不正検知における「False Positive」とは

2017年10月1日

海外の不正対策関連のイベントに行くと必ずといって聞こえるキーワードは、この「False positive」です。イベントによっては専用ブースが設けられ頻繁にFalse positiveについてのセッションが行われています。

「False positive」とは簡単に言うと、真正なお客様を誤って弾いてしまい、売上の機会損失を招くことをいいます。

これは目検チェックなどマニュアルレビューでも起こりえますが、よく使われるのは、不正検知システムによって真正なお客様の弾いてしまったケースです。

 

「False positive」によって、即座に売上が失われるほか、顧客のロイヤルティ、保持率、将来の売上に影響を与えるといった損失が考えられます。

「False positive」の発生を防ぐため、1件ごとの取引を細かく調査することはしばしば面倒な作業となり同時にコストとなりますが、ある統計では、回答者であるEC事業者の68%が誤認を追跡しようとしており、却下された注文の10%までが実際に本物であったと考えています。

 

また、北米の企業では、不正の疑いがあるために、米国/カナダからの受注の2.9%を拒否しているといった統計があります。

下記は、売上規模別の、受注拒否率になります。*売上$5M = 5億円

 

出典:2017 North America Online Fraud Benchmark Report

 

「False positive」議論の本質とは

しかし、毎年のように議論されるこの課題については、ある本質があります。それは不正検知システムは100%不正を防ぐ夢のシステムではないということです。

つまりすり抜けや、真正な人をも弾いてしまうことは十分ありうるし、今後も100%完璧な不正検知システムは出てこないと考えています。

あくまでも不正検知システムはマニュアルレビューの補助的なツールであり、人間の目では確認できない、不正リスクポイントを教えてくれる、いわば判断材料の一つに過ぎないからです。

不正対策においては、現実を認識し、その上で合理的な側面で不正検知ツールなどを活用していくといったことが重要なのかもしれません。

 

3-D セキュアの抱える課題(米国)

先の議論で、「False positive」のお話がありましたが、3Dセキュアであれば確実に真正なお客様だけを通過させることができます。

不正の本場、アメリカでこそこの仕組みを利用するべきではあるのですが、実はあまり浸透、普及していません。

ある調査によると、回答者の49%が3Dセキュアがお客様との間で何かしらの摩擦を起こしていると考えており、実際回答者の18%はそういった懸念、理由で3Dセキュアを実装していなかったとしています。

また回答者の37%は、かご落ちをする課題があると考えていて、13%は、それが理由で実装していないということでした。

下記図は、北米加盟店が考える3Dセキュアの課題について調査したものです。

出典:2017 North America Online Fraud Benchmark Report

 

しかし、この状況は、2016年に*EMVCoによってリリースされた3-D Secure 2.0仕様によって変化する可能性があります。

新しい仕様は、従来のブラウザベースの電子商取引トランザクションをサポートし、アプリケーションベースおよびデバイスベースの認証をサポートするものになります。

*EMVとは「Euro pay、MasterCard、VISA protcol」の略で、それら3つの組織が「EMVCo.」という組織を作りました。「EMVCo.」は、他にも決済端末などの仕様を定めたり、その認定機関としての役割も果たしています。