顧客データのプライバシー保護
不正アクセス防止は、知識集約型のタスクです。 Microsoft Dynamics 365 Fraud Protection は、支払いトランザクション、オンライン アカウント アクティビティ、および Fraud Protection のお客様の e コマース プロパティと対話するデバイスに関するデータを処理して、次の作業を行います。
- 不正な支払いトランザクションを防止して特定します。
- 正当なトランザクションを識別して、"誤検知" を減らします。
- 顧客のオンライン ショッピング エクスペリエンスを向上させます。
不正アクセス防止は、コンプライアンス、セキュリティ、機密性、プライバシーを念頭に置いて設計されています。 Fraud Protection は、機械学習、人工知能、データ識別解除の手法を使用して、支払いトランザクション、特定のアカウント アクティビティ、およびその他のイベントをリスクに対して評価し、顧客に商取引の正常性に関する分析情報を提供します。
重要
Microsoft はコンシューマー レポート機関ではありません。 Fraud Protection によって生成された不正行為の分析情報は、信用レポートや信用価値や適格性の指標として使用されることを意図していません。 不正アクセス防止の使用には、Microsoft Online Services の使用条件に記載されている使用制限が適用されます。
不正アクセス防止プロセスではどのようなデータが処理されますか?
Fraud Protection は、サービスを提供するために次の 3 種類の顧客データを処理します。
支払トランザクション データ。 これは、顧客のオンライン支払いトランザクション (過去と現在) に関する情報です。 支払いトランザクション データには、次のものが含まれる場合があります。
- 注文に含まれる商品に関する取引金額と情報。
- 支払いトランザクションに関連付けられている名前、電子メール アドレス、配送先住所、およびその他の地理的な場所情報。
- チャージバックなどの支払トランザクションの結果。
- 支払方法に関する情報。 不正アクセス防止では、完全なクレジットカード番号など、完全な支払い方法の詳細は収集されません。
デバイス データ。 これは、新しい顧客アカウントの作成要求や既存の顧客アカウントの更新など、顧客のエンド ユーザーの過去および現在のアカウント アクティビティに関連する情報です。 アカウント アクティビティ データには、次のものが含まれる場合があります。
- インストールされているプラグイン、プロセッサ クラスなどのデバイス属性。
- OS 情報などのオペレーティング システム属性。
- ブラウザーに関連する属性 (ブラウザーの言語、フォントなど) (該当する場合)
- IP アドレス、署名ハッシュなどのネットワーク属性。
アカウント アクティビティ データ。 これは、お客様の e コマース プロパティにアクセスするデバイスに関する情報です。次に例を示します。
- アカウント名と電子メール アドレス。
- アカウントが作成された日時に関する情報。
- アカウントに関連付けられているイベントに関する情報 (配送先住所やアカウントに関連付けられている電子メールが変更されたときなど)。
支払いトランザクション データとアカウント アクティビティ データは、次の 2 つの方法で顧客から不正アクセス防止に提供されます。
- お客様は、Fraud Protection API を使用して、リアルタイムの支払いトランザクションまたはアカウント アクティビティに関連付けられたデータを送信します。
- 顧客は、過去の支払いトランザクションとアカウント アクティビティに関するデータをサービスにアップロードします。
お客様がデバイスフィンガープリント スクリプトを e コマースのプロパティにインストールすると、デバイス データが収集され、Fraud Protection に送信されます。 これにより、Fraud Protection は、顧客の e コマース プロパティにアクセスするデバイスから、その代わりにデータを収集するように指示します。
不正アクセス防止は顧客データをどのように処理しますか?
不正防止は、Microsoft Online Services の使用条件に記載されている指示に従ってサービスを提供する目的でのみ、上記の顧客データを処理し、サービスの管理においてお客様が構成したデータを処理します。 サービスを提供するために、Microsoft は顧客データを使用してサービスのセキュリティ保護、改善、トラブルシューティングを行い、Fraud Protection ネットワーク ("Fraud Network") 内のすべての Fraud Protection 顧客からハッシュされたデータから不正行為の分析情報を生成します。
不正アクセス防止による顧客データの強化と正規化
支払いトランザクション データ、アカウント アクティビティ データ、およびデバイス データは、サービスの機械学習と人工知能の適用を支援するために強化および正規化されます。 次に例を示します。
- 取引金額は、現在の為替レートを使用して米ドルに変換されます。
- トランザクションに関連付けられている請求先住所や配送先住所などの住所は、正規形式に変換されます。 たとえば、"One Microsoft Wy" は "1 Microsoft Way" になることがあります。
- 1 つのデバイスから収集されたデバイス データは、あいまい識別子に変換されます。
Fraud Protection は、不正アクセス ネットワークで処理される特定の顧客データをハッシュします
Fraud Protection は、不正行為の分析情報を生成するために処理される不正ネットワークにデータ主体を送信する前に、データ主体を識別できる個人データを含む顧客データをハッシュします。 Fraud Protection で使用されるハッシュ手法により、この顧客データは一意のトークンまたは文字列に変換されます。 たとえば、電子メール アドレス "JohnDoe@outlook.com" は、常に "TK239732" のような同じ文字の文字列にマップされます。 この手法は、次の目的に役立ちます。
この手法では、入力に対して同じ出力が生成されます (再現可能です)。 不正アクセス ネットワークに固有の塩と顧客ごとに固有の塩を使用する識別解除手法では、同じ入力値が常に同じ出力トークンにマップされます。 たとえば、どの顧客がどの時点で入力を提供しても、詐欺ネットワークに固有の塩が使用されている場合、電子メール アドレス "JohnDoe@outlook.com" は常に "TK239732" (たとえば) にマップされます。 このプロパティを使用すると、Fraud Protection を使用して、不正行為のパターンを特定し、不正アクセスネットワーク内のすべての顧客間でトークン間の接続を行うことができます。 1 人の顧客にのみ割り当てられた一意の塩を使用して顧客データを処理することで、Fraud Protection は、1 人の顧客のトークン間の接続を行うことができるため、顧客に独自の不正行為のパターンに関する情報を顧客に提供することもできます。 このコンテキストでは、"salt" は、出力をさらにランダム化する一方向ハッシュ手法に追加されるランダムな値です。
この手法では、(実質的に) 1 対 1 のマッピングが生成されます。 ハッシュ手法は、技術的には特定のソルトに対する一対一のマッピングではありませんが、2 つの個別の入力値が同じ出力値 ("ハッシュ競合" と呼ばれます) になる確率は消え方が小さくなります。 これは、実用的な目的のために、トークン間の接続に依存できることを意味します。
この手法は実質的に元に戻すことができません。 このプロセスにより、トークンを元の入力にリバース エンジニアリングしたり、トークンからデータ主体を識別したり、ハッシュ関数やソルトにアクセスせずにこの顧客データを "リハイドレート" したりすることは事実上不可能になります。 データをリハイドレートし、識別可能なデータをレンダリングする手法を元に戻すには、高度なブルート フォース攻撃が必要になります。
この手法により、お客様は、顧客データが他の Fraud Protection のお客様と共有されないという保証が追加されます。 Fraud Network 内のトークンは、その顧客のマーチャント空間のハッシュ関数、ソルト、生データにアクセスしないと、特定の Fraud Protection のお客様にリンクできません。
Fraud Protection は、不正行為防止の顧客に対する不正行為の分析情報を生成するために、不正行為ネットワーク内のトークンに人工知能を適用します。
Fraud Protection では、人工知能 (AI) を使用して、不正行為のパターンを理解します。 AI を使用すると、サービスは、顧客の新しいリアルタイムの支払いトランザクションとアカウント アクティビティに対する不正行為の分析情報を生成できます。 これらの不正行為の分析情報には、リアルタイム イベントのリスク スコアとスコアの理由コードが含まれます。 たとえば、不正アクセス ネットワーク内では、不正アクセス防止は、特定のトークン (請求先住所または IP アドレスを表す可能性があります) に関連付けられた、非常に短時間で疑わしい大量の支払いトランザクションを検出する場合があります。 Fraud Protection は、新しいリアルタイムの支払いトランザクションでそのトークンを検出した場合、より高いリスク スコアと、トランザクションに関連付けられているデータ属性に対して疑わしい大量のトランザクションが検出されたことを示す理由コードを顧客に提供する可能性があります。
不正防止は、顧客が設定したビジネス ルールに従って顧客データを処理します
お客様は、Fraud Protection 内でビジネス ルールを設定して、リスク スコアと理由コードに関するリアルタイムのトランザクションまたはアカウント イベントの独自の分析を自動化できます。 たとえば、Fraud Protection によって提供される不正行為の分析情報に加えて、顧客は独自のビジネス ルールを適用して、トランザクションの金額、使用される支払い方法、注文の内容など、さまざまな要因に基づいて支払いトランザクションを承認します。 各顧客のビジネス ルールは、顧客の機密情報と顧客データとして扱われます。 不正防止は、取引またはイベントの受け入れまたは拒否に関する推奨事項を作成するために、設定されたビジネス ルールに従って、顧客に代わってこのようなデータを処理します。
不正防止により、顧客は取引信頼に関する知識を参加している銀行と共有できます
お客様は、この機能を選択して、トランザクション受け入れブースターを使用することを選択できます。 この機能を使用すると、顧客は、参加銀行によって発行された支払い方法で支払いトランザクションが開始されたときに、トランザクション トラスト ナレッジと呼ばれる特定の顧客データを参加している銀行と共有するように Microsoft に指示できます。 Transaction Trust Knowledge は、不正アクセス防止によるトランザクション、場所、デバイス識別子の評価と、適切な購入トランザクションとの照合に役立つトリミングされたカード数や金額などのトランザクション固有の詳細を含む、顧客データの小さなペイロードです。
この機能を選択すると、顧客は、顧客の e コマース プロパティで支払いトランザクションが開始され、そのような銀行によって発行された支払いカードが発生したときに、その代理としてトランザクション 信頼ナレッジを参加している銀行に送信するように Fraud Protection に指示します。 特定の支払いトランザクションについて、顧客のトランザクション トラスト ナレッジは、その銀行によって発行された支払カードがその支払いトランザクションの開始に使用される場合にのみ、参加している銀行と共有されます。
Fraud Protection は、顧客データを処理して、グラフィカル レポートなどのツールを提供して、不正行為に関連するビジネス インテリジェンスを表示します
Fraud Protection は、顧客データを使用して、詐欺が e コマース ビジネスに与える影響を顧客が理解するのに役立つツールを提供します。 このようなツールには、レポート機能、グラフィカルディスプレイ、およびサポート サービス機能が含まれます。