【QAあり】カウリス、金融機関特化SaaSで国内唯一の不正利用者情報共有基盤を構築　法改正を追い風に本人確認サービスも成長加速

サービスの流れ

島津敦好氏（以下、島津）：株式会社カウリス代表取締役の島津です。よろしくお願いします。

Ken氏（以下、Ken）：御社は、金融機関向けのセキュリティ、業界特化のSaaSを提供されています。今年前半に証券会社のセキュリティが破られて、勝手に自分の口座をいじられて売買されるということが横行し、大問題となりました。我々個人投資家も苦い思いをしました。

御社にとっては、大きな追い風になったのではないかと考えています。おそらく、ここ1年から2年ほどで業績のモメンタムが変わってくる可能性があるのではないかと思っています。そちらについて、いろいろご質問します。

まず、これが追い風なのは間違いないという認識で合っていますか？　

島津：おっしゃるとおりです。

Ken：あの騒動があった際、金融機関は具体的にどのような動きになったのでしょうか？　どのような要望が増えたかなどを含め、教えていただけますか？

島津：一番大きいのは、証券会社の乗っ取りという事案を通じて株価の操縦が行われていたという手口でした。それに対し、2025年7月15日に金融庁から監督指針が出ました。

みなさまは、オンラインでトレーディングをされていると思います。このトレーディングを行うにあたって、サービスを提供している事業者は、モニタリングをきちんと行うこと、生体認証を入れること、なにかリスクが高いアクセスがあった時には、一人ひとりの投資家のみなさまにすぐに通知を出すこと、というガイドラインがあります。

今回は、ガイドラインよりも強い「要請」が出ました。金融業界には、規制する側の金融庁、規制される側の証券会社、もしくは規制する側の日本証券業協会、規制される側の証券会社というように、規制する側、規制される側の関係があります。

ガイドラインはどちらかと言うと「してもらったらうれしい」という趣旨のものでしたが、今回出された「要請」はそれより強力なものとなっています。

既存顧客のモニタリング範囲拡大

Ken：なるほど。それによって、直近では、ARPUも上がってきていると思います。具体的な理由としては、スライドに記載のモニタリングの強化などになるのでしょうか？　

島津：おっしゃるとおりです。みなさまもインターネットバンキングやアプリのトレーディングを使っていらっしゃると思います。最初に我々のサービスを使っていただくのは、スライドの中央に記載しているログインのページです。

みなさまはパソコンやスマートフォン、タブレットでログインをすると思います。例えば、現在、私は「iPhone 16」を使っています。「iOS 26」を使って、丸の内からいつもログインしています。

しかし、同じIDとパスワードなのに、急に北九州から「Android」を使って、設定キーボードが中国語、ブラジル語、絵文字といった端末でログインするのは、私のいつもの振る舞いとまったく違う、ということを我々はチェックしています。

このように我々としては、ログインのページからサービスを提供しています。しかし、最近、証券業や銀行業でどのような被害があるかというと、ご本人が口座を作った後にすぐに転売するということが起こっています。メガバンクの口座ですと「1口座20万円で銀行口座を買い取ります」というような人が、SNSには非常に多くいます。

このように資金移動業の銀行や、証券など、いろいろなところでお金のために口座を作って転売することが行われています。そのため、「口座開設も見てください」という要望があると、我々がモニタリングする範囲が増えていきます。

また、フィッシングサイトの事故が多いことや、今回のように不正ログインによる株価操縦での売買の怪しいトランザクションが多いことを受けて、「入出金や売買のところを見てほしい」という話になると、さらにモニタリングの範囲が増えていきます。その結果、ARPUがどんどん上がっていくという、そのようなかたちのビジネスモデルになっています。

Ken：なるほど。ちなみにARPUが大きいところでは、1社あたりどのくらいでしょうか？

島津：現在、開示しているところでは、MRRが一番高い会社は、月次の売上高1,500万円ほどいただいています。

Ken：そのため、ARRでは1億8,000万円ほどになるのですね。ちなみに、そのような会社は、本当に大手だと思いますが、今後さらにARPUが上がっていく、ARRに貢献していく見通しですか？　もしくは、これ以上、上がらないこともありますか？　

島津：我々の課金体系についてお話しします。ログインするユーザーの数が何人いるかが課金対象になります。例えば、先ほどお話しした、現在1,500万円ほどいただいている会社の場合、2019年には月額の売上が約600万円でした。

コロナ禍以降、店舗に行ってATMで出金するユーザーが非常に減少し、ほとんどオンラインになっています。年率で30パーセントから40パーセントほどだったオンラインでの入出金が、2020年から2022年の間で、年間20パーセントから30パーセント増えています。

モニタリングしている内容は変わらないのですが、アプリを使ってログインするユーザー数が増えていったため、約2倍になっています。

さらに、モニタリングをする範囲が広がれば広がるほど、クロスセルができます。また、時系列を追いかければ追いかけるほど、店舗ユーザーは減ってオンライン化していきます。そのため、時間をかけるとARPUは上がっていきます。

Ken：加えて、先ほどお話しされたように、スライド右側の入出金の部分まで拡大していくと、増えていくということですね。法人と個人では、トランザクションの部分でなにか特徴はありますか？　

島津：売上構成としては、インターネットバンキングの銀行と証券会社のログインをモニタリングする部分が大きいです。

一昨年、法人の銀行口座が大量に転売されるという事案が増えていました。「リバトン」と検索していただくとおわかりいただけるように、たった13人のグループが不正に入手した700億円を資金洗浄するという事件がありました。

だいたいマネー・ローンダリングをする人の手数料は7パーセントほどなので、700億円を資金洗浄すると、49億円ほどが収益となります。

リバトングループは、4,000もの法人口座を買い集めて、資金洗浄に使っていたことが発覚しました。金融庁から「法人口座も見ないといけない」というお達しが出たのが、昨年8月23日でした。

具体的には、お客さまから預貯金を預かる口座は、「法人口座を含め、インターネットやアプリ利用時にはモニタリングをかなり厳密に行ってください。そうしないと資金洗浄されてしまいますよ」というお達しです。我々としては個人口座マーケットに加えて、法人口座のマーケットも大きくなっています。

Ken：なるほど。今後、その部分もさらに注力していこうということですね。　

島津：おっしゃるとおりです。

金融機関等向け電力契約情報を活用したKYCサービスの流れ

Ken：もう1つ気になっているのが、電力契約の情報を活用していくという部分です。金融機関と電力会社との提携ということでしょうか？　

島津：みなさまからすると、非常にわかりにくい会社のため、何をしているんだと思われると思います。先ほど、インターネットのモニタリングをする「Fraud Alert」というサービスについてお話ししましたが、それとはまったく独立しているサービスになります。

会社を立ち上げて2年から3年目の時に、偽造の運転免許証やマイナンバーカードを使って、銀行口座やクレジットカードが不正利用されることが急増した時期があります。今の偽造運転免許証や偽造マイナンバーカードは、それぞれを管轄している警察庁や総務省が見ても、見た目が本当に同じです。

偽造した身分証明書で、口座を作ることができてしまい、その口座が犯行グループに流れて資金洗浄するためのツールとして使われてしまいます。これをどうやって食い止めるかという話なのですが、マイナンバーカードはICチップが付いているため、顔を撮影して、ICチップをピタッと合わせたら、本物か偽物かすぐにわかります。

しかし、いまだにマイナンバーカードの普及率は80パーセントに留まっています。2017年当時のマイナンバーカードの普及率は、なんと27パーセントほどでした。70パーセント以上の人の身分証明書は運転免許証となり、確実な本人確認ができず、結果的に偽造免許証が混じっている状況です。

そのため、すべての国民と取引のあるサービスである、電気、ガス、水道、通信キャリアの個人情報を犯罪対策に使うことができるようであれば、そのような偽造免許を使った口座開設を防げるのではないかという試みがありました。

電気会社や通信キャリアなど、いろいろなところでお話ししたのですが、電力会社が「これはおもしろい」ということで、やってみようということになりました。

現在、日本の法律は約1万件あります。その法律のうち、「この法律に抵触する可能性があっても、国益が毀損しない、むしろ国益に寄与するようなサービスであれば、まずは実証していいですよ」という制度が規制のサンドボックス制度です。

私は、規制のサンドボックス制度ができてすぐに申請しました。我々の取り組みは、電気事業法と個人情報保護法に一部引っかかってしまう内容でしたが、「実証してよい」ということになったため、実証してみました。その結果、やはり人が住んでいない住所で、銀行口座やクレジットカードの入会の申し込みがあることがエビデンスとして取れました。

そのため、「国益を守ることに利用できるため、法律を変えてください」というお願いをしたところ、2022年に「電力会社はその保有する個人情報を外部に出してはならないが、国益を守るためにはその限りではない」という内容に電気事業法を変えていただきました。

法律を変更するにあたり、経済産業省、個人情報保護委員会、金融庁、警察庁という4省庁にお力添えいただいています。関西電力を皮切りに、すべての電力会社（送配電事業者）10社の保有するデータとお客さまからお預かりしたデータを照合することで、「現在ある8,600万世帯のすべての個人情報を金融犯罪抑止のために活用してよい」と認めていただいています。

現在、システム改修を終えて契約最終段階です。今後、このようなサービスをリリースする予定です。

Ken：話が若干戻るのですが、現在、足元では契約社数は伸びが止まっていると思っています。ARPUが業績を牽引していると思いますが、先ほどお話しいただいた、年間1億8,000万円ほどの課金がある会社がマックスまで契約した際には、どれぐらいまで持っていけるのでしょうか？　

島津：現時点で、メガバンクの入金から出金をすべてモニタリングした場合には、年間のARPUは3億円から5億円ほどになるかと思います。

Ken：なるほど。

島津：ただし、いまだにATMを使っているユーザーとインターネットを使っているユーザーが、現在やっと同じくらいの数になってきています。

Ken：そのようなレベルなのですね。

島津：昨年初めて、インターネットでアプリを使っているユーザーと、ATMを利用しているユーザーの入出金が、だいたい同じくらいになりました。今後、2030年に向けて、アプリでの入出金が大半になるため、主戦場はこちらになるかと思います。

一方、法人口座に関しては、非対面チャネルのモニタリング、インターネットバンキング利用者は、まだATMのほうが強いため、法人に関しても時系列をかければ、（インターネットバンキング）ユーザーは増えてくるのではないかと考えています。

Ken：オンラインの比率が増えれば増えるほど、基本的には御社には追い風ということですね。

島津：おっしゃるとおりです。

質疑応答：「Fraud Alert」のARR拡大や新規顧客開拓の進捗につ