カード会社から「不正利用の疑いのある支払いを検知しました。ご自身の利用であるかご確認ください」という確認依頼メッセージが時々届く。スパムじゃなくて。
この場合、当該決済は拒絶されていて、かつ自分の利用である旨確認ボタンを押し制限が解除されるまで他の決済も止まる。
で、実際に不正利用だったケースが一度もない。
誤検出。いわゆる偽陽性(False Positive)。第一種過誤(Type I error)という言い方もある。
※偽陽性とは統計的仮説検定において、有意差がない(「効果ない」とか「いつも通り」とか)という帰無仮説を誤って棄却してしまい、対立仮説を採択し何もないのに何かあると主張すること。
どのカード会社もこればかり。
確かに鈍感で疑わしいイベントを見逃してしまうよりは、偽陽性が増えてもいいから取りこぼしがないよう感度を高めたいのはわかる(早い話ヒトで言う「疑い深い」状態)。医療現場で言えばスクリーニングテスト向きの設定。
この場合、本人による確認が確定診断と同じ。
が、このくらい偽陽性反応ばかり見ると、感度が高いというよりはポンコツに見えて、本当に不正利用が発生した時にちゃんと検知できるのかなとその検知基準自体が気になり始める。
感度が高ければ疑わしいものは当然ひっかかるだろうと考えがちだが、ウイルスや菌の感染スクリーニング検査のように、対象(株)が特定・指定されているケースと異なり、クレジットカードの不正利用の判定材料は、せいぜいIPアドレス、クッキー、OS/ブラウザ、店舗、利用パターン(曜日、時間帯、金額)くらいしかない。
結局のところ「利用環境または消費パターンがいつもと違う」という相対的なもの。
で、毎回ひっかかる時は利用環境と店舗はいつも通りで、違いがあるとすればせいぜい少額決済が続いたとかそんな程度。
それが意味するのは、利用パターンの統計解析(の解釈または視点)がズレているということ。
偏差値で言う「2σを超えたら異常値」扱いというシンプルな設定っぽい。
確かに私は注文直後に「あっあれ忘れてた」と追加注文するような落ち着きのない利用スタイルではないので、同店舗で少額決済が続くと「いつもと違う」と判定するのは間違ってはない。
しかしこの設定では、アマゾンのように5万円分注文しても、3,000円、7,000円、1万円、3万円という具合に、商品毎に発送時に請求されるような細切れ決済でエラーが出てしまう。
だからカード持ち主の利用パターンだけ分析していてもダメ。
下手すると定期便の決済(毎月同じ店舗・金額・タイミングで自動決済)ばかりひっかかるカード会社もある(笑)。何年も使っている店舗で。一番疑わなくてもいいものなんだが。
過去いちばん笑ったのは三越伊勢丹のエムアイカード。日本赤十字への毎月の定額自動送金(寄付)が途中で不正利用判定されて決済拒否された(笑)。
この決済(利用先・金額)だけ「本人確認済み」ということで次回以降スルーパスという他社だとできる設定ができないらしく、かつ何かのセキュリティに引っかかっているらしく「カードの再発行をオススメする=番号が変わる」と言われ、それで決済カードを他社に変更した。
第三者が他人のカードを不正利用し赤十字を支援するケースがどのくらいあるというのか(笑)。
これじゃ安心して月額利用料も支払えない。
この誤検知・偽陽性を防犯システムで例えると、家の住人が帰ってくる度にいちいちエラー判定し警報音を鳴らしてドアが開かないという状態(笑)。
しかし「セキュリティ」という高尚な名の下に、誤検知・偽陽性という一般商品で言えば不良品呼ばわりされる品質のサービスがまかり通る時代になってしまった。
AI判定も学習期間は誤検知が多い。
そのうち「AIが学習中ですので購入後しばらく我慢してください」がデフォルトという時代が来そう。
