データセーフガード株式会社 – ホワイトペーパー

増え続けるプライバシー規制環境に対する消費者の信頼

過去4年間で、データプライバシーの制限はますます重要になっています。消費者は個人データの開示と使用についてますます懸念を抱いており、信頼は重要な要素です。Salesforceの世論調査によると、顧客の48%が、流行中の個人情報の悪用により企業への信頼を失ったと主張しています。世界がますますテクノロジー主導になり、個人が個人のプライバシーについてより心配するにつれて、消費者を保護するためにデータプライバシー法が世界中で急速に形成されています。

ヨーロッパでは、GDPRは2016年に発効した最初の主要なデータプライバシーポリシーでした。その後すぐに、カリフォルニア州消費者プライバシー法(CCPA)とブラジルの一般データ保護法(LGPD)が続き、これらはすべて2020年に発効しました。他の州や国も迅速に追随しています。たとえば、米国では、コロラド州とバージニア州が2023年に施行されるプライバシー法を承認しました。インドはプライバシー法を制定している最中ですが、データ保護法案に関する合同議会委員会の報告書は2021年12月に提出されました。規則、法律、コンプライアンスの増大、およびデータ侵害の危険性の高まりは、今日の組織のデータセキュリティに影響を与える最も重要な懸念事項の1つです。組織のデータを安全に保護し、ルールに準拠するには、すべてのデータを認識し、分類し、保護する必要があります。

EUのGDPRとカリフォルニア州のCCPAが数年前に導入されたとき、それらはかなりの騒ぎを引き起こしました。(2023年1月1日に施行されたカリフォルニア州プライバシー権法は、CCPAを修正および拡張します。多国籍企業は現在、利害関係が競合する国からの異種のデータ保護およびセキュリティ法の洪水に直面しています。それらをうまくナビゲートするには、いくつかの要因を考慮して、今すぐ計画を開始する必要があります。

中国のデータセキュリティ法と個人情報保護法に基づく国境を越えたデータ転送(CBDT)法は、 規則の急増 の2つの例です。この法律により、中国の国境を越えて個人データを転送またはアクセスすることはすでに危険です。2023年3月1日までにサイバーセキュリティ検査を完了する必要があり、そうしなかった場合の結果があります。インド、ブラジル、ロシアもデータ保護法を模索しています。

2023年にデータプライバシーが重要な理由

2022年に強化されたデータへの規制の焦点は、今年は熱狂的なピッチに達すると予想されています。中国のサイバースペース管理局は最近プライバシー認証基準を発行し、インド政府は最近、2023年に投票される可能性が高いデータ保護法案の草案を発表しました。これらの国の両方、およびロシア、ウクライナ、ブラジル、日本などからのデータ規制がさらに期待できる可能性があります。

企業は、人工知能分析のブレークスルーに一部助けられて、収集したデータを使用する新しい方法を発見しています:より効果的に実行し、リスクを管理し、顧客サービスを改善し、新しいビジネスモデルを構築およびサポートします。データセキュリティはこれまで以上に重要になっています。最近のIBMのレポートによると、ASEAN諸国全体のデータ侵害の平均コストは現在287万米ドルです。研究者は、技術的な支出だけでなく、法的および規制上のコスト、ブランドエクイティの損失、顧客離れ、従業員の生産性の低下も考慮しました。とりわけ、組織の評判に対する不可逆的な損害、利害関係者の信頼の喪失、およびデータプライバシーの侵害を考慮する必要があります。ますます多くの企業が、最初から製品やサービスにプライバシーを組み込むことは道徳的なことであるだけでなく、非常に有益である可能性があることを認識しています。たとえば、シンガポールは、個人情報の適切な使用と保護を確実にするために、プライバシーバイデザインアプローチの使用を推進しています。

プライバシーに重点を置いたテクノロジーの成長が次に来るでしょう。顧客がオンラインプライバシーについてますます心配するようになるにつれて、プライバシーに焦点を当てたソリューションの需要が急増するでしょう。安全なチャットアプリケーションとブラウザ、仮想プライベートネットワーク(VPN)と暗号化された電子メールサービスがその例です。これらのテクノロジーは企業がデータを保護するのに役立ちますが、万能薬ではないことを覚えておくことが重要です。企業は、データを保護するために注意を払い、予防策を講じる必要があります。規制も厳しくなっています。世界中の政府は、データプライバシーに対する懸念の高まりに注目しており、行動を起こし始めています。欧州連合の一般データ保護規則(GDPR)が2018年に施行されて以来、追加の制限が継続的に増加しています。この傾向は、より多くの国がデータ保護規則を制定しようとするにつれて続くと予想されます。

透明性の向上も不可欠です。個人情報を保護する必要性に対する認識の高まり、および企業がデータの収集および使用ポリシーに対してより責任を負う必要性が、データプライバシーの透明性を高める傾向を推進しています。2023年に個人がデータをより細かく制御できるようにすることで、企業はデータの慣行についてよりオープンになります。個人は、個人情報を表示、変更、または削除できるだけでなく、一部の形式のデータ収集をオプトアウトできる必要があります。これは、自信と開放性と責任感を生み出すため、顧客と企業の両方にとって双方にメリットのある状況です。

データ侵害の影響

企業にとってのデータ侵害の影響は深刻で拡大しています。これは主に、データがハッキングされた個人への通知に関連する規制上の負担が増大しているためです。データ侵害の影響を受けた企業の通知手順と制裁は、米国およびカナダの内外の管轄区域によって異なります。顧客が関与するデータ侵害に見舞われた企業は、クライアントがどこに住んでいるか、どの規制機関が管轄権を持っているかを判断する必要があります。ルールは、侵害後に開示する必要があるデータの種類、連絡先、通知の実行方法、および特定の当局に警告する必要があるかどうかを指定します。個人、財務、および健康データの侵害は、多くの場合、通知義務の対象となりますが、具体的な定義は州によって異なります。国際商取引を行う企業は、いくつかの管轄区域に消費者がいる可能性があり、多くの基準を満たす必要があります。法的罰金、損害賠償の払い戻しの可能性、および関連する訴訟を含む、このような手続きの費用は、特定の企業にとって高すぎる可能性があります。さまざまな種類のデータを含むデータ侵害は、企業の評判と経済的地位に大きな影響を与える可能性があります。契約上の要件に加えて、データ侵害は、VerizonによるYahooの買収で最近起こったように、企業の計画された売却を危険にさらす可能性があります。

当局が個人データの継続的な管理を超えて見ているという事実は、企業が新しいプライバシー規則に対応するにつれて問題を追加します。データ漏洩や侵害はますます定期的になっています。その結果、規制機関は、企業が侵害前に個人データをどのように保持するかだけでなく、その後の対応方法も精査します。フォローアップ監査は、企業がデータ侵害の原因となった慣行を改善したかどうかを判断します。当局は、元の違反と将来のインシデントを回避するための会社の努力が不十分であると信じる場合、より高い罰金を適用します。

2020年には、詐欺や詐欺行為が急増しています。データ侵害により、顧客の個人を特定できる情報(PII)が驚くべきペースで公開され、3億人以上が個人情報の盗難や詐欺のリスクにさらされています。サイバー犯罪者はまた、ランサムウェア、クレデンシャルスタッフィング、マルウェア、VPNエクスプロイトなどのより収益性の高いハッキングにも力を注いでいます。これらの戦術は、消費者情報をダークウェブで販売されるリスクにさらすだけでなく、保存する個人情報の機密性のために他の業界の 300倍 の頻度でサイバー攻撃の標的となる組織、特に金融機関(FI)にとっても高いコストがかかります。

データ侵害は、私たちの個人生活と職業生活の両方で日常的に発生します。したがって、ウォルグリーンやバーンズ&ノーブルで買い物をしたり、キャピタルワンで銀行取引をしたり、Tモバイルやズームと通信したり、タフツヘルスプランの医療保険に加入したりする場合でも、データがトランザクションの一部として含まれている場合、データが公開される可能性があります。インターネットの検索不可能な部分であるダークウェブは、これを証明しています。インターネットのインデックスのないセクションの中には、盗まれたIDのメリットを享受するのを待っているバイヤーがいます。しかし、ニュースのすべての侵害が懸念の理由であるとは限らないため、侵害が発生したときにどの情報を探すべきかを理解することで、侵害疲れを回避することが重要です。

合成ID詐欺:新たな脅威

人々が残したデータ痕跡を調査することは、銀行が顧客が本物かどうかを判断するのに役立ち、この急速に増加する金融犯罪による損失を減らすことができます。テクノロジーへの投資により、銀行は多くの種類の詐欺を回避することにかなり熟達してきましたが、それに応じて犯罪が発生しました。現在、多くの詐欺師は、盗まれたクレジットカードやID(ID)ではなく、偽の合成IDを使用しています。実際、合成ID詐欺は米国で最も急速に成長している種類の金融犯罪であり、私たちの計算によると、典型的な無担保ローンポートフォリオの償却の10〜15%を占めています。合成ID詐欺は最近、他の国でも記録されています。心配なことに、埋められた時限爆弾のように、はるかに大きな損失がこれらのアイデンティティの背後に蓄積されています。

合成ID詐欺(SIF)プロファイルは、基本的に、名前、社会保障番号、住所などの識別要素(通常は実際の人物から取得)で構成される架空のペルソナです。銀行がSIF報告を標準化するのを支援するために、連邦準備制度理事会は2021年4月に次の定義を作成しました。定義は単純ですが、SIFプロファイルの作成方法は非常に複雑で、自動化と機械学習が必要です。

SIFは「従来の」個人情報の盗難と特定の特徴を共有していますが、その起源、行動、および影響は、前世代の金融犯罪とは根本的に異なります。

合成詐欺の簡単な歴史

2000年代初頭、詐欺調査員は、申請者の社会保障番号(SSN)がカードが発行された名前と一致しないクレジットカード申請の傾向を特定し始めました。当時、正式な用語はありませんでしたが、詐欺の歴史家は、安全なクレジットカードを合成ID詐欺の最初の攻撃ポイントと見なしていますが、他の人は主に無担保のクレジットカードおよび 電気通信業界でフランケンシュタインのIDのパターンを見ています。しかし、フランケンシュタインのアイデンティティが現場に噴火し、膨大な数の詐欺師が新しいクレジットカードアカウントを作成し始め、それを利用して残高を迅速に積み上げ、1回も支払わずに去りました。発行銀行は、これらの償却の大部分を信用損失として償却しました。この手法は、犯罪者がカード取引の時間通りの支払いを行うことで、より多くの忍耐力を示すにつれて進化しました。その後、クレジット制限を超えてカードを請求し、「バストアウト」(別のダイムを支払うことなくカードを最大にする)し、クレジット制限を超える違法な収益を蓄積できるようにします。

ID を構築するために、正当な情報が合成 ID 詐欺の詐欺情報とブレンドされます。結果として得られる人工的または合成的なIDには、本物に見えるのに十分な検証可能な情報が含まれているため、偽のアカウントを作成したり、不正な購入を行ったり、ショップ、政府機関、金融機関をだまし取ったりするために使用できます。

シフ損失の増加

合成IDは消費者アカウントのごく一部を占めていますが、膨大な量の盗難の原因となっています。FiVerityのサイバー詐欺ネットワークによると、米国のFI間のSIFの損失は昨年200億ドルに増加しました。

ID泥棒は、小切手、普通預金、および401(k)アカウントにアクセスできるだけでなく、この情報を使用して新しい偽のIDをつなぎ合わせることもできます。データ侵害は、企業の生産性と収益に大きな影響を与える可能性があります。身分証明書の完全性を認証する必要がある従業員、または盗まれた身元を修復するという骨の折れるプロセスを経なければならない従業員は、6年間失業することが予想されます。月と100から200時間。これは従業員の精神状態に大きな影響を与え、かなりの個人的なストレス、持続的な不安、不満などの健康上の問題につながる可能性があります。従業員は、個人データをどれだけ効果的に保護するかを警戒し、クライアントのビジネス成果を損なう可能性があります。データ侵害は、企業の生産性と収益に大きな影響を与える可能性があります。身分証明書の完全性を認証する必要がある従業員、または盗まれたIDを修復するという骨の折れるプロセスを経なければならない従業員は、6か月と100〜200時間失業することが予想されます。これは従業員の精神状態に大きな影響を与え、かなりの個人的なストレス、持続的な不安、不満などの健康上の問題につながる可能性があります。従業員は、個人データをどれだけ効果的に保護するかを警戒し、クライアントのビジネス成果を損なう可能性があります。

SIF測定の課題

ステルス-標的となる企業の注意を必要とするランサムウェアとは異なり、SIFは発見されなかった場合にのみ成功します。SIFは、実際の低信用申請者を装い、適度なローンを要求し、受け入れられた場合はタイムリーな支払いを行うことにより、レーダーの下で運営されています。SIFアカウントは、FIが盗難を不十分な引受に帰しているため、侵害された後でも秘密にされることがよくあります。

報告-銀行が気づいていない犯罪を開示できないという明らかな困難は別として、SIFを認識して報告するための手順はまだ作成されていません。SIFは比較的新しい犯罪であるため、FTCのセンチネルなど、各インスタンスをカタログ化するための公式データベースはありません。

進化 - 犯罪者は、AIと機械学習を利用することにより、SIFプログラムを時間の経過とともに検出することをより困難にしました。AIシステムは、受け入れられたり拒否されたりしたローン申請から学習し、機械学習モデルに重要なインプットを提供します。このフィードバックループは、詐欺師が古いシステムの不正検出基準のしきい値を特定し、それらをかわすのにさらに優れた新しいプロファイルを開発するのを効果的に支援します。

マッキンゼー・アンド・カンパニーによると、合成ID詐欺は米国で最も急速に増加している金融犯罪であり、典型的な無担保貸付ポートフォリオの償却の最大15%を占めています。合成ID盗難の陰湿な性質は、巨額の経済的損失が発生した後でも、検出が非常に難しいことです。金融機関(FI)は、合成ID詐欺を使用するオペレーターの標的になっていることに気付かないことが多く、代わりに、信用損失は単にクライアントが返済できない、または返済したくないことが原因であると推定し、通常の慣行に従って損失を帳消しにします。これらの偽の消費者が最初の識別スニフテストに合格しているように見えるという事実は、重大な経済的損失に寄与する多くの問題の1つにすぎません。もう一つは、合成ID詐欺師は、フランケンシュタインのアカウントIDを育成するために最大5年を費やすことができ、業界でクレジットラインが最大になり、突然放棄される「バストアウト」として知られているものを使用する前に、金融機関との信頼を築くことができます。

虚偽の身元確認のリスクが高まると、身元を認証するためにさまざまな種類の身分証明書を取得するほど単純ではなくなります。企業は、これらの新しい脅威を理解し、解決策をどこに行くべきかを知り、不正防止手順を改訂する必要があります。不正なアカウントは本物に見えるため、従来の不正検出手法では合成IDを見逃す可能性があります。専門家は、既存の不正防止システムを放棄するのではなく、新しいセキュリティ対策で補完しながらシステムを維持することをお勧めします。

では、どのようにして合成詐欺を特定するのでしょうか。

専門家は、捜査官はすべての身分証明書が潜在的に不正であると推定し、それに応じて行動する必要があると言います。彼らは、被験者の完全なデータが3つの信用調査機関、ユーティリティファイル、作業記録、銀行口座記録など、複数のデータセットに存在することを検証するために、公開記録の完全なリポジトリにアクセスできるかどうかを検討する必要があります。調査員は、記録における被験者の存在を完全に認証するのに十分な個人を特定できる情報を取得しているかどうかを判断する必要があります。被験者の名前と生年月日だけでは不十分です。検索では、電話番号、住所、電子メール アドレスなどを提供する必要があります。

研究者は、被験者のアイデンティティがどのくらいの期間存在していたかを判断するように努める必要がありますデータ内を使用して、サブジェクトが新しく生成された ID であるかどうかを判断します。彼らは、問題の検索を行うときに、公開記録データベースに同等のIDが見つかるかどうかを確認する必要があります。調査員は、検索結果を評価するときに、対象者または企業が作成されたことを示す指標を探す必要があります。簡単に言うと、人工知能テクノロジーとツールがID検証を完了し、顧客チェックを知る際に改善されるにつれて、コンプライアンスの専門家は、提供する機能を活用して、より深く掘り下げ、最新のデータを提供し、無関係な発見を排除する必要があります。

AIはこれらの問題を解決できますか?

欧州委員会は、EU GDPRが施行されてから約5年後の2021年4月21日に、規則案を発表しました。AIシステムの使用とそれらが収集するデータに関する一連のガイドラインを提供しました。この判決は、GDPRと同様に、欧州経済地域に拠点を置く、または欧州経済領域に関連する企業に適用されます。コンプライアンスに対処している間、当局は定期的な抜け穴の多くを回避することに着手しました。これらは、例えば、EEA内で使用されるAI情報がEU域外で取得・作成された場合でも適用されます。

組織が拡大し、従業員のグローバル化、多様化、分散化が進み、企業が新しいクラウド、オンプレミス システムを採用し、インテリジェント デバイスを展開するにつれて、固定されたコンテキスト セットに基づく静的ポリシーの古いモデル (たとえば、アクセス管理、時間、地理的位置、デバイス OS など) は失敗し始めます。ポリシーはより多くなります。コンテキストはユーザー履歴を考慮しません。そして、将来の攻撃ルートからの保護が困難になります。ここで、AIを活用したセキュリティが真に輝き始めます。これらのセキュリティシステムは、以前のアクション、イベント、および侵害を使用して、人間による継続的な監視なしに、独立して独自のモデルを構築します。彼らは自分で判断できるという意味で知的であり、データを広範かつ深く見ることができるという意味で知覚的です。それらは、最新のデータを使用して継続的に学習および適応するため、保守が容易で、本質的に積極的です。この分野は近年急速に進歩しており、暴行や侵害の特定と防止に不可欠です。ここでは、いくつかのユース ケースについて説明します。

データ保護

Data Safeguardは、データプライバシーと合成詐欺ソリューションを提供する人工知能企業です。そのソリューションは、エンタープライズクラスでコンポーネントモデル化され、グローバル、連邦、および州レベルのコンプライアンス要件を満たし、フランケンシュタインのIDによって引き起こされる重大な経済的損失を防ぐためにアーキテクチャ的に拡張されています。

Data Safeguardは、以前は解決できず、人間的に不可能だったデータプライバシーと合成詐欺の課題を解決します。AI / MLベースのソリューションは、スーパーコンピューターベースのデータアクセラレータを備えた高度なモデルとアルゴリズムを採用し、効率を向上させ、複雑なデータ環境で膨大な量のPIIデータ要素を正確に制御します。同社のSaaS製品は、エンタープライズオンプレミス、エンタープライズクラウド、カスタマーAPI、マーケットプレイスAPI、eコマースプラットフォームの5つの主要チャネルで利用可能であり、グローバルおよび個人の顧客をカバーしています。

Data Safeguardの製品ID-REDACT、ID-MASK、®® ID-FRAUD、ID-AMLは、特許出願中のプラットフォームであるCognoscible Computing Engine(CCE®)によって強化されています。CCE®は、人工知能と機械学習テクノロジーの超高精度パワーを活用するモデルとアルゴリズムで構築されており、今日の困難な市場で最も効果的なデータプライバシーおよび合成詐欺ソリューションを実現します。

Data Safeguardは引き続き市場シェアを獲得しており、近い将来の成長に備えるために、世界中の拠点でスタッフを積極的に採用し続けています。

データ保護者

300年の豊富な経験を持つ経験豊富なビジネスおよびテクノロジーの専門家のグローバルチーム。チームは起業家精神、製品開発、顧客のユニークなブレンドを持っています実装管理、およびその他のスキル。チームは、絶えず変化するデータプライバシーと合成詐欺の懸念に取り組むというユニバースの要求に応えるために協力してきました。当社の情熱的なチームメンバーは、VPからCレベルの役職を歴任し、金融サービス、ヘルスケア、小売、テクノロジー、テレコム、クラウドサービス、ロジスティクス、サプライチェーン、公共部門のドメインのビジネスおよびテクノロジーエコシステム、複雑な顧客環境、および規制コンプライアンスの状況の専門家です。チームは、データのプライバシー、コンプライアンス、ガバナンス、機密性、保護に関するグローバルな専門知識を持っています。 データプライバシー、合成詐欺、リスク管理、人工知能、機械学習の分野における金融サービス、ヘルスケア、小売、テクノロジーセグメントの世界最高の企業での長年の業界経験により、データプライバシーと合成詐欺の課題を解決できると信じるようになりました。 

このソリューションは、2020年のバンキングテックアワードのファイナリスト(ベストバンキングテックソリューションカテゴリ)に選ばれ、データ編集コンプライアンスでクライアントを支援するゲームチェンジャーとして賞賛されました。

結論

金融犯罪は、デジタル経済とデータファースト社会の影響が進化するにつれて、より高度で蔓延しています。米国で最も急速に増加している金融犯罪の1つである合成ID盗難は、特に高度なセキュリティ問題であり、リスク環境の高まりに貢献し、金融サービス事業の技術投資目標(FSO)を再定義しています。詐欺師ではないように見える詐欺師は、世界中の企業に問題を提供します。これらの合成IDは、多くの点で本物に見えるだけでなく、正当なクライアントの特性も含まれています。企業は、この発展途上および増え続けるクラスの詐欺師と戦うために、静的識別機能のみを検査することの難しさと限界を把握する必要があります。企業は、動的なID品質と相互のリンクを組み込んだ多次元レンズを通して各クライアントまたはトランザクションを見ることで、合成IDの盗難に備えることができます。企業はまた、詐欺防止システムを包括的に調べて、犯罪者が悪用する穴がないことを確認する必要があります。

合成IDの盗難は、本物の個人情報と偽造された個人情報をブレンドして本物のように見えるデジタルIDを作成する悪意のある攻撃者によって犯される急速に拡大している犯罪であることは間違いありません。データ侵害は米国の企業に限定されません。世界中の企業が同様の困難に直面しています。データ侵害で開示された個人情報は、詐欺師が合成個人情報の盗難を実行するために必要なデータを購入できるダークウェブマーケットプレイスで頻繁に販売されます。現時点では、合成ID盗難に対抗する最も有望な方法は、顔認識を使用してIDペーパーと人物を検証するAIテクノロジーと統合された高度なID検証ソフトウェアを使用することです。

データセーフガードの創設者兼CEO

Data Safeguardの創設者兼CEOであるSudhir Sahuは、ITエンジニアリングとMBAのバックグラウンドを持つシリアルアントレプレナーであり、2021年6月に会社を設立しました。パンデミックの間、企業が閉鎖され、経済がビジネスの成長を支えていなかったとき、Sudhirは共同創設者(Elliott Lowen、Keertana Suresh、Lee Nocon、Praful Parekh、Swarnam Dash)と提携して、道のりのあらゆる段階で困難に思える旅を始めました。

Sudhir氏によると、Data Safeguardは、グローバルおよび中小規模の顧客がデータプライバシーコンプライアンスを満たし、多額のペナルティの支払いを回避し、ハッカーがPIIデータ要素を盗んで消費者の生活に大混乱をもたらすのを阻止できるようにするために開始されました。世界的なペナルティはすでに100億ドルを超えており、増加しており、Data Safeguardはこのグローバルな課題に対するグローバルなソリューションです。

Sudhirは、フランケンシュタインのアイデンティティによって引き起こされる重大な損失から金融機関を保護するために、合成詐欺ソリューションに特別な関心を持っています。世界的な合成詐欺による損失は1兆を超え、増加しており、Data Safeguardはこのグローバルな課題に対するグローバルなソリューションです。

Sudhirは、ハッカーコミュニティの直接の経験を得るために、世界のさまざまな地域を旅しました。個人を特定できる情報を収集およびマイニングするためのテクノロジーの使用を理解し、さまざまなデータ要素を組み合わせて、フランケンシュタインのアイデンティティとビジネス運営モードを作成します。彼は、ハッカーが個人を特定できる情報を盗むのを阻止し、金融犯罪を防ぐことに取り組んでいます。