【QAあり】カウリス、マネー・ローンダリング検知サービスをSaaS型で提供　非労働集約型のビジネスモデルにより高い成長率を維持

個別株

投稿:2024/05/01 11:00

会社概要｜基本情報

島津敦好氏（以下、島津）：代表取締役の島津です。本日はご覧の資料をベースにお話しします。みなさま、よろしくお願いします。

会社概要です。当社はもともと、なりすましをブロックするサイバーセキュリティ対策を生業としてビジネスを開始した企業です。2019年に開かれたFATFに向け「不正な口座を見つけたほうがよいのではないのか？」というニーズが浮上したことで、2018年以降から金融業のお客さまが主要顧客となりました。

会社概要｜企業理念

実際にどのようなことを行っているのか、ビジネスについてご紹介します。当社はお客さま1社ごとに不正利用者のデータを集めるのではなく、みなさまで不正利用者の情報をシェアするというモデルをとっています。これにより、社会全体のセキュリティコストやコンプライアンス対応コストを下げようというコンセプトで、事業を行っています。

会社概要｜財務ハイライト

財務ハイライトです。当社はSaaS企業ですが、営業利益率は3割程度になっています。主な要因としては、職種特化型SaaSに比べてヘッドカウントがたくさん必要なビジネスではないことと、広告宣伝費があまりかからないビジネスであることが挙げられます。

ARPUはひと月あたり226万円と記載していますが、導入社数39社に対して売上が10億円弱程度ですので、他のSaaS企業に比べて月次のARPUが非常に高いです。

ARRの成長率は従来40パーセントほどで推移しており、今年に関しても同じような水準で推移すると考えています。

マネー・ローンダリングにおける不正利用者モニタリングの必要性

こちらが、一番お伝えしたいところです。近年はマネー・ローンダリング対策の必要性が非常に高まってきています。その背景には、みなさまのお金を送ったり決済を行ったりする際の資金移動の手段が、どんどんオンライン化してきているという流れがあります。犯行グループにとってもインターネットは利便性が高いため、犯行手段もどんどんネット取引化してきています。

2022年度のクレジットカードの不正利用額は437億円だったのですが、2023年度に不正利用者がインターネットバンキングからお金を盗んだ額は、90億円近くにまで達しています。

結果として、「規制を強化しないといけない」という流れが起こりました。金融庁や、国際的にマネー・ローンダリング対策を進めているFATFと呼ばれる団体なども、きちんと対応しなくてはいけないという方針になり、規制が強化されてきています。

現在、欧米でも同様の流れがありますが、銀行口座においては1社1社で白黒判定することが極めて難しいため、銀行間もしくは官民連携で不正利用者の情報をシェアするという対策が生まれました。

当社が設立される以前の日本では、そのような方法は行われていませんでしたが、不正利用者情報の流通をリアルタイムでシェアすることで、2次被害、3次被害を止めるといったことを、がんばって進めています。

会社概要｜サービス概要

当社のサービス概要です。スライドは実際の利用イメージです。当社のお客さまは、インターネットバンキングやインターネットトレーディングをお使いになる、資金移動業の企業が主です。それらのサービスにユーザーさまがお越しになり、ブラウザにログインする、もしくはスマートフォンアプリを立ち上げて使用します。

その際に、当社では誰がどのようなところから銀行口座を作り、ログインしているのか、出金しているのかを常時モニタリングしています。現在、月間のモニタリング件数が5億件を超えてきていますので、当社はおそらく日本で一番モニタリングのデータ量が多い会社となっています。

事業内容｜Fraud Alertとは

我々は端末情報を常時モニタリングするというビジネスを行っている訳ですが、おかしな振る舞いが行われていないかをチェックしています。

例えば、1つの端末なのに60個の銀行口座にログインが成功しているとなると、フィッシングで盗んだ不正利用者の端末である可能性がきわめて高いと判断します。そのようなリスクの高いアクセスがあった場合には、「すぐ本人確認したほうがよいですよ」とリアルタイムでお伝えしています。

本人確認を実施した結果、「やはりこれは不正利用者の口座でした」ということが確定できた場合には、該当の口座、もしくは該当の口座にログインする端末をブラックリストに登録し、お客さま間で共有するという対策を行っています。

また、スライド右上にお示ししたとおり、その情報自体も約250項目のパラメータで定量化し、当社でのモニタリングに使用しています。

会社概要｜Fraud Alertによる不正利用者の端末情報の共有

先ほどお伝えしたとおり、2016年から2017年頃までの日本の金融機関は、クラウドも使えないしAPIにもつながっていないという状況でした。家計簿アプリのプレイヤーも、ようやくそのタイミングで出てきたところでした。

日本の金融界において、データは外部と連携しないのが前提となっていたところに、当社は不正利用社情報を連携することで、例えば銀行Aで不正な取引や怪しい振る舞いをした人が、次は銀行Bや銀行Cへ来た時に検知するといったプラットフォームを提供しています。

このビジネスモデルは、けっこう規模が大きいものになります。スライド左側にお示しした既存サービスの場合には、例えばメガバンクから委託で受けているSIerやAIベンチャーは委託契約のため、「データを外部に出してはいけません」という契約がほとんどです。

これに対して、当社は「不正利用者の情報を当社へ提供する」という、個人情報保護法上の第三者提供を行うことが前提になっています。当社のお客さまは契約書上で、「カウリスに第三者提供します」という形式をとります。

また、日本の金融機関が初めて第三者提供を行うということで、法的論点を整理しています。金融機関には犯罪収益移転防止法の第8条によって、危ないトランザクションがあれば報告することが義務づけられているのですが、こちらに当社の取り組みが該当するということを警察庁などから確認し、「カウリスへの第三者提供は犯罪収益移転防止法の第8条に該当します」と説明しています。

そのほかとして、当社にとっては個人情報保護法がけっこうネックでした。個人情報保護法の第27条第1項に「法令に基づく場合においては、エンドユーザーから同意不要で、第三者に情報を提供してよしとする」とあるのですが、「カウリスへの第三者提供は警察庁の犯罪収益移転防止法の第8条に該当します」と整理したことで、「では、法令に基づく場合ですね」という解釈が可能になりました。我々としては現在このように説明しています。

当然、当社のビジネスは委託契約ではないため、営業する際にも、「個人情報の第三者提供が生じますが、このような理論武装がされているサービスです」ということをお伝えしながら、サービスを提供しています。

会社概要｜Fraud Alertの利用イメージ

個人情報の第三者提供が可能になったことによって何ができるかについてご説明します。

例えば、銀行Aで「残念ながら不正送金で盗まれました」となった時に、お金を盗んだ端末がどこにアクセスするのかという情報を追います。端末情報は、銀行業や暗号資産、消費者金融など、さまざまなところへ流れていきますので、端末情報をベースとして流れ先を追いかけていき、口座を凍結するという処置を行っています。

我々のデータをもとに年間数千件の口座が凍結されます。また、凍結された口座の端末をブラックリスト登録して、お客さまからシェアするという対応を行っています。

会社概要｜提供価値であるUXと安全の両立

我々のビジネスが提供できる価値についてです。スライドの上段にお示ししているのは、これまでのセキュリティのあり方です。

従来の本人確認方法では、基本的には「IDとパスワードで認証しましょう」という手続きになっていますが、この場合は、なりすましやアカウント乗っ取りのケースを検知できません。

具体的には、転売目的で銀行口座を作っている人たちがログインする際、「私が私である」ということは認証できても、「不正目的で利用する人だ」ということはチェックできなかったりするのです。

この状況に対して、我々の場合には、あちこちで不正な悪いことをしている人をサイト横断でトラッキングし、おかしな動きがあれば凍結していくということを顧客間で行います。

これを続けていくと、毎回認証するというよりは、危ない時だけ認証するという流れになるため、結果的にセキュリティ対応コストは下がっていくかたちになっています。

会社概要｜売上・営業利益推移

P/Lを分解して説明しています。営業利益が高い理由についてお話しすると、前提として当社の同業に該当する会社は、正直システムインテグレーターばかりです。システムインテグレーターは人工商売であるため、売上を増やすためには人を増やさないといけないビジネスモデルです。

これに対して、当社のビジネスは「データを最初にたくさん取った者が勝ち」というデータベースビジネスです。そのため、最初にメガバンクや通信キャリア会社などと契約すると、そのような大きな会社にアタックしているデータが使えるということで、顧客に対して、労働集約ではなくデータ集約でビジネスを提供しているかたちになります。結果的に、売上増加に伴いヘッドカウントを増やさずともビジネスが回るようになります。

また、セグメントは金融機関にフォーカスしているため、お客さまからご紹介いただいて新規顧客を獲得するということになるため、広告宣伝費がほとんどかかりません。2023年の1年間も、広告宣伝費が600万円ほどでした。カンファレンスに300万円ほどかかったくらいです。やはりこの部分は、一般的なシステムインテグレーターと大きく異なります。

2018年から2020年にかけては、プロダクト開発も先行していたため赤字があったのですが、2022年の12月期に過去の累積損失を解消したため、それ以降はP/L的にもB/S的にも、かなり健全な状態になっています。

会社概要｜金融機関への拡販によるFlaud AlertのARRの拡大

マーケットサイズがどの程度かについてご説明します。現在、当社は取引先の銀行が約20社ですので、マーケット占有率は17パーセントから18パーセントという水準ですが、2026年までに50パーセントまで持っていこうと思っています。

「なぜ2026年なのか？」と言いますと、日本ではFATFの審査が2019年に来た後、2021年に不合格が出ています。これ以降、日本の金融庁は金融機関を監督して、ちゃんとサイバーセキュリティ対策ができているかどうかを毎年FATFに報告するという流れになっており、そのデッドラインが2026年になっています。

逆にいえば、2026年までにモニタリングが義務付けられている金融機関の半分を顧客に獲得することができれば、残り半分について、後発で参入してくることは難しくなるだろうと考えています。

銀行というのは当然、金融業における主戦場の大動脈ですので、証券口座も、銀行口座がないと作れず、銀行口座に紐付きます。信用金庫や信用組合でも、信用金庫と信用組合間だけでトランザクションするのではなくて、例えば銀行など、大口の取引先と資金移動が行われます。「その他金融」には損害保険や生命保険なども含まれますが、さらにクレジットカードにも銀行口座が紐付きます。

したがって、銀行という大動脈を押さえていけば、おのずとその他の金融業、資金移動業のみなさまとも取引ができると考えています。

こちらはデータベースビジネスで、ゼロサムゲームのかたちとなっているため、最初に50パーセントを取った会社が勝つというマーケットだと考えており、当社としてはこれを寡占していく方針です。

会社概要｜新しいサービス CLUE

今後始めていくサービスについてご紹介します。実は、売上自体はすでに少しだけ立っているものになります。

「Fraud Alert」は、不正利用者の端末情報をシェアしようというビジネスです。

「iOS 12」以降のGoogleとAppleは、プライバシー情報をどんどん隠すという機能が強化されています。一例では、「iOS 15」に搭載された機能は、その人のロケーションやIPアドレス等をぼやかして、今ここからログインすると東京都の中央区あたりという見え方になっています。さらに、ログイン状態をぼやかす機能を付けると、日本からのアクセスしか見えないようにするほど、ユーザーのプライバシーを気にかけている設計です。

このため、「Android」もしくは「iPhone」のiOSで不正が行われると足がつきにくいということがわかって、端末だけだと識別がしにくくなっているという現状になっており、これは結果的に、世界全体での不正利用の助長にもつながっています。

これに対して、仮に不正利用者の個人情報をリアルタイムに流通させると、もし今日「◯Pay」で事故が起こった際に、事故を起こした人が1時間後に「△ Pay」に来た場合、「事故を起こした端末はこれです」という情報に加えて「この電話番号は悪意のある電話番号です」という情報がリアルタイムにシェアできると、2次被害や3次被害が止まっていくことになるため、不正利用者の情報を流通させるプラットフォームとして、現在当社は「CLUE」というものをキャッシュレス推進協議会を通じてサービス提供しています。

会社概要｜新しいサービス CLUE

「CLUE」というサービスでは、資金移動業における「FamiPay」のファミマデジタルワン社、LINE Pay社、ネットプロテクションズ社の3社から、過去に不正利用に使われた電話番号やメールアドレスを当社に送っていただき、当社にも情報が来ていないかどうかというのを相互で見ています。

このように、個人情報をリアルタイムにシェアするというマーケットを作っていくことを進めており、霞が関のみなさまとともに取り組んでいる状態です。

ビジネスモデル｜収益構造

当社のビジネスモデルをご説明します。売上はスライドのように、「Fraud Alert」利用料というSaaSの売上と、コンサルティング売上というサポート費用との2つに分かれています。90パーセント以上は上段の「Fraud Alert」の売上です。

契約社数と単価をお示ししていますが、単価は何で決まるかと言いますと、そのお客さまが何口座保有しているのかと、そのユーザーが何回ログインしていたりするのかといった点です。

また、ログインページだけではなく口座開設ページや送金ページ、インターネットバンキング以外にスマートフォンアプリも見るとなると、モニタリング範囲の増加に伴い口座数とアクション数が増えていくモデルになるため、設置面数が増えると単価が上がっていくということも1つのポイントです。

ビジネスモデル｜ARPU

高ARPUということで、ひと月あたり226万円となっています。広げ方のイメージとしては、インターネットバンキングでフィッシング詐欺に遭ったお客さまから問い合わせをいただき、ログインページを守らせていただきます。すると、次はスマートフォンアプリでフィッシング事故が起きた際にはアプリのモニタリングを依頼され、さらに「フィッシング件数があまりにも増えたので、送金ページを見てください」と依頼されていくものです。

「銀行口座転売」と検索するとたくさんの記事が出てくるのですが、最近では銀行口座の転売件数が飛躍的に増えています。メガバンクの口座を25万円で1口座買い取るというサービスが出たり、法人口座に関しては、なんと「400万円で買い取ります」というXアカウントが出回ったりしています。使用者が開設者と異なる口座を我々でも多数確認する必要があり、それを見るために我々が口座開設ページにまで入っていくことができます。

一例として、ある企業とはインターネットバンキングで初年度は260万円からご契約いただいたのですが、翌年度はスマホアプリ化して2倍の560万円程度になりました。また、コロナ禍の影響でインターネット化がどんどん進行しているため、3年間でユーザー数が2倍以上になっているという会社さまの場合には、月間売上で1,100万円程度いただいています。

インターネットバンキングユーザーは時系列に従っておのずと増えますし、それに伴って我々の設置面積もじわじわ増えていくため、ARPUは今後もっと上がっていくと考えています。

事業計画｜主要KPI

基本的なKPIは、MRR、契約社数、ARPUの3つです。

2023年12月に関しては1つポイントがあります。2021年8月のFATFの検査によって、日本は少しマネー・ローンダリングの率が高すぎるという結果が出てしまいました。

2022年12月期には結構契約社数が増えた一方で、2022年に金融庁がすべての金融機関を回り、本当にモニタリングをしっかり行っているかをチェックしたのですが、その結果、社内規程がしっかりできてないことがわかりました。

具体的に言うと、マネー・ローンダリング対策のガイドラインについては、警察庁と金融庁から年に1回バージョンアップがあるのですが、ガイドラインが変わると社内のモニタリングをする社内規程として、アンチマネー・ローンダリングとコンプライアンスの規程を書き換える必要があるのですが、これが適切にバージョンアップされていなかったことが、金融庁の調べでわかりました。

そのため、2023年はいきなりモニタリング、フィルタリングをする前に、数年間たまっているガイドラインの改訂部分を金融機関は社内規程に反映させるところをまずは対応するという話になったため、当社の取り組みを行う前に規程を変えています。現在は規程を作り終えた銀行からまた戻ってきていますので、今年の契約者数はまた増加すると考えています。

本当に幸いなことに、1年後には約20パーセントから40パーセント程度のインターネットバンキングユーザーが増加することに伴い、ユーザー数も増加しています。また、残念ながら昨年はフィッシング詐欺が非常に多かったため、「送金ページも見てくれ」という時代になってきており、設置面積が増えて、結果的にはARPUが上がっているかたちです。

ビジネスモデル｜収益構造

チャーンに関しては、2021年に上場申請をするにあたり、営業利益率を確保しないといけないということで、相当なネゴシエーションの結果、解約には至っていないものの、MRRの大幅な値引きを要求された某証券会社の大型顧客がいらっしゃったこともあり、そこが少しくぼんでしまっています。

ビジネスモデル｜Fraud Alertが利用されている場面

こちらは、先ほどの「設置面積を増やしましょう」というお話に関連します。

大きな金融機関では、インターネットバンキングとアプリバンキングは基本的には部署が違うため、最初はインターネットのログインページに関してご相談いただいた場合でも、「アプリチームのほうでも事故が起きているからアプリを見てくれ」「送金を見てくれ」「転売がひどいから口座開設を見てくれ」と、次第に相談の範囲が広がります。

また、口座転売は個人口座だけではなく、法人口座も300万円や400万円で取引されています。法人口座の転売は止めることが極めて難しく、さらに犯行グループは法人口座のほうが利用しやすいため、より高額で買われています。

我々は不正利用に使われている法人口座のデータベース化をし始めています。本業のキャッシュインが99パーセントの法人口座であっても、フィッシングで盗んだキャッシュも含まれてしまっているという数百件の法人について、我々はデータベース化しています。

そのように本業の入金で99パーセントが使われている口座が凍結すると、その支払先の会社が潰れてしまう、不渡りになってしまうということで、法人口座は銀行からすると止めにくいという構造になっています。そのため、主戦場は次第に個人口座から法人口座に入っていくというのが、今年の1つのチャレンジングな事柄になっていると思っています。

競争優位性｜②データ集約型ビジネス

データ集約型ビジネスについてです。先ほどの繰り返しになりますが、売上を2倍にするためにヘッドカウントが2倍になっているかというと、そうではないビジネスですので、データが集約されると我々が勝つという構造です。ベンチャーやSIerと違って、人工商売ではないというのと、広告宣伝費がほとんどかからないというのが21ページの内容です。

競争力の源泉｜3つの参入障壁

25ページからは、3つの優位性についてご説明します。

競争力の源泉｜3つの参入障壁　①リーディングカンパニーの金融機関等を主要とする顧客基盤

まず、最初に大型のお客さまを獲得できたのは大変大きいです。通信事業者、メガバンク、都市銀行、ネット系の大きな会社さまでしたが、4,000万口座を持っている銀行と、まだ10万口座しか持っていない銀行を比べると、アタックする人や量が大きく変わってくるため、大きな会社だと不正利用者が増えます。

たまたま「クラウドを使うぞ」「SaaSを使うぞ」というタイミングと、事故が起き始めたタイミングが重なり、大型の企業が真っ先に我々のお客さまになっていただきました。

そのお客さまはホールディングスで利用しようということで、一番大きな会社ですとグループ会社5社で我々のサービスを使っていただいており、ホールディングス内部での不正利用者の情報を連携するということになっています。そのようなお客さまのデータが増えれば増えるほど、新規顧客の獲得がしやすくなってきます。

これはキャッシュが大きければ勝つビジネスではなく、最初に不正利用者のデータを集めた会社が勝つビジネスですので、参入障壁はかなり厳しいということがわかっています。

競争力の源泉｜3つの参入障壁　②ネットワーク外部性

我々は個人情報保護法の第三者提供による法的論点整理をしたうえでビジネスを行っている日本で初めてのセキュリティ会社であるため、お客さま側で比較的情報をシェアでき、大きな参入障壁となっているということです。また、タイミングが良かったため、後発がなかなか入って来れません。ほかにもいくつかありますが、これが我々の強みだと思っています。

競争力の源泉｜Fraud Alertの競合環境と3つの差別化要因

スライド左側の図の下側にいるプレーヤーたちは、累計で7社から9社程度しか類似サービスをサプライされていないため、ホワイトスペースが非常に大きいです。

セキュリティベンダー、Fraud detectionのプレイヤーはアメリカベースで戦っているため、彼らは日本の金融庁のガイドラインにローカライズしませんし、日本マーケットにおいては、カスタマーサクセスチームを持っていない会社がほとんどです。

我々の場合は、システムもマネー・ローンダリング体制もわかっています。両方わかってコンサルティングしなければお客さまに活用いただけないのですが、日本の金融庁のガイドラインに密着したマネー・ローンダリングやコンサルティングを行うようなサービスサプライをしている会社がいないため、図の下側のプレイヤーも使っているお客さまが、どんどんと当社にリプレイスしていただいています。

競争力の源泉｜3つの参入障壁　③ガバメントリレーションを通じた新サービス開発

我々がもともとJ-Startupに認定いただいたり、サンドボックス制度を活用して電力会社の保有する個人情報を活用してよいというお目通しをいただき実証したところ、結果的に犯罪者を見つけることができたということで、2022年4月に法改正していただいています。

このように、「日本の国益を毀損する犯罪者をこのように潰していきましょう」「ガイドにはこう書いてください」「このような武器を使わせてください」「法改正をしてください」と、官民連携して展開しているセキュリティベンダーは、おそらく日本には我々しかいません。

グローバルでも規制を変えていくというレギュレーションテックが出てきていると思いますが、日本国内においては我々がそれに該当すると考えています。

市場環境｜キャッシュレス・オンライン増加による不正の急増

市場環境についてご説明します。33ページをご覧いただくとおわかりのとおり、フィッシングの報告件数が非常に増えています。増えている背景は2つあります。

まず、2017年に日本国民のスマートフォンの普及率が50パーセントを超えました。つまり、Eメールやショートメールによって、日本中の人口の半分に迷惑メールや偽メールが増えるという時代になりました。

加えて、2021年以降に生成AI、ChatGPTが出て以来、世界中のハッカーや不正利用者たちが、日本人にナチュラルな日本語でフィッシングメールを送れるようになりました。これが大きなインパクトです。

昨年、FATFのカンファレンスに、金融庁となぜか私が行ってきたのですが、ChatGPTの脅威を認識せずして今後の金融機関はコンプライアンスを守ることができないと感じました。

なぜかと言うと、ロシア人が日本人に向かってショートメールを送る時に、これまでは片言の日本語だったものが、ChatGPTに「とても精巧で銀行員が書いているようなメールで日本語にしてくれ」と投げることで、自然なロシア語が自然な日本語になって返ってきます。スマートフォンを持ってまもない、使い方が不慣れな高齢者に対して、いきなり「〇〇銀行です」とメールが届く時代ですので、情報を入力してしまう人がどんどんと増えます。

結果的に入力してしまった人の被害額はクレジットカードで437億円です。eコマース全体の20兆円に対して437億円ですので、0.3パーセント弱の本人以外の人が購入していることになります。

昨年はスマートフォンを持った高齢者をめがけて、信託銀行や法人口座などにバンバンとフィッシングが行われたため、80億円が盗まれてしまっています。その後の経過の速報が出て、現在わかっているだけでも、2023年の1年間の不正金額は87.6億円となりました。

87億円も盗まれると、当然金融機関を規制する金融庁は「モニタリングをしっかりやってないからでしょ」という話になるため、事故が増えると我々のマーケットサイズが大きくなるということになっています。

市場環境｜キャッシュレス比率の増大

日本のGDPのうち国民消費は300兆円あります。そのほとんどは現金で消費されていましたが、どんどんとキャッシュレス化が進んでいます。

キャッシュレス化が進むとクレジットカード情報をフィッシングで盗まれ、金融犯罪が増えます。昨年も500億円以上が盗まれていますが、そうすると今まで規制をしなかった経済産業省も、いよいよクレジットカード会社やeコマースにも規制をかけていきます。

2025年には3Dセキュアまで入れなければいけなかったり、不正利用者の情報を店舗・eコマース・クレジットカードの3者で流通し合って、どの電話番号が不正に利用されたかなどを共有したりしなくてはいけないといった規制を行っていきます。

規制を上げていくと、今の金融業しか相手にしなかったものが、結果的に店舗・EC・クレジットカード業界へ入っていけるようになります。そうなると、我々の間に回ってくるチャンスが非常に大きくなってきます。

事業計画｜今後の事業展開

拡大戦略についてです。「Fraud Alert」で、金融機関のマーケットシェアを50パーセント獲得した後に、モニタリング範囲をスマホアプリ、送金ページ、法人にも広げていくという格好で、「Fraud Alert」関連事業の設置面積を増やすという話です。

その後、不正利用者の情報を流通させる「CLUE」を生み出します。後は、電気事業法を2回ほど変えてもらい、今の電力会社10社共通システムが昨年の10月2日にできました。今は順次、電力会社がこのシステムに情報を集めてくださいます。これに弊社のシステムと連携する予定であります。

質疑応答：かっこ社との違いについて

質問者：数年前に上場した、かっこ社との違いを教えてください。

島津：かっこ社は、基本的に年商10億円ぐらいのeコマースをターゲットにしているところがありますので、スモールビジネス向けのSaaSというイメージなのですが、我々はエンタープライズの金融機関にフォーカスしています。

フォーカスすると何が変わるかと言いますと、日本の金融庁や警察庁のマネー・ローンダリング対策のガイドラインに随時準拠していけるプロダクトが勝つということになるのですが、逆にこちら側から「過去にフィッシングの一部ではこんなことがあった」「口座の転売がこのような現状になっているとするならば、このような手を打つべきだ」「このようなことをモニタリングすべきだ」などと政策提言して、我々の政策の目的の下でガイドラインを変えます。

ガイドラインが変わると、どんどん我々にローカライズされていきますので、戦い方としては官民連携しているという点と、ターゲットが資金移動業のエンタープライズという点は、やはり大きな違いかと思います。

質疑応答：長期的な成長戦略について

質問者：「このぐらいの事業規模にしていきたい」など、長期的な成長戦略があれば教えてください。

島津：マネー・ローンダリング対策市場がようやく約2兆円まで来ましたが、2兆円のほとんどが労働集約のヘッドカウントの人工商売です。これをDXやデータを使ってひっくり返していくのが我々のビジネスになってきますので、2兆円をデータ化すれば、もう少し安価にオペレーションを回せるというかたちになります。規模に関しては正直、がんばって大きくしていきたいです。

TAMに関しても、GDPに占めるマネー・ローンダリングへの対策の比率が、日本は欧米に比べてこれだけしかないというところで、伸びしろが大きいマーケットかと思いますので、粛々と事業を大きくしていきたいと感じています。

質疑応答：クレジットカード業界への進出見込みについて

質問者：クレジットカード業界への進出の見込みについて教えてください。

島津：QRコード決済や後払い系の顧客が多い「CLUE」というサービスを活用して、クレジットカード業界へ持ち込まねばならないということを考えています。

QRコード決済から始めた理由は当時、◯◯payといった会社が多かったことから、◯◯payで割り当て情報を共有することになったのですが、あくまでQRコードはインタフェースですので、クレジットカードからチャージするか銀行からチャージするかという場面では、チャージの元が盗まれると悪い人に使われてしまうというところがあります。そのため、QRコードを皮切りにクレジットカードと銀行でも「CLUE」を一緒に使ってもらえるような流れを作っていくことが、今年以降のチャレンジとして存在します。

質問者：「CLUE」を拡大していくというかたちでしょうか？

島津：おっしゃるとおりです。

質疑応答：アライアンスM&Aについて

質問者：アライアンスM&Aについて、考え方を教えてください。

島津：まだM&Aを考えるフェーズではないと思っている反面、アライアンスだけは正直、どこか特定の株式会社というよりは、お客さまと政府ではないかと思っています。

今年1月17日に金融庁で講演を行い、「このような金融犯罪があることをまずご認識ください」という話と、「我々ならこのような打ち手がある」という話をしたところ、世の中ではこのようなことが起きているということを金融庁のみなさまによくわかっていただきました。

今は各週に近いかたちで情報交換を行っており、鮮度の高い情報を霞が関のみなさまにお伝えすることが、結果的に正しいガイドラインが速く作られることにつながります。新しいガイドラインが速く生まれるようになると、金融機関がどんどんそれに準拠し、結果的に国益が守られるということになります。

我々が一番にやるべきは官民連携ですが、彼らには目の前で起きている事故の手口がどうかをご存じの方がまだまだ少ないです。警察庁や金融庁、経産省と総務省、デジタル庁の方とも最近やり取りしているのですが、そのような方々に、目の前で損なわれている国益に関することを広くお伝えするのも我々がやるべきことだと思っています。

質疑応答：金融機関での不正増加と生成AIの関係について

質問者：金融機関での不正はクレジットカードに比べると各団体で連携しての対策が進んできたことから、被害額がずっと少ないといわれてきたと思います。それが今年になって急に増えた理由を教えてください。生成AIの影響なのでしょうか？

島津：理由は2つで、生成AIと2022年12月に普及率が94パーセントを超えたスマートフォンです。スマートフォンは持っていない方のほうが少ない印象ですが、今は携帯ショップに行くと高齢の方向けにスマートフォンの教室があると思います。高齢の方がいきなりスマートフォンを持たされて、「〇〇銀行です」「〇〇クレカです」と連絡が来ると素直に対応してしまっているという状況がありますので、高齢者に注意喚起すべきだと思います。

構造的な問題で悩ましいのが、米国とは異なり、例えば私どもが犯行グループだとして、「〇〇銀行から盗もうぜ」という話をしていたとしても、日本では明確にクロ（犯罪者）という判定がされない限り、ブラックリストには載らず犯罪情報が流通しない法律になっていることです。

アメリカでは、FBIが「この人は危ないよ」と推測すると通信を傍受しますし、「この人たち、なんかトランザクションしているぞ」となればメールや電話を確認するのですが、日本はそれが無いためにフィッシングメールが送り放題になっています。

送信者をブロックしようにも、日本では犯罪者と特定されるまで通信の秘密が守られる構造があります。日本は今、フィッシングメールの送信件数がトップ5前後に入る国家になっていますので、やはりどこかのタイミングでメスを入れないといけないところを、官民連携で取り組んでいくべきではないかと考えています。