複数の対策でも減らなかったカード不正利用

　2021年から公式ECサイトにSiftを導入する化粧品メーカーA社は、約100万人の登録会員を擁し、スキンケア商品を中心に年間約30億円を販売している。

　ECサイトの売上が伸びるにつれてA社を悩ませたのがクレジットカードの不正利用の増加だった。2020年頃には1ヶ月で平均50件程度の不正利用が発生していた。SNSで話題になった時や海外のギフトシーズンなど、売上が増える時には不正利用もあわせて増加し、多い月には150件、300万円のカード不正利用が発生したこともあったという。

　割賦販売法におけるクレジットカード情報保護および不正利用対策の実務上の指針である『クレジットカード・セキュリティガイドライン』は、クレジットカードの不正利用金額が50万円を超える月が3ヶ月連続した加盟店を「不正顕在化加盟店」として、複数の不正利用対策の導入を求めている。A社でも、決済代行会社のGMOペイメントゲートウェイ（以下GMO-PG）を通してアクワイアラ（クレジットカード加盟店契約会社）から不正利用対策について要請を受けた。3Dセキュア1.0やセキュリティコードの導入の他、過去不正利用時の配送先住所のリストを独自に作成し、全ての取引について配送先のチェックを行うなどの対策を行っていたが、カード不正利用はなかなか減らすことができなかった。

機械学習で精度が上げられるSiftを導入

　2020年秋、不正利用が増えてしまったためGMO-PGの担当者に相談したところ、「リンク型決済(図1)で導入できるカード不正利用対策」として紹介されたソリューションの1つがSiftだった。Siftでは、GMO-PGが提供するリンク型の決済ページに手を加えることなく、ECサイト内で入力される購入商品、住所やメールアドレスなどのカード情報以外の情報、ページ遷移、各ページでの滞在時間などのサイト上での行動が送信され、取引をスコアリングしてカード不正利用の可能性が高い取引を発見する。判定結果に対してフィードバックを行うことで、ルールの設定やチューニングを人が行う必要なく、機械学習により精度を高めることができる。「リンク型で利用できることは大前提ですが、比較対象のソリューションに比べて、価格がリーズナブルだったこと、機械学習で精度が上げられるため人手をかけなくて良いというところを評価し、Siftの導入を決めました」（A社マーケティング担当者）2020年11月に初回の打ち合わせの後、早速翌月には要件定義を開始。2021年3月末下旬にはテスト運用が開始できた。

チェック・運用工数を減らしてカード不正利用も激減

　導入後約1ヶ月の運用トレーニング期間は、カードの不正利用を判定するためのスコアによる取引判断の設定をせずに運用してSiftに機械学習させた。不正の傾向はサイトにより異なるため、適切な閾値の設定もサイトにより異なる。運用トレーニング期間中は、マクニカの技術担当者がお客様環境の取引とSiftのスコアの状況を確認し、トライアンドエラーで閾値の設定や運用方法を検討する伴走型の技術支援を提供している。「最初は閾値の設定をどうすればいいか判断しづらかったのですが、マクニカの技術者の方にアドバイスをいただいて解決できました」（A社マーケティング担当者）

　2021年5月以降、閾値を設定してスコアの高い取引を自動でブロックするようにして、カード不正利用が目に見えて減ったという。「本来のお客様にご迷惑をかけては困るので、自動ブロックの閾値は少し高めに設定しています。それでも不正利用防止の効果は出ています」（A社マーケティング担当者）

　Sift導入で大きく軽減されたのが、出荷時の配送先住所のチェックにかかる工数だ。従来は、全ての取引について、配送先住所を独自に作成したブラックリストと照合し、該当する取引については出荷を停止していた。Sift導入後は目視チェック対象の取引だけに限定し、チェック工数を大幅に削減。「当日出荷分の配送先指示データを倉庫に送る締め切りが朝10時30分で、以前は朝の８時30分からチェックを開始しても間に合わないことがありましたが、Siftを導入してからはそれがなくなりました」（A社マーケティング担当者）

　日々の運用では、不正な取引の情報やGMO-PGから受領する配送停止情報をもとに、不正取引をSiftに機械学習させている。「海外のギフトシーズンや商品の個数制限を緩和した時などに取引数が増えると不正の件数も増加しますが、Siftに学習させればすぐに防いでくれるようになります。学習にかかる時間は1日30分程度なので、負担にはなりません」（A社マーケティング担当者）

　Sift導入以外にも海外IPアドレスからの接続を停止するなどの対応を継続して行い、2022年に入ってから平均してカード不正利用の件数は月10件以下、金額は2、3万円から多い月でも10万円程度までに減っている。「お客様からの使いづらさや判定ミスといったSiftの導入に関連する問い合わせや苦情は１件もありません。なおかつ、自分も物流担当者も業務にかかる時間、工数、精神的な負担が減りました。カード不正利用も減って、効果はコストに十分見合っていると感じています。（A社マーケティング担当者）

EMV 3Dセキュアと併用してさらに安全に

　2022年10月、国際ブランド各社は3Dセキュア1.0のサービスを終了した。従来3Dセキュアを利用していた加盟店は、後継となるEMV 3Dセキュア（3Dセキュア2.0）への切り替えが必須となった。A社のECサイトも2022年9月からEMV 3Dセキュア

に切り替え、Siftと併用している。

　手順としては、まずSiftのスコアによる判定を行い、高スコアの取引についてはカード決済を自動ブロックする。それ以外の取引については、GMO-PGのサイト上にある決済ページへと遷移し、カード情報を入力すると取引情報がEMV 3Dセキュアに連携される。EMV 3Dセキュアは取引情報に基づくリスク判定を行い、安全であればフリクションレス（追加認証なし）の取引を承認し、危険であれば取引を拒否する。どちらとも言えなければチャレンジモードで追加認証を要求する。（図２）全ての取引に対して追加認証を要求する3Dセキュア1.0に比べ、EMV 3Dセキュアはリスク判定の結果、安全な取引に対してはフリクションレスで取引できるため、取引途中でのカゴ落ちのリスクが下がるというメリットがある。

　SiftとEMV 3Dセキュアを併用することのメリットは、カード発行会社に追加認証要素を登録していない、すなわち3Dセキュアのパスワードを設定していないカード番号についてもスコアにより取引をブロックできることだ。3Dセキュア1.0の弱点として、パスワードを登録しているカード利用者が少なく、その場合は3Dセキュアを適用しない運用を行わざるを得ないという点があった。現時点でもEMV 3Dセキュアに追加認証要素としてパスワードなどを登録していない利用者も多いと想定され、全ての取引に適用することは難しい。Siftと併用して先にスコアが高い取引はブロックすることで、EMV 3Dセキュアの追加認証ができないカードであっても不正利用を減らすことができる。

　もう一つのメリットがSiftは加盟店の基準で取引を行うか拒否するかを判断できることである。EMV 3Dセキュアのリスクベース認証はあくまで「カードが不正に利用されている可能性」により判断するものであり、取引を承認するか拒否するかの判定基準はブラックボックスで加盟店は介入できない。対して、Siftのスコアによる判定は、サイトの特性に合わせた不正取引の判断ができるため、例えば「短期間に同じ商品が同じ送付先住所で繰り返し購入されており転売が疑われる」といった取引も加盟店の基準でブロックすることが可能になる。「EMV 3Dセキュアはまだ導入したばかりなので、Siftと併用しての運用についてはこれから検討するところ。マクニカさんには引き続き技術的なサポートを期待しています」（A社マーケティング担当者）

　「化粧品ブランドのECサイトとして、店舗とは差別化した企画で売上を伸ばしていきたい。そこで不正な買い物が多発すると、お客様のブランドへの期待値が下がってしまいます。お客様を裏切らないよう、カードの不正利用対策には引き続き取り組んでいきたいです」とA社マーケティング担当者は語る。そのためにEMV 3Dセキュア導入後もSiftには引き続き大きな期待を寄せている。