ほとんどの不正検知の判断は、支払いがすでに動き始めてから行われます。カード情報が入力され、リクエストが決済代行業者(PSP)に送信され、イシュアが応答し、その一連の流れのどこかで最終的な判断が下されるのです。
それは効果はありますが、介入できるのは決してそこだけではありません。
高トラフィックの決済ファネルにおいて、不正検知のために認証レスポンスを待つ方法は、リスク管理の手段としてますます高コストになっています。プロセッサーが承認を出す頃には、加盟店はすでにゲートウェイ手数料を負担し、ネットワークのインテグリティサーチャージを発生させ、さらに一度動き出すと後戻りが非常に難しいオペレーションの流れにコミットしてしまっているのです。
効果的な不正防止には、「フロントドア」型の発想が欠かせません。承認結果を見てから対応するのではなく、事前承認(プリオース)段階を戦略的なフィルターとして扱い、取引が決済ネットワークに到達する時点では、すでに本人性と意図が精査されている状態にしておくべきです。
この記事では、それがなぜ重要なのか、そうしようとすると何を失うのか、そしてそれでもうまくいかせるにはどうすればよいのかを解説します。
事前承認段階での不正防止が重要な理由
加盟店が認証がネットワークに到達する前に不正を検知できると、いくつか明確なメリットがあります。コストに関するものもあれば、評判に関するものもあり、そして私が最も興味深いと感じるのは、購入者にどのような体験を提供できるかという点です。
事後に不正を止めるのは高くつく
不正が認証後に発生した場合、取引はすでに完了しています。お金はすでに動いており、商品やサービスがすでに提供されていることもあります。認証後の取引を取り消すには、返金やキャンセル、オペレーション上の手間が発生し、多くの場合は結局その損失を自社で負担しなければなりません。
事前認証での検知は、不正による損失を減らすだけではありません。返金処理そのものを不要にします。不正な取引はそもそもシステムに入ってこないため、争うべき返金も、記録すべき異議申し立てもなく、事後に顧客体験を立て直す必要もありません。
これは、認証後に不正を検知する場合とは根本的に異なるコスト構造であり、検知をより上流に移すべきだという最も強力な根拠になります。ゲートウェイやプロセッサーに送信されるあらゆるオーソリリクエストには、インターチェンジ、処理コスト、ゲートウェイ手数料といった価格が必ず付随します。不正な支払いをPSPに到達する前にブロックできれば、そうした支出を完全に削減でき、特に高速連続型の攻撃を抑止するうえで大きな意味を持ちます。
マーチャントIDの健全性と、時間の経過に伴う承認率の向上
あなたが送信するあらゆる支払いは、時間の経過とともに、発行会社やアクワイアラーから見たあなたのマーチャントの評価に影響します。トラフィックがクリーンで、不正率や拒否率が低い状態を維持できれば、良好な評判が築かれます。発行会社はあなたのマーチャントID(MID)を健全なものとして認識し、そのことが承認率の向上や、正当な顧客に対する誤った支払い拒否の減少に直結します。
逆もまた然りです。あるMIDが一貫してノイズが多くリスクの高いトラフィックを送っていると、イシュアはより慎重になります。承認を却下する件数が増え、承認率は下がります。そしてそれを後から挽回するのは、はるかに難しい問題です。
この状況は、VAMP(Visa Acquirer Monitoring Program:Visaのアクワイアラー監視プログラム)の登場によって、より具体的で現実的なものになりました。VAMPは、加盟店ごとの不正や紛争(チャージバック)発生状況を月次で追跡します。設定されたしきい値を超えるとリスク軽減策の導入が求められ、それでも超過が続く場合は制裁措置の対象となります。
このプログラムは、これまで主に評判面でのソフトな懸念事項だったものを、明確なコンプライアンス要件へと変えます。事前認証フィルタリングによって、ネットワークに到達するトラフィックは最もクリーンな状態となり、その結果として VAMP 比率を適正に保つことに直接つながります。
即時フィードバックとコンバージョンのチャンス
これはコンバージョンにおいて、しばしば最も重要な利点となります。加盟店が特定のカードをその取引に利用できないと判断した場合、すぐに購入者へ伝えることができます。通常の「支払い拒否」となる代わりに、加盟店は動的に別の支払い方法を提示できます。たとえば別のカード、デジタルウォレット、あるいは「今買って後で支払う(BNPL)」オプションなどを、実際に決済を行う前の段階で提示できるのです。
こうした判断を、購入者が実際に支払いを行う前に行うことで、ユーザー体験と全体のコンバージョン率の両方が向上します。不正利用者をオーソリ前に検知できれば、正当な顧客を気まずいオーソリ後の支払い取り消しプロセスに巻き込まずに済む、という利点もあります。
あなたが手放すもの
事前承認は理論上は良さそうに聞こえますが、実際には深刻なデータの問題があり、その点を十分理解したうえで臨む必要があります。
プレオーソリへの移行には、実際に可視性にギャップがあることを認める必要があります。決済カード業界(PCI)コンプライアンスの対象外であり続けることを優先する加盟店にとって、生のカードデータに触れることは選択肢に入りません。このセキュリティ上の選択は、その瞬間からインテリジェンス(情報)の不足を生み出します。
カード情報とBINインテリジェンス
PCI準拠していない場合(多くの加盟店がそうですが)、あなたは生のカード情報を直接扱っているわけではありません。PSP(決済サービスプロバイダ)が決済フォームをホストし、自社側でカード情報をトークン化するため、あなたが実際のカード番号を見ることはありません。つまり、銀行識別番号(BIN)も、発行会社も、カード種別も、発行国も分からないということです。
カード番号の最初の6〜8桁であるBINには、多くの重要な情報が含まれています。どの銀行がそのカードを発行したのか、どの国のカードなのか、デビットかクレジットか、プリペイドかどうかまで分かります。アメリカで発行されたカードがメキシコで使われている場合と、メキシコ発行のカードがメキシコで使われている場合とでは、読み取れる情報は大きく異なります。こうした地理的なシグナルは、PCIコンプライアンスを満たさない限り、認証前の段階では一切利用できません。
トークンは部分的には役に立ちます。PCI準拠でなくても、加盟店はカードを表すトークンを受け取ることができ、これはブラックリスト登録や基本的なベロシティチェックには有用です。しかし、トークンではBINインテリジェンスは取り戻せません。トークンから十分なシグナルが得られるかどうかは、そのトークンの粒度や情報量に完全に依存します。
「ブラインド」トークンは、カードのメタデータなしで永続的な識別子を提供します。「リッチ」トークンは、生のカードデータをお客様の環境の外に保ったまま、BIN と主要なカードメタデータを保持します。
後者がなければ、あなたが持っているのは不正対策ツールではなく、便利なセキュリティ上の名目にすぎません。
住所確認サービスの応答
決済レールを通さない場合、チェックアウト時に入力された請求先住所がカード会社に登録されている住所と一致しているかどうかについて、発行会社からのフィードバックである住所確認サービス(AVS)の結果も得られなくなります。もちろん、これは万能ではありません。AVS の一致率は地域によって大きく異なりますし、完全なカード情報を持つ不正利用者であれば、正しい請求先住所を入力できてしまうことも多いからです。それでもなお、AVS は発行会社からの独立したシグナルであり、認証前にあなたのモデルが利用できていたデータポイントをひとつ失うことになるのです。
不正防止の事前認証を行う際に留意すべきポイント
これらの制約を踏まえると、優れた事前認証型の不正検知とは実際にはどのようなものなのでしょうか? 押さえるべき重要なポイントは2つあります。
支払い方法に依存しないモデルから始める
最大の誤りは、カード情報に強く依存した不正検知モデルを構築、あるいは購入してしまうことです。もしBINが必須入力であり、それがなければモデルが取引をスコアリングできないのであれば、スタートする前からすでに行き詰まっていることになります。
ほとんどのレガシー型不正検知エンジンはカード中心に設計されており、動作するためにBINとAVSレスポンスを必要とします。事前承認(プリオーソリ)環境では、こうしたモデルは精度が落ちるだけでなく、本来取り込む前提だった必須データ項目が欠けてしまうため、まったく動作しなくなることさえあります。
より優れたアプローチは、最初から決済手段に依存しないことを前提に設計されたモデルを採用することです。これが実務上何を意味するか考えてみてください。銀行振込、BNPL(後払い)、ウォレット、その他のオルタナティブ決済手段(APM)には、カードのようなインテリジェンスレイヤーが一切ありません。カード決済と非カード決済を同時に扱えるように構築されたモデルは、すでにBINデータなしで取引をスコアリングすることを学習しているため、カード情報がなくても破綻しないのです。
この問題には、もう少し微妙なバージョンもあります。カード情報を任意扱いにしてはいるものの、それがないと性能が大きく低下してしまうモデルです。求めているのは、カード情報がなくても本当にうまく対処できるモデルであって、単にエラーを出さずに動くだけだが、その裏で識別能力が半減してしまうようなモデルではありません。
他の部分でより強いシグナルを出して補う
カードインテリジェンスがない分、その他のあらゆる面でより強くあることで補う必要があります。軸として構築できる高い強度を持つシグナルのカテゴリは3つあります。
デバイスインテリジェンスとアイデンティティベースの行動
私ならここを最も重視します。セッションをまたいで持続し、ブラウザのリセットやアプリの再インストール、デバイスIDのなりすましといった一般的な回避手法にも耐えられる、豊富な情報を含んだデバイスフィンガープリントがあれば、支払い方法とは無関係な、長期的に使える識別子を手に入れられます。
チェックアウト時の入力速度やナビゲーションパターン、過去のセッションと行動が一致しているかどうかといった行動シグナルと組み合わせることで、この手法はカード情報に依存せずに機能するため、非常に強力なものとなります。
詐欺師は完全に有効な盗難カードを持っているかもしれませんが、そのデバイスフィンガープリントが過去の不正履歴と結びついており、さらにチェックアウト時の行動が正規ユーザーのどのパターンとも一致しない場合、認証リクエストがネットワークに到達する前に不正を検知して阻止することができます。
高度なメールおよびIPインテリジェンス
AVSによる住所一致が得られない場合、メールアドレスが本人確認の主要な拠り所になります。メールアドレスの利用年数、ドメインの評判、他の加盟店での不正事案への登場履歴、そのドメインが使い捨てかどうかといった情報は、認証前の段階で取得可能ですが、多くの加盟店はこれらを十分に活用できていません。
IP 側では、プロキシや VPN を見抜いて端末の本当のネットワーク起点を特定できれば、正確な位置情報データや、データセンター回線か住宅回線かの判別、そして有効なベロシティチェックが可能になります。
高度なクロスエンティティ速度チェック
従来のベロシティチェックは、同じカード番号の繰り返し利用だけを見ているため、認証前の段階ではうまく機能しないことがよくあります。本当に効果があるのは、クロスエンティティ・ベロシティです。たとえば、あるデバイスフィンガープリントが過去24時間で5つの異なるメールアドレスと紐づいていないか、あるIPアドレスが大量の新規アカウント作成と関連していないか、あるいは複数のカードトークンが同じデバイスに集中していないか、といった観点でチェックすることです。
トークンが変わってもパターンは見えたまま残る。それが重要なんだ。
事前認証型の不正検知は、「より少ないリソースでより多くのことをしろ」とは求めません。カード情報を使わずに得られるシグナルをどれだけうまく活用できるかが重要であり、それは多くの事後認証型の不正対策スタックが最適化されているスキルとはまったく別物なのです。
クリーンルーム方式:認証前後の検知を多層化する
事前認証検知は、従来型の不正対策ツールの代替ではなく、決済エコシステムにおけるクリーンルームの役割を果たすものです。その目的は、質が高く購入意欲の高いトラフィックだけが決済レールに到達するようにすることです。
加盟店は、認証前(プリオース)環境と認証後(ポストオース)環境のどちらか一方を選ぶ必要はありません。最も強固な防御は、この2つを重ね合わせて使うことで実現されます。認証前フィルタリングは、ボットの特定や各種識別情報の検証といった重い処理を担い、そのうえで認証後の段階が、発行者固有のオーソリデータを用いた最終的な検証ポイントとして機能します。このプロセスにより、最も負荷の高いリスクモデルは、すでに一定の信頼性が確認されたトラフィックに対してのみ適用されるようになります。
この組み合わせには明確な利点があります。コストの削減、発行会社とのより健全な関係構築、そして即時フィードバックを活用してユーザー離脱を防げることです。取引が確定する前にユーザーの意図を見極めることで、企業は顧客体験を自らコントロールできるようになります。
結論としては
事前認証段階での不正検知は、すべての加盟店にとって最適な選択とは限りません。不正発生件数が少なく、その対策にかかる運用コストに見合わないのであれば、無理に導入する必要はないでしょう。しかし、一定以上の不正率に悩まされていたり、承認率の低迷や VAMP コンプライアンスへの対応プレッシャーがあったり、あるいは不正モデルがカードに対して誤ったシグナルを出したせいで、優良顧客が取引を止められてしまい、それを補う手立てもなかった――そんな状況を経験しているのであれば、いま介入しているポイントが本当にフローの中で最適なのか、一度立ち止まって考えてみる価値があります。
データ面での制約は現実のものであり、それを補うためには相応の作業が必要です。しかし、うまく設計された事前認証(pre-auth)検知は、事後認証(post-auth)では得られない価値をもたらします。つまり、不正な支払いがネットワークに到達する前に止めることができるうえ、支払い手段がうまく機能しない場合でも、優良な顧客にはより良い代替ルートを提示できるという点です。
それは投資する価値があります。
