6491297 不正検知システム、不正検知方法及び不正検知プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】6491297

(24)【登録日】2019年3月8日

(45)【発行日】2019年3月27日

(54)【発明の名称】不正検知システム、不正検知方法及び不正検知プログラム

(51)【国際特許分類】

   G06Q 20/38 20120101AFI20190318BHJP

   G06Q 20/40 20120101ALI20190318BHJP

   G06F 21/62 20130101ALI20190318BHJP

   G06F 21/31 20130101ALI20190318BHJP

【ＦＩ】

   G06Q20/38 310

   G06Q20/40

   G06F21/62

   G06F21/31

【請求項の数】11

【全頁数】19

(21)【出願番号】特願2017-209374(P2017-209374)

(22)【出願日】2017年10月30日

【審査請求日】2017年10月30日

(73)【特許権者】

【識別番号】592131906

【氏名又は名称】みずほ情報総研株式会社

(73)【特許権者】

【識別番号】592052416

【氏名又は名称】株式会社 みずほ銀行

(73)【特許権者】

【識別番号】502114087

【氏名又は名称】株式会社ピーエスアイ

(74)【代理人】

【識別番号】100105957

【弁理士】

【氏名又は名称】恩田 誠

(74)【代理人】

【識別番号】100068755

【弁理士】

【氏名又は名称】恩田 博宣

(72)【発明者】

【氏名】三和 正伸

(72)【発明者】

【氏名】橋詰 慶子

(72)【発明者】

【氏名】岡崎 耕典

(72)【発明者】

【氏名】山崎 充宏

(72)【発明者】

【氏名】福井 正輝

【審査官】 塩田 徳彦

(56)【参考文献】

【文献】 特開２０１０−２８２２６２（ＪＰ，Ａ）

【文献】 特開２００１−２５６３９５（ＪＰ，Ａ）

【文献】 特開２０１１−１８６９２３（ＪＰ，Ａ）

【文献】 特表２０１２−５０６５８７（ＪＰ，Ａ）

【文献】 特開２００２−１２３７７５（ＪＰ，Ａ）

【文献】 特開平１０−２６９１８２（ＪＰ，Ａ）

【文献】 特開２０１４−０７８１８３（ＪＰ，Ａ）

【文献】 特開平０９−０２７００２（ＪＰ，Ａ）

【文献】 米国特許出願公開第２０１０／０３２７０５６（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１６／０１３２８８６（ＵＳ，Ａ１）

【文献】 米国特許出願公開第２０１７／０１６１７４５（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｑ １０／００ − ９９／００

Ｇ０６Ｆ ２１／３１

Ｇ０６Ｆ ２１／６２

(57)【特許請求の範囲】

【請求項1】

個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
取引端末から取引要求を取得する制御部とを備えた不正検知システムであって、
前記制御部が、
個人特定情報をユニークな不可逆コードに変換し、
取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎の将来の取引を推定した取引推定値、及び不可逆コード毎の将来の取引を推定した取引推定値を算出し、
新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報について複数の乖離幅を算出し、
前記算出した複数の乖離幅を用いた多角的な分布において、前記取引端末について推定した将来の取引からの乖離度が大きい場合に注意喚起情報を出力することを特徴とする不正検知システム。

【請求項2】

前記制御部が、
取引情報を取得した取引端末において、直近の所定期間の取引量を取得し、
前記取引量と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項１に記載の不正検知システム。

【請求項3】

前記制御部が、
取引情報を取得した取引端末において、直近の所定期間の取引内容を取得し、
前記取引内容と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項１又は２に記載の不正検知システム。

【請求項4】

前記制御部が、
取引情報を取得した取引端末において、直近の所定期間の取引における媒体属性を取得し、
前記媒体属性と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項１〜３のいずれか一項に記載の不正検知システム。

【請求項5】

前記制御部が、
取引情報を取得した取引端末において、直近の所定期間の取引における利用者の人物特徴情報を取得し、
前記人物特徴情報と、前記取引端末の取引推定値とを比較して、乖離度を判定することを特徴とする請求項１〜４のいずれか一項に記載の不正検知システム。

【請求項6】

前記制御部が、
新規取引情報における不可逆コードに関連付けられた前回の取引において利用された取引端末を特定し、
前記前回の取引端末と前記新規取引情報における取引端末の移動距離と利用時間間隔に基づいて乖離度を判定することを特徴とする請求項１〜５のいずれか一項に記載の不正検知システム。

【請求項7】

前記制御部が、
前記取引情報記憶部に記録された取引端末毎及び不可逆コード毎の取引情報数に基づいて、情報蓄積度を算出し、
前記情報蓄積度に基づいて、取引端末毎の取引推定値と不可逆コード毎の取引推定値の重み付けを行なうことを特徴とする請求項１〜６のいずれか一項に記載の不正検知システム。

【請求項8】

前記制御部が、取引端末の設置場所に基づいて、取引端末をグループ化し、前記グループ化された取引端末についての取引推定値を特定することを特徴とする請求項１〜７のいずれか一項に記載の不正検知システム。

【請求項9】

前記制御部が、
前記取引情報記憶部に記録された取引情報数に基づいて、前記新規取引情報を取得した取引端末の情報蓄積度を算出し、前記取引端末の情報蓄積度が低い場合には、前記取引端末の属性を特定し、類似した属性を有する他の取引端末であって、高い情報蓄積度の取引推定値を用いることを特徴とする請求項１〜８のいずれか一項に記載の不正検知システム。

【請求項10】

個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
取引端末から取引要求を取得する制御部とを備えた不正検知システムを用いて、不正検知を支援する方法であって、
前記制御部が、
個人特定情報をユニークな不可逆コードに変換し、
取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎の将来の取引を推定した取引推定値、及び不可逆コード毎の将来の取引を推定した取引推定値を算出し、
新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報について複数の乖離幅を算出し、
前記算出した複数の乖離幅を用いた多角的な分布において、前記取引端末について推定した将来の取引からの乖離度が大きい場合に注意喚起情報を出力することを特徴とする不正検知方法。

【請求項11】

個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、
取引端末から取引要求を取得する制御部とを備えた不正検知システムを用いて、不正検知を支援するためのプログラムであって、
前記制御部を、
個人特定情報をユニークな不可逆コードに変換し、
取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、
前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎の将来の取引を推定した取引推定値、及び不可逆コード毎の将来の取引を推定した取引推定値を算出し、
新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報について複数の乖離幅を算出し、
前記算出した複数の乖離幅を用いた多角的な分布において、前記取引端末について推定した将来の取引からの乖離度が大きい場合に注意喚起情報を出力する手段として機能させることを特徴とする不正検知プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、不正の可能性がある取引行為を検知するための不正検知システム、不正検知方法及び不正検知プログラムに関する。

【背景技術】

【0002】

現金自動預払機（automatic teller machine）において、キャッシュカード等を用いて、不正な取引が行なわれることがある。このため、カードが不正に使用される可能性を検知する技術が検討されている（例えば、特許文献１）。この文献に記載された支援サーバは、外部からカードを使用したい旨の要求があった場合に、カードを識別するカード識別情報及びカードを使用する内容を示す使用内容を外部から取得する使用内容取得部と、カードのカード識別情報に対応付けて、カードの使用内容の履歴を格納する使用履歴格納部とを備える。そして、要求に対応したカード識別情報に対応付けられて格納されている要求以前の使用内容を使用履歴格納部から読み出し、読み出した使用内容と使用内容取得部が要求に対応して外部から新たに取得した使用内容とを比較して乖離度を算出する。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２００６−７２５７５号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、利用者の取引状況では、不正を検知できない可能性がある。例えば、海外の金融機関に開設された口座のキャッシュカードを利用する場合、口座の利用状況に関する情報を取得できず、不正を検知することができない。

【課題を解決するための手段】

【0005】

上記課題を解決するために、不正検知システムは、個人特定情報を変換した不可逆コードに関連付けられた取引情報を記録する取引情報記憶部と、取引端末から取引要求を取得する制御部とを備える。そして、前記制御部が、個人特定情報をユニークな不可逆コードに変換し、取引端末識別情報を含めた取引情報を取得し、前記取引情報記憶部に蓄積し、前記取引情報記憶部に蓄積された取引情報に基づいて、取引端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出し、新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、乖離度が大きい場合に注意喚起情報を出力する。

【発明の効果】

【0006】

本発明によれば、不正の可能性がある取引行為を検知することができる。

【図面の簡単な説明】

【0007】

【図1】本実施形態のシステム概略図。

【図2】本実施形態の取引パターンの説明図であって、（ａ）は取引量の端末取引パターン、（ｂ）は取引内容の端末取引パターン、（ｃ）は媒体種別の端末取引パターン、（ｄ）は媒体発行者の端末取引パターン、（ｅ）は顔画像の端末取引パターン、（ｆ）は利用位置（連続性）の利用者取引パターン、（ｇ）は利用位置（統計性）の利用者取引パターンの説明図。

【図3】本実施形態の処理手順の説明図。

【図4】本実施形態の処理手順の説明図であって、（ａ）は取引量評価処理、（ｂ）は取引内容評価処理の説明図。

【図5】本実施形態の処理手順の説明図であって、（ａ）は媒体属性評価処理、（ｂ）は顔画像評価処理の説明図。

【図6】本実施形態の処理手順の説明図であって、（ａ）は移動評価処理、（ｂ）は個別媒体評価処理の説明図。

【図7】他の実施形態の処理手順の説明図。

【発明を実施するための形態】

【0008】

以下、図１〜図６を用いて、不正検知システムの一実施形態を説明する。本実施形態では、銀行（自行）の取引端末において、他の銀行（他行）に開設された口座のキャッシュカード（媒体）を用いて、利用者が、取引（例えば、現金引出）を行なう場合を想定する。

【0009】

図１に示すように、利用者が取引を行なう場合、取引端末１０、ネットワークスイッチ１１、ゲートウェイ１２、ホストシステム１３を用いる。
取引端末１０は、利用者の取引依頼を受け付ける端末であり、例えば、現金自動預払機等を用いる。本実施形態では、利用者のキャッシュカードを受け付け、このキャッシュカードを用いての現金引出（取引依頼）に対応する場合を想定する。

【0010】

ネットワークスイッチ１１は、取引端末１０から送信された取引要求電文を、ゲートウェイ１２及び監視装置２０に転送する処理を実行する。
ゲートウェイ１２は、ネットワークスイッチ１１をホストシステム１３に接続するコンピュータサーバである。

【0011】

ホストシステム１３は、取引要求電文に応じて、取引処理を行なうコンピュータシステムである。本実施形態では、ホストシステム１３は、利用者のキャッシュカードに基づいて特定される他行口座を用いて、現金引出サービスを提供する。

【0012】

監視装置２０は、取引要求電文に基づいて、不正行為の可能性を判定するコンピュータシステムである。この監視装置２０は、制御部２１、取引情報記憶部２２、端末情報記憶部２３を備えている。

【0013】

制御部２１は、制御手段（ＣＰＵ、ＲＡＭ、ＲＯＭ等）を備え、後述する処理（取引情報取得段階、コード化段階、推定段階、評価段階、通知段階等の各処理等）を行なう。そのための評価プログラムを実行することにより、制御部２１は、情報取得部２１０、コード化部２１１、推定部２１２、評価部２１３、通知部２１４として機能する。

【0014】

情報取得部２１０は、ネットワークスイッチ１１から取引要求電文を取得する処理を実行する。
コード化部２１１は、取引要求電文に含まれる個人情報（カード情報）をハッシュ化する処理を実行する。このハッシュ化により、個人を識別可能なユニークなコードであって、個人情報を特定できない不可逆コードに変換する。この不可逆コードから媒体識別子を算出することはできない。なお、個人情報を特定できない不可逆コードに変換できれば、変換方法はハッシュ化に限定されるものではない。

【0015】

推定部２１２は、取引情報記憶部２２に記録された取引情報を用いて、ベイズ推定により、将来、行なわれる取引パターンを予測し、現時点で行なわれる可能性がある取引を表わした推定値（取引推定値）を算出する処理を実行する。
評価部２１３は、取引パターンを用いて算出した取引推定値と、新たに取得した取引要求電文の評価項目との乖離を評価する処理を実行する。このため、評価部２１３は、取引推定値との乖離を判定するために、以下の基準値取引量に関するデータを保持する。
・取引量の大きな乖離を判定するための取引量乖離基準値
・取引内容の乖離を判定するための取引内容乖離基準値
・媒体属性（媒体種別、媒体発行者）の分布の大きな乖離を判定するための媒体属性基準値
・同一利用者の連続利用回数の乖離を判定するための連続利用基準回数
・複数の取引端末１０を利用する場合の端末間の標準的な移動速度
・取引端末１０の通常時の利用状況を特定するための普段利用判定数
そして、評価部２１３は、各評価項目の評価結果をメモリに記録するとともに、各評価項目の評価結果を用いて多角的な評価を行なう。
通知部２１４は、取引要求電文の評価結果に基づいて、アラーム（注意喚起情報）を通知する処理を実行する。

【0016】

取引情報記憶部２２には、各利用者との取引履歴について、取引管理レコード２２０が記録される。ここでは、コンビニエンスストア等、銀行以外の店舗のキャッシュアウト等における取引についても記録する。この取引管理レコード２２０は、取引端末１０からの取引要求電文を、ネットワークスイッチ１１を介して取得した場合に記録される。この取引管理レコード２２０は、不可逆コード、取引日時、取引端末、媒体種別、媒体発行者、取引金額、取引種別、暗証番号相違、画像特徴量に関するデータを含んで構成される。

【0017】

不可逆コードデータ領域には、利用者や取引に用いる媒体情報（キャッシュカードにより特定されるカード番号や口座番号等の個人特定情報）をユニークに特定するための識別子に関するデータが記録される。本実施形態では、取引端末１０において取引に用いるキャッシュカードの媒体識別子をハッシュ化したコードを記録する。これにより、取引に用いるキャッシュカードを個別に識別することができるが、取引に用いられる媒体情報自身を特定することはできない。

【0018】

取引日時データ領域には、取引要求電文を取得した年月日及び時刻を特定するための識別子に関するデータが記録される。
取引端末データ領域には、取引場所を特定するために、取引端末１０の識別子に関するデータが記録される。本実施形態では、取引端末１０を特定するための端末コード（ＩＰアドレス）を記録する。

【0019】

媒体種別、媒体発行者の各データ領域には、それぞれ、媒体種別（ＩＣ、ＭＳ（磁気ストライプ）等の媒体）、媒体発行者（ＢＩＮコード：発行者識別番号）に関するデータが記録される。
取引金額データ領域には、取引要求電文に含まれる取引金額に関するデータが記録される。

【0020】

取引種別データ領域には、取引要求電文における取引種別を特定するための識別子に関するデータが記録される。
暗証番号相違データ領域には、この取引において、暗証番号の入力間違いがあったことが記録される。
画像特徴量データ領域には、取引端末１０において撮影した利用者の人物特徴情報に関するデータが記録される。本実施形態では、人物特徴情報として、利用者の顔画像の特徴量を用いる。

【0021】

端末情報記憶部２３には、取引端末１０についての端末管理レコード２３０が記録される。この端末管理レコード２３０は、取引端末１０が設置された場合に記録される。端末管理レコード２３０は、端末コード、設置場所に関するデータを含んで構成される。
端末コードデータ領域には、取引端末１０を特定するための識別子に関するデータが記録される。
設置場所データ領域には、この取引端末１０が設置された場所（店舗種別や住所）に関するデータが記録される。

【0022】

監視装置２０には、管理者端末３０が接続される。この管理者端末３０は、取引を監視する管理者が用いるコンピュータ端末である。

【0023】

次に、図２を用いて、監視装置２０において、通常取引における取引推定値と乖離がある取引を検知するパターンを説明する。本実施形態では、利用者に関する取引パターンや、取引端末１０に関する取引パターンを用いる。

【0024】

取引端末１０毎に評価する取引パターンとしては、以下のパターンを用いる。
図２（ａ）に示すように、各取引端末１０における取引量の時間帯依存性に関する端末取引パターンを用いる。このパターンにより、各取引端末１０において、ベイズ推定により予測される取引量分布（取引推定値）と乖離した「取引量の急増」を判定する。

【0025】

図２（ｂ）に示すように、各取引端末１０における取引内容の時間帯依存性に関する端末取引パターンを用いる。このパターンにより、各取引端末１０において、ベイズ推定により予測される取引内容（例えば、暗証番号相違）の発生頻度（取引推定値）と乖離した「特定の取引内容（暗証番号相違）の連続発生（連続性）」を判定する。なお、取引内容は暗証番号相違に限定されるものではなく、乖離した頻度での現金引出等の連続発生を判定してもよい。

【0026】

図２（ｃ）に示すように、各取引端末１０において利用されるカードの媒体種別（ＩＣ、ＭＳ（磁気ストライプ）等の媒体）の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測される媒体種別の利用頻度（取引推定値）と乖離した「特定の媒体種別の連続利用（連続性）」を判定する。

【0027】

図２（ｄ）に示すように、各取引端末１０において利用されるカードの媒体発行者（発行国を特定可能なＢＩＮコード）の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測されるＢＩＮコードの頻度（取引推定値）とは異なる「特定の媒体の連続利用（連続性）」を判定する。

【0028】

図２（ｅ）に示すように、各取引端末１０における利用者の顔画像の分布に関する端末取引パターンを用いる。このパターンにより、ベイズ推定により予測される利用者の分布（取引推定値）と乖離した「同一利用者の連続利用（連続性）」を判定する。

【0029】

媒体（不可逆コード）毎に評価する取引パターンとしては、以下のパターンを用いる。
図２（ｆ）に示すように、同一カード（同じ不可逆コードの媒体）の利用位置（連続性）に関する利用者取引パターンを用いる。このパターンにより、標準的な移動速度（標準移動速度）で移動できる範囲（取引推定値）を超えた場所に配置された複数の取引端末１０を用いての「同一媒体の連続利用の範囲（連続性）」との乖離を判定する。

【0030】

図２（ｇ）に示すように、同一カード（同じ不可逆コードの媒体）の利用位置（統計性）に関する利用者取引パターンを用いる。このパターンにより、ベイズ推定により予測される利用頻度が高い場所（取引が推定される取引端末１０）と異なる場所での「同一媒体の利用範囲（統計性）」との乖離を判定する。

【0031】

また、利用者取引パターンにおいても、図２（ｅ）と同様に、各不可逆コードにおける利用者の顔画像の分布に関するパターンを用いる。このパターンにより、ベイズ推定により予測される利用者の分布（取引推定値）と乖離した「異なる利用者」の利用を判定する。

【0032】

また、利用者取引パターンにおいても、図２（ｂ）と同様に、各不可逆コードにおける取引種別の分布に関するパターンを用いる。このパターンにより、ベイズ推定により予測される同一媒体の利用頻度（取引推定値）と乖離した「異なる取引種別」の発生を判定する。

【0033】

次に、図３〜図６を用いて、監視装置２０における不正検知処理を説明する。
（不正検知処理）
図３を用いて、不正検知処理を説明する。
まず、監視装置２０の制御部２１は、取引情報の取得処理を実行する（ステップＳ１−１）。具体的には、利用者が取引端末１０において取引依頼を入力した場合、取引端末１０は、ネットワークスイッチ１１、ゲートウェイ１２を介して、ホストシステム１３に取引要求電文を送信する。この取引要求電文には、取引に利用する媒体識別子、端末コード、媒体情報（媒体種別）、取引金額、取引種別、顔画像特徴量に関するデータが含まれる。この場合、制御部２１の情報取得部２１０は、ネットワークスイッチ１１から取引要求電文を取得する。そして、情報取得部２１０は、媒体識別子により、媒体発行者を特定する。

【0034】

次に、監視装置２０の制御部２１は、媒体識別情報のハッシュ化処理を実行する（ステップＳ１−２）。具体的には、制御部２１のコード化部２１１は、媒体識別子をハッシュ関数に代入して不可逆コード（ハッシュ値）を算出する。

【0035】

次に、監視装置２０の制御部２１は、取引履歴の取得処理を実行する（ステップＳ１−３）。具体的には、制御部２１の情報取得部２１０は、所定期間（サンプル期間）について、取引要求電文に含まれる端末コードが取引端末データ領域に記録された取引管理レコード２２０、及びステップＳ１−２で算出した不可逆コードが記録された取引管理レコード２２０を、取引情報記憶部２２から取得する。

【0036】

そして、上述した端末取引パターン、利用者取引パターンを用いて、今回の取引依頼を評価する。
ここでは、監視装置２０の制御部２１は、端末取引パターンの特定処理を実行する（ステップＳ１−４）。具体的には、制御部２１の推定部２１２は、取引要求電文に含まれる端末コードが取引端末データ領域に記録された取引管理レコード２２０を用いて、評価項目毎に取引端末１０単位の端末取引パターンを特定する。

【0037】

そして、監視装置２０の制御部２１は、端末取引パターンとの乖離の評価処理を実行する（ステップＳ１−５）。具体的には、制御部２１の評価部２１３は、評価項目毎に、今回の取引依頼と、端末取引パターンにおける今回の取引時の取引推定値との乖離の大きさ（乖離度）を評価する。この評価の詳細は、図４、図５を用いて、後述する。

【0038】

また、監視装置２０の制御部２１は、利用者取引パターンの特定処理を実行する（ステップＳ１−６）。具体的には、制御部２１の推定部２１２は、算出した不可逆コードが記録された取引管理レコード２２０を用いて、評価項目毎に同一媒体による利用者取引パターンを特定する。

【0039】

そして、監視装置２０の制御部２１は、利用者取引パターンとの乖離の評価処理を実行する（ステップＳ１−７）。具体的には、制御部２１の評価部２１３は、評価項目毎に、今回の取引依頼と、利用者取引パターンにおける今回の取引時の取引推定値との乖離の大きさ（乖離度）を評価する。この評価の詳細は、図６を用いて、後述する。

【0040】

次に、監視装置２０の制御部２１は、乖離の多角的評価処理を実行する（ステップＳ１−８）。具体的には、制御部２１の評価部２１３は、メモリに記録された評価結果（端末取引パターンの取引推定値との乖離幅、利用者取引パターンの取引推定値との乖離幅）の項目別評価結果をまとめて評価する。ここでは、各評価項目の乖離の評価結果を、複数の評価軸に展開し、その展開状況により多角的評価結果を算出する。例えば、複数の評価軸に展開した場合の乖離の分布形状を算出することにより、多角的評価結果を算出する。

【0041】

次に、監視装置２０の制御部２１は、アラーム通知対象かどうかについての判定処理を実行する（ステップＳ１−９）。具体的には、制御部２１の評価部２１３は、多角的評価結果が、アラーム通知基準を超えているかどうかを判定する。例えば、複数の評価軸（評価項目）に乖離の大きさで展開した場合の分布形状が、所定形状（アラーム通知基準）を超えている場合にはアラーム通知対象と判定する。

【0042】

アラーム通知対象と判定した場合（ステップＳ１−９において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム通知処理を実行する（ステップＳ１−１０）。具体的には、制御部２１の通知部２１４は、管理者端末３０に対して、アラームを通知する。

【0043】

一方、アラーム通知対象でないと判定した場合（ステップＳ１−９において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム通知処理（ステップＳ１−１０）をスキップする。

【0044】

そして、ベイズ推定で予測した端末取引パターン、利用者取引パターンを用いて、今回の取引要求電文の各評価項目の評価（ステップＳ１−４〜Ｓ１−７）を、以下で説明する。
（取引量評価処理）
図４（ａ）を用いて、取引量評価処理を説明する。
まず、監視装置２０の制御部２１は、取引時間帯毎の取引量の算出処理を実行する（ステップＳ２−１）。具体的には、制御部２１の推定部２１２は、取引要求電文を送信した取引端末１０の端末コードが取引端末データ領域に記録された取引管理レコード２２０を用いて、取引時間帯毎にレコード数をカウントして、取引端末１０における取引量（端末取引パターン）を算出する。取引時間帯としては、例えば、「９時〜１０時」、「１０時〜１１時」のように、取引可能時間を、所定の単位時間毎に区切った時間帯を用いる。

【0045】

次に、監視装置２０の制御部２１は、取引端末における取引量の推定処理を実行する（ステップＳ２−２）。具体的には、制御部２１の推定部２１２は、時間帯毎の取引量の端末取引パターンを用いて、現在時刻の取引量（取引推定値）を予測する。

【0046】

次に、監視装置２０の制御部２１は、推定値との乖離が大きいかどうかについての判定処理を実行する（ステップＳ２−３）。具体的には、制御部２１の評価部２１３は、推定値と、直近の所定期間（評価期間）の取引量とを比較して、乖離幅を算出する。乖離幅が取引量乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。

【0047】

推定値との乖離が大きいと判定した場合（ステップＳ２−３において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ２−４）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、取引量評価結果として乖離幅をメモリに仮記憶する。

【0048】

一方、推定値との乖離が小さいと判定した場合（ステップＳ２−３において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ２−４）をスキップする。

【0049】

（取引内容評価処理）
図４（ｂ）を用いて、取引内容評価処理を説明する。
まず、監視装置２０の制御部２１は、取引時間帯毎の取引内容の算出処理を実行する（ステップＳ３−１）。具体的には、制御部２１の推定部２１２は、取引要求電文を送信した取引端末１０の端末コードが取引端末データ領域に記録された取引管理レコード２２０を用いて、取引時間帯毎に、取引端末１０における取引内容（取引種別、暗証番号相違）毎にレコード数をカウントして、取引内容の分布（端末取引パターン）を算出する。

【0050】

次に、監視装置２０の制御部２１は、取引端末における取引内容の推定処理を実行する（ステップＳ３−２）。具体的には、制御部２１の推定部２１２は、時間帯毎の取引内容の端末取引パターンを用いて、現在時刻の取引内容の分布（取引推定値）を予測する。

【0051】

次に、監視装置２０の制御部２１は、推定値との乖離が大きいかどうかについての判定処理を実行する（ステップＳ３−３）。具体的には、制御部２１の評価部２１３は、推定値と、直近の所定期間（評価期間）の取引内容の分布とを比較して、乖離幅を算出する。乖離幅が取引内容乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。

【0052】

推定値との乖離が大きいと判定した場合（ステップＳ３−３において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ３−４）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、取引内容評価結果として乖離幅をメモリに仮記憶する。

【0053】

一方、推定値との乖離が小さいと判定した場合（ステップＳ３−３において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ３−４）をスキップする。

【0054】

（媒体属性評価処理）
図５（ａ）を用いて、媒体属性評価処理を説明する。
まず、監視装置２０の制御部２１は、取引時間帯毎の媒体種別の分布の算出処理を実行する（ステップＳ４−１）。具体的には、制御部２１の推定部２１２は、取引要求電文を送信した取引端末１０の端末コードが取引端末データ領域に記録された取引管理レコード２２０を用いて、取引時間帯毎に、各媒体種別のレコード数をカウントして、取引端末１０における媒体種別の分布（端末取引パターン）を算出する。

【0055】

次に、監視装置２０の制御部２１は、取引時間帯毎の媒体発行者の分布の算出処理を実行する（ステップＳ４−２）。具体的には、制御部２１の推定部２１２は、取引要求電文を送信した取引端末１０の端末コードが取引端末データ領域に記録された取引管理レコード２２０を用いて、取引時間帯毎に、各媒体発行者のレコード数をカウントして、取引端末１０における媒体発行者の分布（端末取引パターン）を算出する。

【0056】

次に、監視装置２０の制御部２１は、取引端末における媒体利用状況の推定処理を実行する（ステップＳ４−３）。具体的には、制御部２１の推定部２１２は、時間帯毎の媒体種別、媒体発行者の端末取引パターンを用いて、現在時刻の媒体種別、媒体発行者の媒体利用状況（各取引推定値）を推定する。

【0057】

次に、監視装置２０の制御部２１は、推定値との乖離が大きいかどうかについての判定処理を実行する（ステップＳ４−４）。具体的には、制御部２１の評価部２１３は、各取引推定値と直近の所定期間の媒体種別、媒体発行者の媒体利用状況とを比較して、それぞれの乖離幅を算出する。媒体種別、媒体発行者のいずれかの乖離幅が媒体属性乖離基準値を超えている場合には、推定値との乖離が大きいと判定する。

【0058】

ここで、推定値との乖離が小さいと判定した場合（ステップＳ４−４において「ＮＯ」の場合）、監視装置２０の制御部２１は、同一属性の連続性の評価処理を実行する（ステップＳ４−５）。具体的には、制御部２１の評価部２１３は、直近の所定期間（評価期間）の媒体種別、媒体発行者の媒体を用いた取引の連続回数を算出する。

【0059】

次に、監視装置２０の制御部２１は、異常な連続利用かどうかについての判定処理を実行する（ステップＳ４−６）。具体的には、制御部２１の評価部２１３は、媒体種別、媒体発行者の端末取引パターンを用いて、今回の媒体種別、媒体発行者について、連続して利用される回数（取引推定値）を算出する。そして、今回の媒体種別、媒体発行者の媒体の連続利用回数が推定値を超えている場合には、異常な連続利用と判定する。

【0060】

推定値との乖離が大きいと判定した場合や、異常な連続利用と判定した場合（ステップＳ４−４、Ｓ４−６において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ４−７）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、媒体属性評価結果として乖離幅、連続利用回数をメモリに仮記憶する。

【0061】

一方、異常な連続利用でないと判定した場合（ステップＳ４−６において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ４−７）をスキップする。

【0062】

（顔画像評価処理）
図５（ｂ）を用いて、顔画像評価処理を説明する。
まず、監視装置２０の制御部２１は、直近所定期間の利用者画像の取得処理を実行する（ステップＳ５−１）。具体的には、制御部２１の評価部２１３は、取引要求電文を送信した取引端末１０の端末コードが取引端末データ領域に記録され、直近所定期間の取引管理レコード２２０を取引情報記憶部２２から取得する。そして、評価部２１３は、取引管理レコード２２０に記録された画像特徴量を取得する。

【0063】

次に、監視装置２０の制御部２１は、利用者画像のマッチング処理を実行する（ステップＳ５−２）。具体的には、制御部２１の評価部２１３は、取得した画像特徴量に基づいて、取引端末１０における同一利用者を分類する。

【0064】

次に、監視装置２０の制御部２１は、異常な連続利用かどうかについての判定処理を実行する（ステップＳ５−３）。具体的には、制御部２１の評価部２１３は、同一利用者の連続利用回数を算出し、連続利用基準回数（取引推定値）と比較する。そして、連続利用回数が基準回数を超えている場合には、異常な連続利用と判定する。なお、連続利用基準回数（取引推定値）を、推定部２１２が、この取引端末１０の過去の利用状況（取引パターン）に基づいて算出してもよい。

【0065】

異常な連続利用と判定した場合（ステップＳ５−３において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ５−４）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、顔画像評価結果として連続利用回数をメモリに仮記憶する。

【0066】

一方、異常な連続利用でないと判定した場合（ステップＳ５−３において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ５−４）をスキップする。

【0067】

（移動評価処理）
図６（ａ）を用いて、移動評価処理を説明する。
まず、監視装置２０の制御部２１は、前回利用の取引端末の特定処理を実行する（ステップＳ６−１）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文に関わる不可逆コードが記録され、直近の取引日時が記録された取引管理レコード２２０（前回取引の取引管理レコード２２０）を抽出する。そして、評価部２１３は、抽出した取引管理レコード２２０の取引端末データ領域に記録されている端末コードを特定する。

【0068】

次に、監視装置２０の制御部２１は、前回利用の取引端末との距離及び取引時間間隔の算出処理を実行する（ステップＳ６−２）。具体的には、制御部２１の評価部２１３は、端末情報記憶部２３を用いて、前回の取引端末１０及び今回の取引端末１０の設置場所を特定し、両者の端末間距離を算出する。更に、評価部２１３は、前回利用の取引管理レコード２２０の取引日時と現在日時との差分（取引時間間隔）を算出する。

【0069】

次に、監視装置２０の制御部２１は、乖離度の算出処理を実行する（ステップＳ６−３）。ここでは、複数の取引端末１０を利用する場合に、一般的に移動可能な範囲を端末取引パターンとして用いる。具体的には、制御部２１の評価部２１３は、前回の取引で利用した取引端末１０と、今回の取引で利用している取引端末１０との乖離度を、以下の式で算出する。
〔乖離度〕＝〔端末間距離〕／〔取引時間間隔×標準移動速度〕

【0070】

ここで、標準移動速度は、端末間距離により定められ、〔取引時間間隔×標準移動速度〕が通常の端末取引パターンにおける取引推定値として機能する。例えば、所定距離以下の場合には、平均的な徒歩による移動速度を用い、所定距離を超える場合には、交通機関を利用した場合の移動速度を用いる。なお、標準移動速度（取引推定値）を、推定部２１２が、二つの取引端末１０の過去の利用状況（取引パターン）に基づいて算出してもよい。

【0071】

次に、監視装置２０の制御部２１は、乖離が大きいかどうかについての判定処理を実行する（ステップＳ６−４）。具体的には、制御部２１の評価部２１３は、乖離度と移動基準値とを比較し、乖離度が基準値を超える場合には、乖離が大きいと判定する。

【0072】

乖離が大きいと判定した場合（ステップＳ６−４において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ６−５）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、移動評価結果として乖離度をメモリに仮記憶する。

【0073】

一方、乖離が小さいと判定した場合（ステップＳ６−４において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ６−５）をスキップする。

【0074】

（個別媒体評価処理）
図６（ｂ）を用いて、個別媒体評価処理を説明する。
まず、監視装置２０の制御部２１は、普段の利用状況を特定可能かどうかについての判定処理を実行する（ステップＳ７−１）。具体的には、制御部２１の推定部２１２は、今回の取引における不可逆コードが記録された取引管理レコード２２０のレコード数を算出する。そして、推定部２１２は、レコード数が普段利用判定数以上の場合には、普段の利用状況を特定可能と判定する。

【0075】

レコード数が普段利用判定数未満で、普段の利用状況を特定不可と判定した場合（ステップＳ７−１において「ＮＯ」の場合）、監視装置２０の制御部２１は、個別媒体評価処理を終了する。

【0076】

一方、レコード数が普段利用判定数以上で、普段の利用状況を特定可能と判定した場合（ステップＳ７−１において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、利用者の顔画像の取得処理を実行する（ステップＳ７−２）。具体的には、制御部２１の推定部２１２は、取引管理レコード２２０に記録された画像特徴量を取得する。

【0077】

次に、監視装置２０の制御部２１は、通常利用者の特定処理を実行する（ステップＳ７−３）。具体的には、制御部２１の推定部２１２は、取得した画像特徴量を用いて、利用者を識別する。ここで、画像特徴量に基づいて、複数の利用者を特定した場合には、すべてを通常利用者として推定する。この通常利用者の画像特徴量を取引推定値として用いる。

【0078】

次に、監視装置２０の制御部２１は、乖離が大きいかどうかについての判定処理を実行する（ステップＳ７−４）。具体的には、制御部２１の評価部２１３は、通常利用者の画像特徴量と、今回の取引における顔画像の画像特徴量とを比較する。通常利用者と異なる場合には、乖離が大きいと判定する。

【0079】

乖離が大きいと判定した場合（ステップＳ７−４において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理を実行する（ステップＳ７−５）。具体的には、制御部２１の評価部２１３は、今回の取引要求電文をアラーム対象候補としてメモリに仮記憶する。この場合、個別媒体評価結果として、特定の利用者のみが利用している状況（通常利用者の人数が少ない状況）で、複数の利用者を検知した場合、人数に応じて大きな乖離幅をメモリに仮記憶する。

【0080】

一方、乖離が小さいと判定した場合（ステップＳ７−４において「ＮＯ」の場合）、監視装置２０の制御部２１は、アラーム対象候補処理（ステップＳ７−５）をスキップする。

【0081】

以上、本実施形態によれば、以下のような効果を得ることができる。
（１）本実施形態によれば、監視装置２０の制御部２１は、媒体識別情報のハッシュ化処理を実行する（ステップＳ１−２）。これにより、個人情報の漏えいを抑制することができる。特に、不正の可能性がある取引を検知するための取引パターンを、利用者個人を特定することなく生成することができる。

【0082】

（２）本実施形態によれば、監視装置２０の制御部２１は、端末取引パターンの特定処理（ステップＳ１−４）、端末取引パターンとの乖離の評価処理（ステップＳ１−５）を実行する。これにより、取引端末１０の利用状況に基づいて予測した取引推定値を用いて、通常でない取引状況を検知することができる。

【0083】

（３）本実施形態によれば、監視装置２０の制御部２１は、利用者取引パターンの特定処理（ステップＳ１−６）、利用者取引パターンとの乖離の評価処理（ステップＳ１−７）を実行する。これにより、キャッシュカード等の媒体の利用状況に基づいて予測した取引推定値を用いて、通常でない取引状況を検知することができる。

【0084】

（４）本実施形態によれば、監視装置２０の制御部２１は、乖離の多角的評価処理を実行する（ステップＳ１−８）。これにより、複数の評価項目を用いて、的確に不正の可能性がある取引を検知することができる。

【0085】

（５）本実施形態によれば、監視装置２０の制御部２１は、取引量評価処理を実行する。これにより、取引に利用される取引端末１０における取引推定値から乖離した異常な取引量を検知することができる。

【0086】

（６）本実施形態によれば、監視装置２０の制御部２１は、取引内容評価処理を実行する。これにより、取引に利用される取引端末１０における取引推定値から乖離した異常な取引内容の発生状況を検知することができる。

【0087】

（７）本実施形態によれば、監視装置２０の制御部２１は、媒体属性評価処理を実行する。これにより、取引に利用される取引端末１０における取引推定値から乖離した異常な媒体属性の利用状況を検知することができる。

【0088】

（８）本実施形態によれば、監視装置２０の制御部２１は、顔画像評価処理を実行する。これにより、取引に利用される取引端末１０における取引推定値から乖離した異常な同一利用者の利用状況を検知することができる。

【0089】

（９）本実施形態によれば、監視装置２０の制御部２１は、移動評価処理を実行する。これにより、取引に利用される取引端末１０における取引推定値から乖離した複数の取引端末の利用状況を検知することができる。

【0090】

（１０）本実施形態によれば、監視装置２０の制御部２１は、個別媒体評価処理を実行する。これにより、不可逆コードにより特定される利用者における取引推定値から乖離したキャッシュカード等の媒体の利用状況を検知することができる。

【0091】

また、上記実施形態は以下のように変更してもよい。
・上記実施形態では、監視装置２０の制御部２１は、乖離度の算出処理を実行する（ステップＳ６−３）。この場合、乖離度を算出するための情報は、端末間距離、取引時間間隔、標準移動速度に限定されるものではない。例えば、移動経路検索サービスを利用して、取引端末１０間の移動に要する所要時間を算出するようにしてもよい。この場合には、移動経路検索サービスで算出した所要時間と、今回の取引における取引時間間隔との差分を乖離度として算出する。

【0092】

また、日常的に利用している取引端末１０と、それ以外の取引端末１０については、判断手法を変更してもよい。例えば、不可逆コードを用いて日常的に利用している取引端末１０を特定し、この取引端末１０については、使い慣れた環境での利用と判定し、標準移動速度を高く設定する。これにより、取引端末１０の利用状況に応じて、利用経験がある取引端末１０については、短い取引時間間隔であっても、乖離度を小さくすることができる。

【0093】

・上記実施形態では、監視装置２０の制御部２１は、端末取引パターンの特定処理（ステップＳ１−４）、端末取引パターンとの乖離の評価処理（ステップＳ１−５）を実行する。この場合、新設の取引端末１０については、他の取引端末１０の端末取引パターンを利用するようにしてもよい。このために、端末情報記憶部２３には、取引端末１０の設置場所の環境属性を特定するための情報を記録しておく。この環境属性は、例えば、銀行店舗内、コンビニエンスストア内、駅構内等の施設等、利用者が共通すると想定される環境の特徴を意味する。

【0094】

図７を用いて、この場合の不正検知処理を説明する。
ここでは、監視装置２０の制御部２１は、ステップＳ１−３と同様に、取引履歴の取得処理を実行する（ステップＳ８−１）。

【0095】

次に、監視装置２０の制御部２１は、新設かどうかについての判定処理を実行する（ステップＳ８−２）。具体的には、制御部２１の推定部２１２は、取引情報記憶部２２から取得した取引管理レコード２２０のレコード数を算出する。そして、推定部２１２は、レコード数が新設評価基準数未満の場合には、新設の取引端末１０と判定する。

【0096】

取引管理レコード２２０のレコード数が新設評価基準数以上であり、新設でないと判定した場合（ステップＳ８−２において「ＮＯ」の場合）、監視装置２０の制御部２１は、ステップＳ１−４と同様に、端末取引パターンの特定処理を実行する（ステップＳ８−３）。

【0097】

一方、取引管理レコード２２０のレコード数が新設評価基準数未満であり、新設と判定した場合（ステップＳ８−２において「ＹＥＳ」の場合）、監視装置２０の制御部２１は、類似する取引端末の端末取引パターンの特定処理を実行する（ステップＳ８−４）。具体的には、制御部２１の推定部２１２は、端末情報記憶部２３を用いて、新設の取引端末１０の設置場所の住所から所定範囲内に設置され、新設でない他の取引端末１０を検索する。次に、推定部２１２は、所定範囲内に設置されている他の取引端末１０の中で、設置場所の環境属性が共通する取引端末１０を類似端末として特定する。そして、推定部２１２は、特定した類似端末の取引管理レコード２２０を用いて、端末取引パターンを特定する。

【0098】

次に、監視装置２０の制御部２１は、ステップＳ１−５と同様に、端末取引パターンとの乖離の評価処理を実行する（ステップＳ８−５）。
また、監視装置２０の制御部２１は、ステップＳ１−６、Ｓ１−７と同様に、利用者取引パターンの特定処理（ステップＳ８−６）、利用者取引パターンとの乖離の評価処理（ステップＳ８−７）を実行する。
そして、監視装置２０の制御部２１は、ステップＳ１−８と同様に、乖離の多角的評価処理を実行する（ステップＳ８−８）。

【0099】

・上記実施形態では、監視装置２０の制御部２１は、端末取引パターンの特定処理を実行する（ステップＳ１−４）。ここでは、取引に用いられる取引端末１０の端末コードが記録された取引管理レコード２２０を用いて端末取引パターンを特定する。この場合、複数の取引端末１０をグループ化して、このグループに属する取引端末１０の取引管理レコード２２０により、端末取引パターンを特定してもよい。例えば、端末情報記憶部２３において、同じ店舗や、所定の近接範囲に複数の取引端末１０が設置されていることを検知した場合、監視装置２０の制御部２１は、これらの複数の取引端末１０をグループ化する。

【0100】

・上記実施形態では、監視装置２０の制御部２１は、端末取引パターンの特定処理を実行する（ステップＳ１−４）。また、監視装置２０の制御部２１は、利用者取引パターンの特定処理を実行する（ステップＳ１−６）。取引パターンの特定は、バッチ処理により、予め準備しておいてもよい。この場合には、監視装置２０にパターン記憶部を設け、端末コードに関連付けて端末取引パターン、不可逆コードに関連付けて利用者取引パターンを登録しておく。そして、新たな取引要求電文を取得した場合には、監視装置２０の制御部２１は、端末コードに関連付けられた端末取引パターン、不可逆コードに関連付けられた利用者取引パターンを呼び出し、取引パターンに基づく取引推定値との乖離の評価に用いる。

【0101】

・上記実施形態では、監視装置２０の制御部２１は、乖離の多角的評価処理を実行する（ステップＳ１−８）。この場合、利用者、取引端末１０についての取引管理レコード２２０の情報蓄積状況に応じて、判断手法を変更してもよい。ここでは、今回の取引における不可逆コードが取引端末データ領域に記録された取引管理レコード２２０のレコード数に応じて、乖離度の重み付けを行なう。具体的には、レコード数が多い取引パターンによる取引推定値については、乖離が大きい場合の乖離度を、レコード数が少ない取引パターンによる取引推定値よりも高く評価する。

【0102】

・上記実施形態では、取引端末１０毎の取引の連続性を予測するために、取引量〜顔画像の取引パターンを用いる。取引パターンは、これらに限定されるものではない。例えば、取引金額の連続性についての端末取引パターンを用いてもよい。例えば、同じ取引金額範囲の取引の連続について、端末取引パターンから予測される取引推定値からの乖離を評価するようにしてもよい。

【0103】

・上記実施形態では、銀行（自行）の取引端末において、他の銀行（他行）に開設された口座のキャッシュカード（媒体）を用いて、利用者が、取引（例えば、現金引出）を行なう場合を想定する。ここで、自行口座を用いての取引に適用してもよい。
また、個人特定情報を取得する媒体は、キャッシュカードに限定されない。例えば、個人特定情報をユニークな不可逆コードに変換できるものではあれば、利用者の携帯端末の固有情報や、利用者の生体情報を用いてもよい。

【0104】

・上記実施形態では、取引端末１０として、例えば、現金自動預払機等を用いる。取引端末は、現金自動預払機に限らない。例えば、ＰＣ端末や携帯端末を用いてもよい。
・上記実施形態では、監視装置２０は、ネットワークスイッチ１１から取引要求電文を取得する。ここで、取引端末１０やホストシステム１３から、取引要求電文を取得するようにしてもよい。
また、上記実施形態では、監視装置２０の制御部２１は、媒体識別情報のハッシュ化処理を実行する（ステップＳ１−２）。ここで、個人情報を特定できない不可逆コードへの変換（ハッシュ化）は、取引端末１０やホストシステム１３で行なうようにしてもよい。この場合には、不可逆コードに関連付けた取引情報を、取引要求電文とは別に、監視装置２０に提供する。

【0105】

・上記実施形態では、推定部２１２は、ベイズ推定により、将来、行なわれる取引パターンを予測し、取引推定値を算出する。推定方法は、ベイズ推定に限定されるものではなく、将来の取引を予測する各種統計的手法を用いることができる。
・上記実施形態では、監視装置２０の制御部２１は、利用者の顔画像の取得処理を実行する（ステップＳ７−２）。利用者を特定できる人物特徴情報であれば、顔画像に限定されるものではない。例えば、挙動を撮影した画像や取引端末の操作状況（操作速度等）を用いてもよい。

【符号の説明】

【0106】

１０…取引端末、１１…ネットワークスイッチ、１２…ゲートウェイ、１３…ホストシステム、２０…監視装置、２１…制御部、２１０…情報取得部、２１１…コード化部、２１２…推定部、２１３…評価部、２１４…通知部、２２…取引情報記憶部、２３…端末情報記憶部、３０…管理者端末。

【要約】

【課題】不正の可能性がある取引行為を検知するための不正検知システム、不正検知方法及び不正検知プログラムを提供する。
【解決手段】監視装置２０は、不可逆コードに関連付けられた取引情報を記録する取引情報記憶部２２と、取引端末１０から取引要求を取得する制御部２１とを備える。制御部２１が、個人特定情報をユニークな不可逆コードに変換し、取引端末識別情報を含めた取引情報を取得し、取引情報記憶部２２に蓄積し、取引情報記憶部２２に蓄積された取引情報に基づいて、端末毎及び不可逆コード毎に、将来の取引を推定した取引推定値を算出する。そして、制御部２１は、新規取引情報を取得した場合には、新規取引情報に含まれる取引端末識別情報に応じた取引端末１０の取引推定値及び不可逆コードにおける取引推定値に基づいて、新規取引情報の乖離度を算出し、乖離度が大きい場合に注意喚起情報を出力する。
【選択図】図１

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】