利用は防げません。不正利用が生じたクレジットカード情報は、基本的にカード発行会社によって無効化されます。カードホルダーには、新たに採番されたクレジットカードを再発行するのです。

つまり不正検知システムが無くとも、与信照会時に決済システムによって無効化されたカード番号は弾かれているのです。

一方で、言うまでもなく業界的に課題とされているクレジットカードの不正利用は、有効なカード情報によるものです。換言すると、昨今のクレジットカードの不正利用は、過去に不正の履歴が無いカード情報による被害であると言えます。

また、それだけ新たなカード情報が不正利用者の手元にあるということは、大規模にクレジットカード情報が漏洩している実態があることも垣間見えます。

今回はブラック情報の有用性、特にカード情報を軸にテーマに取り上げましたが、その他の情報はどうでしょうか。不正検知システムでは、カード番号に限らず多くの情報をもとに不正利用のリスクを試算します。

経済産業省が公開している「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-」では、不正利用対策の具体的な方策として「配送先情報」が取り上げられています。

カード会社・決済代行会社によっては、不正使用で繰り返し使用される配送先住所情報（Fdec）をカード加盟店に提供しています。

しかし、特定の住所が配送先として指定できないとわかれば、不正利用者もまた違う配送先を考えアタックしてくるのです。一方、ブラック登録された住所に真正な人が引っ越してきていたために、正規な取引を阻害してしまう可能性もあります。

過去の情報に全く価値が無い訳ではありませんが、それだけに依存することなく、複合的なチェック機能が不正検知システムには求められます。

不正利用者は手を変え品を変え押し寄せてきます。ここ数年でのカード不正利用の手口、ターゲット商材も変遷を遂げているのです。

このような背景をしっかり理解した上で、不正検知システムを比較する必要があります。

(1) – 精度の比較

(2) – 真正利用者への影響

(3) – ブラック情報の実効性