イギリスにおける不正対策の取り組み
イギリスでは各金融機関が積極的に不正対策に取り組んでいるだけでなく、業界団体として不正対策専門の機関が設置されています。ATMやインターネットバンキング、クレジットカード等の不正対策、調査を行うFinancial Fraud Action UK(参照1)や、保険の加入や保険金請求に関する不正を取り扱うInsurance Fraud Bureau(参照2)などが存在しており、不正に関するデータを業界横断的に収集し、分析の結果から得られた情報を還元しています。
Financial Fraud Action UKの報告書(参照3)によると、イギリスにおける2015年のクレジットカードやキャッシュカードの不正利用、インターネットバンキングやテレフォンバンキングの不正利用、小切手の不正利用を合計した総被害金額は7億5500万ポンド=1208億円(1ポンド160円で計算)でした。この報告書で興味深いのは、不正行為のチャレンジを受けたものの、システム検知によって未然に被害を防ぐことができた金額についても集計されており、その総額は17億6000万ポンド=2816億円でした(図1)。つまり、1億円の不正行為に対し7000万円がシステムによる検知で未然に被害を免れた計算になります。
効果的な不正対策を行うために必要なこと
このように、イギリスにおいて不正対策が有効に機能している背景として、以下の2つのポイントが挙げられます。
① 過去の不正に関するデータが整備され分析に利用可能な状態となっている
データ分析の最初の作業は、システムから顧客データや口座データ、取引データなどを抽出し、そこに分析ターゲットを示すフラグ付けを行うことです。例えばマーケティング分析では、ある商品の購入有無がターゲットとなりますが、大抵の場合、購入履歴データをシステムから取得すれば比較的簡単にフラグ付けをすることが可能です。一方で、不正検知を目的とした分析では、不正行為の有無を示すターゲットの情報が紙ベースやエクセルベースなどの不完全な状態でしか記録されておらず、正確なフラグ付けが困難な場合があります。
銀行口座の不正利用をターゲットとしたデータ分析を行う場合であれば、不正利用と特定された取引のID、不正利用が判明した日時、不正利用の手口(盗難、偽造、番号盗用など)などの情報を正確に取得できなければなりません。データの品質は分析結果の品質(得られた分析結果や精度が本当に正しいかどうか)に直結するため、まずは各企業や業界団体が不正に関するデータを整備することが必要です。
② 蓄積したデータを統計的に分析して不正リスクを最小化するための対策を行っている
不正対策におけるデータ分析の第一の目的は、自社がさらされている不正リスクを正しく把握することによって、最も有効な不正対策の意思決定を行うことです。よくある話として、データ分析プロジェクト終了時に報告会を行うと、統計モデルの検知精度ばかりに注目が集まってしまう場合があります。不正検知の精度を最大化することもデータ分析の重要な要素です。しかし、すべての不正行為を漏れなく検知できる、誤判別ゼロの統計モデルを作成することは現実的には不可能です。一定の精度に達した統計モデルに対し、到達できない無理な精度を追求し続けることは、ROIの観点からも価値のある作業とは言えません。
欧米の金融機関においては、不正対策に「リスクベースドアプローチ」とよばれる概念が浸透しています。これは、業務担当者の経験則に基づく定性的なリスク評価方法ではありません。今までに起きた不正行為の種類や件数を統計的に分析し、定量的な根拠に基づいて最も効果的な不正対策を講じるべき、という考え方です。この分析は定期的に行い、現在の対策は有効に機能しているか、新たな対策は必要ないか、といった点を繰り返し検証する必要があります。このような取り組みを継続して行うことにより、日々進化する不正行為に対し、即座に有効な対策を打つことができるようになるのです。
サービスの多様化や利便性向上に伴い、それに便乗した新たな手口の不正行為はこれからも増加し続けていくでしょう。利用可能なリソース(ヒト・モノ・カネ)が限られている状況で効果的な不正対策を行うために、ビッグデータを利用した分析は意思決定のための有効な手段となるはずです。
次回は、不正対策を目的としたデータ分析プロジェクトを成功させるためのコツを解説します。
参照1: https://www.financialfraudaction.org.uk/
参照2: https://www.insurancefraudbureau.org/
参照3: FRAUD THE FACTS 2016, Financial Fraud Action UK