2026年不正対策レポート
揺らぐ不正の境界線
本レポートについて
本レポートでは、2026年の不正対策戦略を定義する5つのテーマを概説します。
システム化した不正利用:自動化により、不正利用は継続的な「テスト・アンド・ラーン」のサイクルへと進化しました。不正の手口はリアルタイムで改良・拡大され、成功した手口は瞬時に他の環境や標的へと展開されます。
優良顧客によるポリシーの悪用:本人による不正利用(フレンドリー詐欺)やポリシーの悪用が、正規のカスタマージャーニーの中で巧妙に行われています。加盟店はアイデンティティを検証するだけでなく、その顧客の意図を理解する必要があります。
成長を牽引する精度:不正防止にかかるコストは、単なる損失補填額ではなく、失われた「LTV(顧客生涯価値)」で測定されるようになってきています。誤拒否、手動審査コストの増大、一律の統制は、事業成長を阻害する要因となります。
静的な指標ではないアイデンティティ:特定の時点だけを切り取った検証では、もはや十分ではありません。信頼は、セッション、デバイス、環境をまたいだ行動履歴や継続的な承認を通じて、時間をかけて形成されるものです。
トランザクションの枠を超えた信頼:AIエージェントが顧客に代わって行動するようになるにつれ、不正対策は決済時ではなく、決済に至る前の行動を管理するシステムから開始されなければなりません。
第1章から第3章では、これらの変化の性質と規模を明らかにします。第4章および第5章では、先進的な企業がどのような対策を講じているか、また、どの領域に重点的に取り組むことで高い効果が得られるのかを整理します。
現在、競争優位を築いているのは、最も「厳格な」不正対策をしている企業ではなく、最も「精緻な」不正対策をしている企業です。
序文
不正利用の高度化によって、従来の本人確認だけでは、正規顧客と攻撃者を十分に見分けられなくなっています。不正利用そのものは以前から存在していましたが、不正が潜む場所や、その手口は大きく変化しています。
過去10年間の大半において、リスク管理チームの運用モデルは、「通常とは異なる挙動を検知する」という比較的シンプルなものでした。新しいデバイス、通常と異なる場所、一致しない認証情報などがその対象でした。このシグナルは、従来の不正の手口に対しては、依然として有効です。しかし、現在急増している不正利用の多くは、こうしたシグナルを一切発しません。それらは、認証済みのアカウント、認識済みのデバイス、そしてあらゆるチェックポイントをクリアする正規の行動を装って行われるからです。
Adyenは、世界最大級のコマース環境における決済処理を行っています。その膨大なデータから読み取れるのは、不正リスクの性質そのものが変化しているという事実です。今日の不正利用は高度に自動化・高速化されており、多くの場合、単一のトランザクションを見るだけでは正規の顧客行動と区別がつきません。時間軸とコンテキストの両方を俯瞰して初めて、その実態が明らかになるのです。
リスク管理チームは今、判断の誤りが事業に直接的な影響を与えるという、これまでとは異なる種類の課題に直面しています。この課題は、単に統制を強化するだけでは解決できません。なぜなら、統制そのものが悪用の標的になっているからです。
今求められているのは、アイデンティティとリスクが常に変化し続ける存在であることを前提にした新しいアプローチです。アイデンティティは、一度の認証で固定的に判断するものではなく、時間とともに変化する動的なシグナルとして継続的に評価する必要があります。同様に、本来承認されるべき取引を拒否してしまう誤検知は単なる運用上の不備ではなく、ビジネスにおける実質的なコストであることを理解する必要があります。その影響は、不正利用による損失と同等に受け止められるべきものです。
本レポートでは、こうした変化が実際にどのように進行しているのかを整理します。不正検知が困難になっている領域、従来の防御策が通用しなくなっている理由、そして優れたリスク管理を行っている組織が実践している独自の取り組みについて詳述します。後半では、変化し続けるリスクを前提としたこのアプローチを、どのようにインフラや戦略へ反映していくべきか詳しく掘り下げていきます。
この激変する環境で優位に立つ企業は、最も厳しい統制を敷いている企業ではありません。どこで、どのように統制を適用すべきか、より「意図的かつ精密な判断」を下している企業です。
この環境でリードする企業は、最も厳格なコントロールを持つ企業ではありません。コントロールをどこで、どのように適用するかについて、より意図的な判断を下している企業です。
第1章:不正利用の新たな姿
不正利用そのものは、決して新しい問題ではありません。しかし、現在の不正は、単一時点だけでは判別できないものになっています。
今日の不正利用の多くは、決済の時点では極めて正当なものに見えます。例えば、認識済みのデバイスを使用する既存顧客のように振る舞うケースです。こうした不正の多くは、複数のアカウントや継続的なインタラクションを時間軸で横断して初めて明らかになります。
不正利用の「テスト・アンド・ラーン」時代
現代の不正利用は、継続的なテスト・アンド・ラーンのサイクルの中で展開されており、リアルタイムで改良・拡大されています。効果的な不正の手口は繰り返され、効果のないものは即座に切り捨てられます。
攻撃者は単一のアプローチを試すのではなく、数千ものバリエーションを同時に実行します。アイデンティティの属性情報、決済手段、チェックアウトの速度、あるいは取引金額などを微調整しながら、どのような操作がセキュリティを突破できるかを検証しています。
自動化によってこれらの攻撃は絶え間なく繰り返され、成功した手口をリアルタイムで最適化しながら適用し続けます。オーソリ(承認)の結果や拒否、その後の行動といったあらゆる結果がフィードバックとなり、企業の不正対策を潜り抜けるまで、次の攻撃へと反映されていきます。
自動化やAIは、これらの不正パターンを新たに生み出しているわけではありません。不正の実行速度を加速させ、再現性を向上させ、より大規模な展開を可能にしています。また、自動化とAIは、不正利用の振る舞い自体を変えつつあります。AIの進化により、攻撃者はディープフェイクや偽造書類、その他の巧妙な手口を用いて合成アイデンティティを強化し、標準的な本人確認を回避できるようになっています。
不正利用はあらゆる企業に影響を与える
こうした攻撃の自動化と大規模化が容易になったことで、攻撃者のターゲットはもはや大手プラットフォームだけに留まりません。業種・地域・企業規模を問わず、あらゆる事業者が、同じ攻撃のプレイブックにさらされる可能性があります。攻撃者は、ブランドロイヤルティや競合関係などを意識して行動しているわけではありません。ある企業で脆弱性を発見すれば、その手口は即座に他社にもテストされ悪用されます。
実務レベルでは、これは同じ不正パターンが複数の環境で同時発生することを意味します。あるプラットフォームでカード番号をテストするスクリプトは、別のプラットフォームでも再利用されます。新規特典の使い回しは多くのブランドで繰り返され、一度認証されたアイデンティティは、通用しなくなるまで繰り返し使われます。これは従来の不正手口と似ているように見えるかもしれません。しかし、決定的に異なるのは、その拡散スピードと適応力です。成功した手口は、極めて短期間で再利用・展開されていきます。
こうしたパターンは、加盟店、チャネル、業界を横断して発生するため、より大規模で質の高いデータにアクセスできる企業ほど、不正をより早期かつ先回りして検知・防止しやすくなります。
分散化する不正利用
不正利用は、自動化によって大規模化が容易になったことで、少数の高額取引に集中するのではなく、低額取引にも広く拡大しています。
この変化によって、不正検知システムに求められる要件も変わりつつあります。従来のように単発的な高リスク事象を想定して構築された制御システムでは、絶え間なく発生する大量の攻撃に対応しきれません。システムが処理すべき件数が膨れ上がると同時に、正規の行動と不正行為の境界線がますます曖昧になっています。
その影響は、単なる不正による損失に留まりません。手動審査コストの増加、誤検知による正規顧客の拒否、そして収益機会の喪失といった形で影響を及ぼしています。
誤拒否がもたらす本当の代償
調査対象加盟店の70%近くが、不正利用や悪用が収益拡大の妨げになると考えています。また、半数以上の企業が手動審査コストの上昇を報告しています。
不正対策におけるすべての意思決定は、トレードオフを伴います。統制が緩すぎれば不正を許し、逆に統制を厳しくしすぎれば、購入意欲のある正規顧客まで排除してしまいます。
企業の50%が誤拒否の増加を報告しており、慎重になりすぎることの代償が顕在化しています。正当な取引がブロックされることで、顧客体験は悪化し、本来は得られるはずの収益が失われています。
取引量が増大するにつれ、これらの誤拒否の影響は複利的に蓄積され、不正利用という問題が事業成長を阻害する継続的な重荷となります。
事例:世界的スポーツウェア小売企業が発見した「目の前に潜んでいた不正」
2025年8月、ある世界的スポーツウェア小売企業では、ギフトカードの有効化が1,000%以上急増し、過去最高の月間実績を記録したかのように見えました。しかし実際には、この企業は組織的な不正攻撃を受けていました。数千もの自動ボットが正規顧客を装ってギフトカードの番号を大規模にテストし、残高を使い果たしていたのです。攻撃を封じ込めるまでに、損失額は75万米ドルを超えました。
この小売企業の不正検知システムは、オーソリ(承認)が下りた後にのみトランザクションにフラグを立てる仕組みだったため「不正による収益損失」と「すべての不正取引に対して発生した決済処理手数料」の二重の打撃を受けました。
その後、同社は不正検知モデルを「承認後」から「承認前」へ移行することで、不審なトラフィックを削減し、精査すべき対象を絞り込むことに成功しました。
不審なトラフィックが減少したことで、明確なパターンが浮かび上がりました。それは、複数の取引において、旧型のiPhoneモデルに関連する同一のデバイスシグナルが繰り返し現れているというものでした。この特定パターンに対するピンポイントのルールを適用することで、攻撃を1週間以内に終息させることができました。
第2章:正規顧客に潜む、見えない意図
不正利用は、もはや未認証アカウントによるものだけではありません。今や、正規顧客や正当な取引に見える行動に紛れて行われています。
長年にわたり不正検知は、実在の人物か、または本人が名乗っている通りの人物かといった限定的な問いに焦点を当ててきました。これらの問いは今なお重要ですが、もはやそれだけでは十分ではありません。
課題は、特定の時点での静的なアイデンティティ検証に留まらず、顧客のライフサイクル全体を通じて展開される「行動」を理解することにあります。
同じアカウントやデバイスでも、ある時点では正規顧客でありながら、次の瞬間には不正・不適切な行動へ転じる可能性があります。これは、実在の顧客に紐づいているにもかかわらず、新規登録特典を不正取得する目的で作成された新規アカウントや、後で虚偽の口実で返品される正当な購入などが該当します。
不正は偶然、正規の行動に紛れ込んだのではない。優良顧客として現れるのが、現在の不正の戦略です。
正当な利用に見える不正の増加
こうした変化は、現在企業が直面している不正利用の種類に顕著に表れています。
今回の調査では、企業の44.3%が「フレンドリー詐欺」を報告しています。これは、顧客が正当な購入をした後、商品未着や欠陥、身に覚えのない請求などを理由に、銀行を通じてディスピュート(異議申立て)を行う、最も一般的な悪用形態の一つです。
これに続くのが企業の42.2%が報告している「アカウントの偽造やアイデンティティの盗難」です。これはキャンペーン特典の繰り返し利用や、特定顧客向けオファーへの不正アクセスに利用されます。
さらに、「ポリシーやキャンペーンの悪用」も39.8%と僅差で続いています。これには、商品の連続返品、ワードロービング(一度だけ着用した衣類の返品)、無料トライアルの繰り返し利用、ポイントの不正取得、割引の不正併用などが含まれます。フレンドリー詐欺は今や一般化しており、こうした悪用の多くは、アカウントの乗っ取りではなく、正規顧客によって行われています。そのため、システム上は、こうした行動の多くが正常な取引に見えてしまうのです。不正アクセスや不正な決済情報を特定するために設計された従来の不正検知システムでは、こうした行動を正当な取引として通してしまいます。
正当な利用に見える不正の増加
こうした変化は、現在企業が直面している不正利用の種類に顕著に表れています。
今回の調査では、企業の 44.3% が「フレンドリー詐欺(本人による不正利用)」を報告しています。これは、顧客が正当な購入をした後、商品未着や欠陥、身に覚えのない請求などを理由に、銀行を通じてディスピュート(異議申立て)を行う、最も一般的な悪用形態の一つです。
これに続くのが企業の42.2%が報告している「アカウントの偽造やアイデンティティの悪用」です。これはキャンペーン特典の繰り返し利用、活動の意図的な分散、または特定顧客向けオファーへの不正アクセスといった手口で行われます。
さらに、「ポリシーやキャンペーンの悪用」も 39.8% と僅差で続いています。これには、商品の連続返品、ワードロービング(一度だけ着用した衣類の返品)、無料トライアルの繰り返し利用、ポイントの不正取得、本来の想定を超えた割引の不正併用などが含まれます。
フレンドリー詐欺は今や一般化しており、こうした悪用のいずれもが、アカウントの乗っ取りではなく、正規のアイデンティティを持つ顧客によって行われています。そのため、システム上は、こうした行動の多くが正常な取引に見えてしまいます。不正アクセスや不正な決済情報を特定するために設計された従来の不正検知システムでは、こうした行動を正当な取引として通してしまいます。
課題は、こうしたユーザーを特定することだけにとどまりません。悪用が繰り返されることを防ぐこと、それこそが本質的な問いです。
防御の隙を突く不正
これまで不正利用は、防御が最も弱い場所へと移動してきました。例えば、磁気ストライプカードが主流だった時代には、物理カードの偽造を中心とした不正が、防御の比較的弱かったEコマース(オンライン決済)へと移行しました。現在では、オンライン上の防御が高度化したことで、攻撃者は実店舗における隙を突くよう適応し、不正利用は再び実店舗へと戻りつつあります。実店舗では、取得できるデジタルシグナルが限られ、管理体制も比較的手薄であることから、不正を検知する難易度が高まっています。 こうした動きによって、POS(販売時点情報管理)における返金悪用のような問題が、新たな不正リスクとして表面化しています。
新たな不正の手口:購入履歴のないデジタルウォレットへの返金
2025年後半以降、米国の小売企業では、POSでの「元取引を参照しない返金処理」を悪用した不正パターンが広がり始めました。
攻撃者は返品プロセスの不備を突き、返金を直接デジタルウォレットに送金させます。通常、返金は元の購入取引に紐づけられるべきですが、このフローを回避することで、実際には購入していない商品の代金を不正に受け取るのです。一度精算されると、その資金の回収は極めて困難になります。
こうした事象は複数の店舗で繰り返され、柔軟な返品ポリシーを持つ環境で発生しやすく、1件あたりの損失額は1万米ドルから9万米ドルに及びます。この手口の特徴は「正当に見せる」ことにあります。攻撃者は混雑時に店員に接触し、なりすましや偽造した取引詳細を用いて、標準プロトコル外での返品を強行させます。
ここでの脆弱性はシステムだけでなく、現場での運用にもあります。店舗レベルの権限設定により、十分な検証や承認フローを経ずに未照合の返品が許可されてしまうこと、また、シームレスな顧客体験を重視するあまり、不審な要求に異を唱えにくい心理状況が背景にあります。
これらの攻撃は、決済以前の段階に脆弱性が存在することを示しています。多くの場合、混雑時などの負荷が高い状況で、返品ワークフローがどのように運用されているかが、不正防止の成否を左右しています。
リスクを低減するには、未照合の返品に関する厳格な権限設定や、承認ワークフローの明確化、不審な行動を特定するための継続的なスタッフ教育など、店舗レベルの統制強化が不可欠です。同時に、パターンを迅速に特定し、事象をエスカレーションして損失が拡大する前に封じ込めることができる決済パートナーとの連携も極めて重要です。
正当化される不正行為
すべての不正が悪意から始まるわけではありません。多くの場合、きっかけは企業側が提供するインセンティブにあります。
新規顧客向けの割引が複数回の新規登録を促し、寛容な返品ポリシーが不正のハードルを下げ、本来一度きりの特典であるはずの無料トライアルが繰り返し利用の対象となります。かつては例外的な事象にすぎなかった不正が、時間の経過とともに市場全体へ浸透し、常態化していくのです。
オンラインコミュニティでは、キャンペーンの最大活用法から返品を承認させるコツまで、システムを「攻略」する方法が公然と共有されています。かつては不正と見なされていた行為が、今では「抜け道」や「ハック」、あるいは「賢い買い物術」として正当化されています。自身を攻撃者だと思っていない顧客であっても、結果として企業に損失をもたらす行動をとってしまう可能性があるのです。
こうしたグレーゾーンの存在によって、不正の定義が曖昧になり、対策は一層複雑化しています。
課題はシグナルの欠如ではありません。多くの場合、個別のトランザクションレベルでは不審な点は見当たりません。そのパターンは、繰り返されて初めて浮かび上がります。
複数のアカウントを利用したプロモーション特典の大量取得
複数のアイデンティティによる無料トライアルの反復利用
返品ポリシーの適用基準直前で繰り返される返品
検知を避けるための取引の意図的な分散
ギフトカードの不正利用
ケーススタディ:無料トライアル悪用の排除による、継続課金の確保
2025年初頭、あるグローバルソフトウェア企業では、無料トライアルの不正利用が増加していました。顧客は最初から継続する意思を持たず、無効なカードや決済能力のないカード情報を使用してトライアルに登録し、最初の課金サイクルで初めて決済エラー(料金未回収)が発覚するという問題です。
つまり、問題の本質は更新時にあったのではなく、登録時にすでに始まっていたのです。
この対策として、同社はAdyenと協力し、検証プロセスのタイミングを顧客ライフサイクルの早期へと移行しました。カード番号の有無を確認するだけの基本的なチェックではなく、無料トライアル登録時点で、決済手段そのものの有効性を事前検証する仕組みを導入したのです。
このアプローチにより、トライアル期間中に課金を行うことなく、課金開始時にその支払い手段がサブスクリプション料金を支払える状態にあるかを評価することが可能になりました。その結果、無効なカードや残高不足、高リスクな決済手段をアクセス付与前の段階で排除できるようになりました。同時に、正規顧客に影響を与えることなく、シームレスな登録体験も維持しています。
この移行により、不要なフリクションを加えることなく統制を強化できました。初期段階で登録者の質が向上したことで、サブスクリプション全体の健全性が向上しました。
質の高い層を確保できたことで、その後のコンバージョン率や継続率も改善し、収益の予測可能性が高まりました。
アイデンティティの検証から、意図の検証へ
従来の不正検知システムは、アイデンティティと決済手段の紐付けを軸に構築されてきました。これは、認証情報の検証や本人確認を行い、既知のシグナルに基づいてその取引が正当である可能性を評価します。しかし、同一のアイデンティティが正当な利用にも悪用にも使われる現在、それらのシグナルだけでは十分な判断材料になりません。
今、問われているのは本人かどうかだけではありません。この行動は、長期的に見て正当な利用形態と一致しているかという、「意図」の見極めです。
第3章:精度が成長を左右する
不正利用の判別が困難になるにつれ、誤った判断がもたらす代償は、直接的な損失額を上回る可能性があります。 現在、リスク全体の大部分が、ごく一部のアイデンティティ(アカウント)によって引き起こされています。しかし、それらを阻止するための統制は、あまりにも広範囲に適用されすぎています。少数の悪用を防ごうとするあまり、企業はすべての顧客に影響を与えるフリクション(摩擦)を生じさせているのです。
不正利用の真のコストは、検知をすり抜けた直接損害だけでなく、本来通すべき正当な取引をブロックしてしまった損失にも表れます。Adyenプラットフォームデータによると、静的な統制によって、正規顧客の最大10%が誤ってブロックされています。
誤拒否、不必要なフリクション、そして増大する手動審査コストは副次的な問題ではありません。いずれも不正対策が収益に与える影響の本質的な問題となっています。
これまでの不正対策の多くは、損失の最小化を目的に構築されてきました。しかし、そのモデルは今や時代遅れと言わざるを得ません。
不正管理とは、最終的に「企業がどれだけの正当な収益を獲得できるか」を決定する一連の商業的判断である、という理解が広まっています。 いまや問うべきは、どれだけの不正を許容するかではありません。不正を止めようとするあまり、どれだけの正当な売上を失うことを許容するのかが問われています。
より精密な統制の必要性
不正の増加に伴い、ルールの追加、本人確認ステップの増設、手動審査の強化、規制の厳格化など、統制を強めることが当然の対応に思えるかもしれません。しかし、これらはすべてコストとフリクションを増大させます。
この影響はすでにデータに表れています。MRC(Merchant Risk Council)の調査によると、運用コストの最小化を最優先事項に掲げる加盟店の割合は、2024年のわずか10%から、2025年には29%へと急増しています。 また、Adyen加盟店調査では、企業の58%が手動審査コストの上昇を経験しており、50%が誤拒否の増加を報告しています。追加された統制が静的なシグナルに依存している場合、最大10%の正規顧客がブロックされることになります。
ここには企業が認識しているリスクと現実の乖離があります。一部の悪質なアイデンティティから自社を守ろうとするあまり、企業は自らコストとフリクションを増やしているのです。誤拒否は、その瞬間のコンバージョンを妨げるだけでなく、顧客の信頼や将来の購買意欲を損ないます。それは、LTV(顧客生涯価値)が高い優良顧客に対して自ら税金を課しているようなものなのです。
インサイト:精度を欠いた規制厳格化の代償
アパレルおよびラグジュアリー業界では、2025年に返金率を21〜25%削減しましたが、ディスピュート(異議申立て)の増加は見られませんでした。交換やストアクレジットといった代替の解決策を提示することで、マージンを保護しつつ顧客の信頼を維持できたためです。 一方で、マッチングアプリ業界では対照的な結果となりました。返金率を38%削減したところ、チャージバック件数が66%急増したのです。適切な解決策が提示されない場合、顧客は最終手段としてディスピュートを選択します。
規制の厳格化は悪用を減らすことができますが、明確な代替案がなければ正規顧客の信頼を損ない、チャージバックという選択肢しか残らなくなってしまいます。
出典:Adyenプラットフォームデータ
トレードオフの常態化
多くの企業にとって、不正管理とは一連の「妥協」の積み重ねです。Adyen加盟店調査では、97%の企業が過去1年間に不正対策に関連して少なくとも1つのトレードオフを経験しています。
正しい不正対策戦略とは何か?
最もよく受ける質問は「結局、何が正しい不正対策戦略なのか」というものです。
多くの企業が期待するような明確な答えではありませんが、それは企業によって異なります。不正対策は単なる規制対応ではなく、リスク・フリクション・コスト、そして成長の間に存在する複雑なトレードオフが伴います。最適なアプローチはビジネスモデルによって異なります。検討すべき主な観点は以下の通りです。
利益率の構造:利益率の高いビジネスでは、コンバージョンを守るためにある程度のリスクを許容できます。逆に利益率の低いビジネスでは、厳格な統制が必要ですが、広範囲なフリクションや手動審査のコストを負担する余裕は限られます。 成長戦略の優先度:新規顧客獲得に注力する企業と、顧客維持やLTVを最適化する企業では、下すべき判断が異なります。不正対策戦略もそれに合わせて変化させる必要があります。 顧客ポートフォリオ:すべての顧客が同じ価値やリスクを持っているわけではありません。初回購入者とLTVの高いリピーターに対して同一の統制を適用することが、多くの戦略が破綻する原因となります。 問題が生じるのは、特定の状況を前提に設計された戦略を、すべての市場、セグメント、顧客ライフサイクルに一律に適用してしまう場合です。その結果、承認率の低下、手動審査の増加、そして本来優遇すべき顧客への不要なフリクションといった、見えにくいコストが蓄積していきます。
重要なのは、リスクを完全になくすことではありません。価値を生み出す領域と損なう領域を見極めながら、リスクとフリクションを適切に調整することです。
実務におけるアプローチ
こうしたトレードオフを適切に管理するためには、次の3つの要素が不可欠です。
リアルタイムで適応する不正検知システム:リスクが最も高い場所にピンポイントで保護を適用する場合であれ、トランザクションをより正確にスコアリングする場合であれ、リアルタイムで適応できる不正対策のためのツールが必要です。一律の静的なルールでは、急速に進化する不正の手口に追いつくことはできません。
高度な判断を行う人材:リスク管理は一つのチームだけで行うより、連携して行うことで精度が向上します。専門家の知見、インサイトの共有、継続的な最適化プロセスが組み合わさることで、実務レベルで機能する戦略となります。 業界横断のネットワーク:不正のパターンは一社に留まるのではなく、拡散されながら再利用されていきます。常に先手を打ち続けるための最も確実な方法は、シグナルの共有、業界の知見、そしてネットワーク全体でトレンドがどのように変化しているかを把握することです。
不正対策から成長戦略へ
不正対策は、もはや画一的な手法では機能しません。
広範囲に画一的な統制を適用すれば、コストの増大、コンバージョンの低下、そして顧客の信頼を損ないます。一方で、精密な統制は、承認率の向上、不必要なフリクションの削減、そして長期的な顧客価値の保護を実現する成長ドライバーとなります。重要なのは、個々のトランザクションに単に対応するのではなく、その背後にあるパターンを見極めることです。 問われているのは、もはやリスクを特定することではありません。企業の成長を阻むことなく、粗利益を確実に保護するために、最適化されたフリクションをいかに高い精度で統制できるか。そうした戦略のシフトこそが、今まさに求められているのです。
問われているのは、もはやリスクを特定することではありません。企業の成長を阻むことなく、粗利益を確実に保護するために、最適化されたフリクションをいかに高い精度で統制できるか。そうした戦略のシフトこそが、今まさに求められているのです。
第4章:インフラとしての「動的アイデンティティ」
従来のアイデンティティ検証で、正規顧客と攻撃者を見分けられなくなった今、企業は何を基準に判断すべきなのでしょうか。
前章までで述べた通り、現在の不正利用は、検証済みのアカウント、認識済みのデバイス、あらゆるチェックポイントを通過する正規顧客によるリスクが急速に増大しています。
この変化により、正規顧客と攻撃者を見分けることは、これまで以上に難しくなっています。 その解決策は、認証を強化することではありません。アイデンティティとは、もはや「一度確認すれば済む認証情報」ではないのです。重要なのは、単一時点で検証することではなく、顧客ライフサイクル全体の行動を通じて継続的に評価する「動的アイデンティティ」として捉えることです。
「検証」から「認識」へ
「検証(Verification)」は、ある特定の瞬間に「この人物は自称している本人か」という二者択一の問いに答えるものです。 対して「認識(Recognition)」は、時間の経過とともに蓄積される行動パターンから、「この行動は、信頼できる顧客のパターンに合致するか」を見極めるものです。
この2つの違いが重要なのは、攻撃者がすでに「検証」をすり抜ける術を学んでしまっているからです。しかし、「認識」に必要となる、一貫した行動履歴を再現することは容易ではありません。 リピーターが、認識済みのデバイスで通常通りの金額範囲で購入する場合、フリクションは最小限に抑えられます。しかし、アイデンティティ自体は同じでも、返品回数が異常に増えたり、キャンペーンを使い回したり、複数のアカウントにまたがって行動が分散されたりすれば、そこに潜む「意図の変化」が浮き彫りになります。
信頼性は、一度の確認で確立されるものではなく、継続的な行動を通じて評価され、築かれていくものです。
インサイト:フリクションによる損失を上回る、高度な認証の成果
こうした「認識」をベースとした動的アイデンティティの有効性は、実際に導入が進んでいる市場で特に顕著に表れています。
2024年から2025年にかけて、アジア太平洋地域では、世界で最も大きな不正対策の負荷に直面していました。約70%が手動審査コストの上昇を、60%が誤拒否の増加を報告しており、さらに3社に1社は、不正防止と正規顧客の承認率維持のトレードオフに課題を抱えていると回答しています。
一方で、アジア太平洋地域でも、日本、オーストラリア、シンガポールなど、高度な本人認証の導入が進んでいる市場では、異なる傾向が見られました。承認率は最大99.57%に達し、前年比で平均17ベーシスポイント上昇しました。同時に、これら3つの市場すべてにおいて、チャージバック率は一貫して低下しています。
出典:Adyen加盟店調査およびAdyenプラットフォームデータ
大規模ネットワークで機能する信頼
アイデンティティの信頼性は、加盟店横断のデータネットワークを通じて複利的に高まります。 自社のサービス内における顧客行動を基に、一定の行動パターン(コンテキスト)を蓄積することは可能ですが、複数の加盟店やデバイスを横断してシグナルを活用するネットワークレベルの「認識」は、初回接点の段階から、より高精度で迅速な判断を可能にします。
Adyenのグローバルネットワーク全体において、特定のアイデンティティ(顧客データ)が、過去の取引、他の加盟店、資金の払い出し、あるいはカード発行などの履歴にすでに登場している確率は84%にのぼります。これは、自社にとっては新規顧客であっても初回接点から、その背景にある行動履歴を把握できるということを意味します。すでに他の環境で信頼性の高い行動履歴を示している顧客であれば、企業は初期段階からより高い確信を持って判断でき、不必要なフリクションを減らすことができます。
プロダクトハイライト:「Protect」が変える不正対策の未来
従来の不正対策は、リスクが可視化された後に、不正な取引をブロックすることに注力していました。しかし、現代の不正は、プロモーション、ゲストチェックアウト、アカウント新規作成、返品、そしてストアドバリューカード(事前にチャージされたカード)といった、決済周辺のシステムを悪用する方向へと広がっています。
より効果的なアプローチは、リスクに関連する判断のタイミングをより早期へと移動させることです。アイデンティティの継続性、加盟店横断での認識、事前承認段階のリスクシグナルを組み合わせることで、企業はチェックアウト時のフリクションや承認手数料、あるいはその後に発生する損失(チャージバックなど)が発生する前に、信頼できる行動と不正利用を見分けられるようになります。 このアプローチがもたらすメリットは、単に承認率の向上や不正損失の低減に留まりません。利益率、成長フェーズ、カスタマージャーニーに応じてリスク許容度の主導権をビジネス側が握れるようになることです。これにより、誤拒否の削減、不要な手動審査の最小化、ビジネスの優先順位に合わせたリスク許容度の調整、そして顧客ライフサイクルの早期段階での悪用パターンの察知が可能になります。
不正対策において最も難しいのは、高い決済承認率を維持しながら、不正防止の精度を上げることです。従来、不正検知を強化すればするほど、正規顧客までブロックしてしまう傾向があったため、この2つはトレードオフの関係にありました。 しかし2025年、Adyenの標準リスクエンジン「Protect」を利用した加盟店では、以下の成果が確認されています。
不正検知件数が前年比16%増:前年より多くの不正を検知。
誤検知率が前年比33%減少:不正検知を強化しながら、正規顧客の誤拒否を削減。
承認率維持効果が2倍:Protect未導入の加盟店と比較して、承認率の維持効果が2倍に向上。
コマースの自動化が加速する中で、重要なのは、意思決定を不透明なブラックボックス(AI)に委ねることではありません。むしろ、不正対策をより上流工程へ移しながらも、最終的な判断と主導権を企業側が維持することです。
第5章:顧客が「AIエージェント」になる時代
これまで、不正対策は主に2つの根本的な課題に焦点を当ててきました。一つは、行動シグナルなどを通じて正規顧客と攻撃者を識別すること。もう一つは、決済を行おうとしている人物に、その権限があるか(本人か)を確認する「権限の認証」です。
しかし、エージェンティックコマースでは、新たに「エージェント」という第三の主体が加わります。これにより、従来の課題はさらに複雑化し、まったく新しい問題も生まれます。今後、企業は以下の対応を迫られることになります。
正規のエージェントと、悪意のあるエージェントを識別する
エージェントが顧客本人の代理として行動する正当な権限を持っているかを検証する
エージェントが顧客の意図に基づいて動作しているかを保証する
特に最後の「意図」は、これまでにない全く新しい概念です。たとえ顧客本人から認証された正規のエージェントであっても、独自の最適化アルゴリズムや、外部からの誘導、インセンティブの不一致によって、顧客の期待とは異なる振る舞いをする可能性があるからです。
見分けがつかないという新たな問題
この変化により、エージェンティックコマースにおける不正は単に既存の手口が高速化したのではなく、新たな性質を持つ課題となっています。ここでのリスクは、「悪意のある者がエージェントを使うことだけではありません。決済の瞬間に、「信頼できる正規のエージェント」と「悪質なエージェント」の区別が事実上不可能であり、現在のシステムがそれらを見分けるようには設計されていないという点にあります。
エージェンティックコマースは、今後5年以内に決済ボリュームの相当な割合を占めると予想されていますが、その影響度とリスクの現れ方は業界ごとに異なります。
進化する不正パターン:AIエージェントによるプロモーション悪用
AI搭載ショッピングエージェントの高度化に伴い、自動化システムは企業が対応するよりも速いスピードで、プロモーションや在庫公開タイミングを悪用できるようになっています。
典型的なケースでは、エージェントが価格環境を常時監視し、条件が整うと一括購入を実行します。割引、ロイヤルティ特典、決済インセンティブなどを、本来想定されていない形で組み合わせて利用するのです。 個々の取引自体は正当であり、単体ではルール違反を示す明確なシグナルも存在しません。しかし、それらが組み合わさることで、システム全体の隙を突いた構造的な悪用へと発展します。
この手口の派生形として、在庫が限られた新商品を狙ったケースもあります。エージェントが発売直後に大量の在庫を瞬時に確保し、一般顧客や既存の保護施策を上回るスピードで購入を完了させます。一見すると販売成功のように見えても、実際には自動化されたAIによる「買い占め」である可能性があります。
従来のボット攻撃とは異なり、これらのパターンは、実際の購入履歴を持つ正当なアカウントを通じて実行されるため、盗まれた認証情報や合成アイデンティティを必要としません。
エージェンティックコマースは、新しい不正の手口を生み出すわけではありません。企業がすでに抑制に苦慮している、グレーゾーンを突くようなリスクを、圧倒的なスピードで組織的なものにしてしまうのです。
上流工程への移行(アップストリーム)
エージェンティックコマースの時代において、チェックアウト時に不正対策を適用するだけでは不十分です。エージェントがチェックアウト画面に到達する頃には、すでに多くの意思決定が完了しており、その多くは加盟店からは可視化も統制もできない外部システム(AIの内部)で実行されています。その結果、チャージバック、返品の悪用、プロモーションの悪用、そして技術的には有効であっても顧客の意図と一致しない取引にさらされるリスクが高まります。
信頼の構築は決済の瞬間だけでなく、システム、プロトコル、システム全体を横断して、より早い段階で構築される必要があります。
インテリジェンス、識別、そして認証
これらの課題は現在も進化の途上にありますが、いくつかの明確な対応策が見えてきています。
行動インテリジェンス 不正検知システムは、人間の行動だけでなく「エージェント特有の行動パターン」を認識できるように適応する必要があります。具体的には、エージェントによるインタラクションの特徴を学習し、取引ライフサイクルのより早い段階でシグナルを取得するとともに、加盟店、決済ネットワーク、カード発行会社、AIプラットフォーム間でのデータ共有を強化していく必要があります。 エージェント識別 今後より一層重要となるのは、信頼できるエージェントとそうでないものを区別する能力です。これには、決済ネットワークや金融機関との連携、AIエージェントのアイデンティティおよびレピュテーションを管理する共通フレームワークやレジストリの整備、さらにエージェントの出所や信頼性を示す標準化されたシグナルの整備が必要になると考えられます。 認証と委任 既存の本人認証システムは、代理購入というコマースの形を想定して設計されていません。現在、エージェントベースの承認をサポートするために、現行のプロトコルを拡張する取り組みが進められています。同意と権限委譲をいかに取得・検証し、新たな取引パターンを業界標準や規制枠組みと適合させるかが焦点となっています。
信頼はより早い段階で構築される必要がある
Adyen加盟店調査のデータによると、多くの加盟店が「AIプラットフォームによる信頼スコアリング」をすでに重要視しています。単に「誰が取引しているか」だけでなく、「どのシステムが、誰に代わって動いているのか」「その権限委譲は明示的に承認されているか」を評価する能力が求められています。
先見性のある企業は、リスク管理をチェックアウト時のチェックポイントとしてではなく、継続的な統制として捉え始めています。この変化の中で優位性を確保できるのは、「アイデンティティの認識」「権限の委託」、そして「購入の意図」の3つをそれぞれ個別にモデル化(分析)し、それらをエージェントが関与する以前の段階で統合できる企業です。
結論
不正の手口は根本的に変化しました。2026年において、最大のリスクは、システム外部からの攻撃ではなく、正規顧客向けに構築されたシステム内部や、一見正当な利用に見える行動として現れています。この変化により、従来の統制は効果を失い、広範囲に課されるフリクションのコストは増大しています。
重要なのは、防御策を増やすことではなく、その精度を高めることです。カスタマージャーニーのより早い段階で、動的なアイデンティティ、行動履歴、そしてコンテキストをもとに、正規顧客と不正リスクを見極めなければなりません。
その結果、不正管理は単なる守りの機能を超えた存在になります。どこで、どのように正規顧客を信頼すべきかをより的確に見極めながら、収益を守り、成長を支える役割へと変化していくのです。
後書き:変化する不正への規制
今日、不正の多くは従来の決済の不正利用の枠組みを超えた場所で発生しています。詐欺、なりすまし、フレンドリー詐欺、ポリシーの悪用などが、一見正当な行動として表面化しています。これらは単一の瞬間では特定が難しく、多くの場合、時間をかけた行動パターンの中ではじめて可視化されます。
これまで、不正対策に関する規制は、より限定的な課題を想定して構築されてきました。顧客を認証し、取引を承認し、問題が発生した際に誰が損失を負担するかを決定することに焦点が当てられていたのです。そのアプローチには今でも価値がありますが、すべての問題を解決することはできません。
例えば、「強力な顧客認証(SCA)」は盗まれた認証情報への対策には有効ですが、顧客自身が騙されて送金してしまうケースには十分な効果を発揮できません。同様に、「受取人確認(VoP)」は誤送金や初歩的ななりすまし詐欺を防ぐことはできますが、時間、取引相手、あるいはチャネルを横断して、初めて不審さが浮かび上がるような行動までは検知できません。
決済が実行される前から形作られる不正に対し、トランザクション時点での「認証と認可」を主軸としたフレームワークでは、常に後手に回ることになります。現在、各国の政策や規制の方向性も、この新たな現実を反映し始めています。
日本:経済産業省主導によるEMV 3-Dセキュア(3DS2)の導入義務化。カード加盟店(EC事業者)に対して原則すべての決済への実装を求めており、未導入店舗での不正発生時は加盟店がチャージバックのリスクを負うなど、官民一体となった水際対策を強化している。
イギリス:義務化された払い戻し要件により、対象となるAPP(承認された支払い)詐欺の損失のほとんどが被害者に返金される。
オーストラリア:「詐欺防止枠組み法」は、払い戻しよりも防止義務を中心に構築されており、救済措置は最終的なセーフティネットとして位置付けられている。
ブラジル:即時決済「PIX」の特別返金メカニズムにより、受取側の金融機関が資金をブロックでき、最近の拡張によって後続の送金先まで追跡することを可能にしている。
EU:新たな「PSD3/PSR」では、受取人名確認の義務化範囲を拡大。これまでプライバシーのグレーゾーンにあった「不正シグナルの共有」について、決済サービスプロバイダー間に明確な法的根拠を与えようとしている。
これらの枠組みはいずれも発展途上ではありますが、全体として不正対策の規制は、自社単独で単一の取引時点のみを評価する考え方から、業界横断でシグナルを共有し、決済に至るまでの継続的な行動を重視する方向へ移行しつつあります。
規制当局が進めているもう一つのアプローチが、「ライアビリティ(損失負担)」の見直しです。詐欺被害が発生した際に実際の損害を補填する仕組みであり、その必要性は理解しやすいものです。しかし、それはあくまで被害発生後の解決策に過ぎません。攻撃者を早期に特定したり、不正そのものを防いだり、あるいは資金移動そのものを未然に阻止したりする効果は限定的です。場合によっては、「システムが後で損失を補填してくれる」という考えを助長し、顧客の油断を招くリスクさえあります。
現在拡大している不正の手口に対しては、こうした事後対応だけでは限界があります。なぜなら、本質的な問題は「誰が損失を負担するか」ではなく、「適切な主体が、不正を阻止するために必要な情報を、十分な早さで得られていない」ことにあるからです。だからこそ、データ共有の促進が極めて重要になります。情報共有によって、不正対策上の本質的な弱点を可視化できるようになり、防止策が失敗した後のコストを再配分するだけでなく、防止策そのものを改善できる可能性が高まるのです。 本ドキュメントはAdyen N.V.が発行した英語原文を日本語にローカライズしたものです。原文はこちらからご確認いただけます。
レポート全文を読む
PDFで読む、共有する、後から見返す。