Principal Financial、オンライン詐欺対策として生体認証を導入

Principal Financial Groupは、退職金サービス、保険、資産運用を通じて、何百万人もの人々や企業の将来設計を支援しています。顧客は自分のお金をPrincipalに託しているため、デジタルチャネルの安全性確保は不可欠です。

しかしその信頼は2023年に試されることとなりました。Principalでは、特に退職金ビジネスにおいて、不正なオンライン登録が増加したのです。攻撃者は弱点を見つけていました。それは、既存の投資に紐づけられている未登録の顧客アカウントです。これらのアカウントにはまだユーザー名やパスワード、多要素認証（MFA）が設定されていなかったため、乗っ取りの格好の標的となっていました。

原因は知識ベース認証（KBA）でした。これは、過去の住所や車種など、個人情報に関する質問に答えることで本人確認を行う一般的な方法です。しかし、こうした情報は現在、情報漏洩やデータブローカー、ソーシャルメディアから詐欺師が簡単に入手できるようになっています。

「KBAをより安全な本人確認ソリューションに置き換えつつ、シームレスな顧客体験も維持するにはどうすればよいか、自問しました」とPrincipal Financialのビジネス情報セキュリティ責任者、Melanie Bergen氏は語ります。

その解決策がデジタルID認証（DIVA）でした。この自動化プロセスは、政府発行のIDチェックと、顔・声・指紋・虹彩認証などの生体認証を組み合わせ、顧客が本人であることを確認します。

2023年末、Principalは複数のベンダーを評価した後、Onfido（Entrust社）と提携し、KBAを顔認証に特化したDIVAプラットフォームに置き換えました。翌年5月には導入が完了しました。

欠陥システムを短期間で置き換える際の課題

DIVAへの切り替えという決断自体は明快でしたが、実行には複雑な課題がありました。Principalが直面した障壁は以下の通りです：

• 迅速かつ断固とした導入。 詐欺が急速に増加していたため、スピードが重要でした。Principalは数年ではなく、数か月でソリューションをテスト・検証・展開する必要がありました。
• セキュリティと使いやすさの両立。 顧客がストレスを感じて離脱しないよう、シンプルな生体認証が求められました。
• 未踏の領域への挑戦。 退職金アカウント登録に生体認証を使う事例はほとんどなく、Principalは前例のないDIVA導入に挑みました。
• ベンダー評価とコンプライアンス。 政府ID認証とリアルタイム生体認証の両方を提供できるベンダーを慎重に評価しつつ、厳格なプライバシー・リスク・法的基準もクリアする必要がありました。

「厳密なベンダー評価、概念実証テスト、セキュリティ・法務・顧客体験チームの密接な連携によって課題を克服しました」とBergen氏。「その俊敏性のおかげで、ベンダー選定から本格展開まで5か月以内で完了できました。」

成果：詐欺の撲滅と顧客体験の向上

Bergen氏によれば、DIVAプログラムは以下のような好結果をもたらしました：

• 詐欺防止： 以前はKBAの悪用が99%を占めていた不正アカウント登録が、ほぼ完全に撲滅されました。
• 顧客成功： ユーザーの成功率が38%から48%へと大幅に向上しました。
• ユーザー離脱の減少： 認証を開始したものの完了できなかったユーザーの割合が、74%から40%に減少し、よりスムーズなプロセスとなりました。

「その効果は非常に大きいです」とBergen氏。「DIVAシステムは不正なアカウント乗っ取りを防ぎつつ、認証をより迅速かつ直感的にしました。」

DIVAへの移行タイミングも重要でした。LIMRAの2024年金融犯罪・詐欺防止ベンチマーク調査によると、回答者の50%が高齢者や弱者を狙った詐欺の増加を報告しています。同調査では、61%がアカウント乗っ取りの増加も報告しています。

時代の先を行くことで、Principalは増加する詐欺から顧客を守ると同時に、安全なデジタルアクセス分野で業界リーダーとしての地位を確立しました。

「私たちは、退職金業界でオンライン登録に生体認証を導入した最初の企業の一つであることを誇りに思います」とBergen氏。「セキュリティ脅威に対抗しつつ、顧客体験もシームレスにできることを示しました。」

生体認証プロジェクトにより、Principal Financialは2025年CSOアワードを受賞しました。この賞は、卓越したリーダーシップとビジネス価値を示すセキュリティプロジェクトを称えるものです。

得られた教訓：イノベーションはリーダーシップから始まる

Bergen氏は、DIVAの成功を強力なリーダーシップと明確なコミュニケーションの組み合わせによるものとしています。

「私たちにとって最大の教訓の一つは、イノベーション推進におけるリーダーシップの重要性です」と彼女は語ります。「リーダーたちは先進的なアプローチを受け入れ、チームにイノベーションを促す力を与えてくれたので、DIVAを前進させる自信につながりました。」

このサポートに加え、Principalの顧客体験チームが早期から関与し、生体認証プロセスを直感的に設計し、ジャーニーマッピングを用いてローンチ前に問題点を洗い出し修正しました。

また、顧客とのコミュニケーションも大きな役割を果たしました。そのため、Principalの従業員には、生体顔認証に慣れていない顧客にも分かりやすく案内できる明確なメッセージが用意されました。

「新しいプロセスの内容や重要性、それがどのように顧客を守るのかを説明することで、混乱を減らし信頼を築くことができました」とBergen氏は述べています。

CISOへのアドバイス：迅速に行動しつつ、顧客を最優先に

詐欺への懸念に悩む組織に対し、Bergen氏は2つのアドバイスを送ります：

アジャイルな考え方を取り入れる。 迅速に動きつつも、全社展開前に概念実証テストやライブデモでソリューションを検証しましょう。時間短縮のため、コンプライアンスやリスクレビューを技術テストと並行して進めることをBergen氏は推奨しています。このアプローチにより、PrincipalはDIVA導入をわずか5か月で完了できました。

セキュリティと顧客期待のバランスを取る。 導入時には技術要件だけでなく、顧客のニーズも考慮しましょう。Bergen氏は、展開中に顧客からフィードバックを集めることで、Principalのチームが早期に問題を発見し、リアルタイムで調整できたと強調しています。

「目標は常に、顧客体験を損なうことなくセキュリティを強化することです。脅威が進化する中で、すべてのセキュリティリーダーが取るべきバランスです」とBergen氏は述べています。