[米PayPal]不正決済の新手口、発見から数時間で対処

　BRMS（ビジネスルール管理システム）の特徴の一つは、プログラミングなどのスキルを持たないエンドユーザー自身が、ビジネス（業務）ルールをシステムに実装できる点にある。この利点を生かして、ビジネスの高速化を達成したのが米PayPalだ（写真1）。

写真1●米PayPal本社

[画像のクリックで拡大表示]

　同社は、不正検知の領域でBRMSを利用している。盗難されたIDやクレジットカード番号による不正な決済は、同社にとって大きなリスクの一つだった。組織的な犯罪の場合、被害金額が2〜3倍に膨らむ可能性もあるという。しかも、その手口は日々更新されるので厄介である。

　不正検知とその対処は、スピードが命だ。遅れるほど不正が蔓延し、企業のリスクは大きくなる。BRMSを活用する米PayPalでは、新しい不正決済の手法が報告されてから、数時間でビジネスルールを実装しているという。BRMS導入前は、2〜3週間を要していた。

1日に1億件の取引を監視

　BRMSによる不正検知の仕組みは次のとおりだ。まず、不正と推測される取引パターンなどをビジネスルールとして定義し、自動で防御する仕組みを構築しておく。例えば、同一のアカウントにも関わらず、普段とは異なるIPアドレスを使っていたり、ブラウザーの言語がユーザーが登録している言語とは違っていたりすると不正が疑われる。

　こうした条件を五つほど組み合わせて、不正検知のためのビジネスルールを定義しており、合計で数千に上るという。これらのビジネスルールが、1日に2000万件にも上る決済取引で不正がないかに対して目を光らせているわけだ。ビジネスルールの定義とBRMSへの実装は、リスク管理部門の担当者が担う。

　しかし、数多くのビジネスルールを実装しておけば安心というわけではない。常に新しい不正の手法が生み出されるからだ。そこで不正検知のためのビジネスルールは常に改善・更新して、新たな手法に追随しなければならない。それも“迅速に”が原則だ。