備える
不正利用の被害に備えて、知っておきたい各社の補償内容も紹介

スマホ決済を安全に使うには? セキュリティの専門家が解説する3つのポイント

「PayPay」「LINE Pay」などのQRコードを使ったスマホ決済。「○%還元」などのキャンペーンもたびたび展開されるうえ、小銭を用意する必要もないのでコンビニや飲食店での支払いに利用している方も多くいらっしゃることでしょう。

ユーザーとしては、こうした還元キャンペーンや利便性に目が行きがちですが、不正利用などの万が一に備え、セキュリティ面にも目を配る必要があります。今年(2019年)7月には「7pay」での不正利用が発生。「7pay」に登録したクレジットカードから勝手にチャージされ、高額な買い物に利用されるなどの被害が相次ぎました。「7pay」は結局、サービス開始からわずか2か月後の9月末で廃止に追い込まれたのは記憶に新しいところです。

今回は、サイバーセキュリティ・サービスを提供しているマカフィー株式会社のコンシューマ マーケティング本部執行役員 本部長の青木大知(あおき・だいち)さんに取材。スマホ決済を安全に使うためのポイントと、自分の情報を守るための心構えを聞いてきました。

〈スマホ決済の一般的な仕組み〉
(1)ユーザーは自分のスマホにアプリをインストールし、IDとパスワードを設定
(2)アプリに自分のクレジットカードや銀行口座などを登録
(3)登録したカードや銀行口座から、アプリの残高にチャージ
(4)買い物の際はスマホの画面にQRコードを表示させ、店員が端末で読み取れば支払い完了
(店舗に設置されたQRコードをユーザーが読み取って支払いを行うタイプもある)

スマホ決済を安全に使うには、ユーザー自身のセキュリティ対策も欠かせない

スマホ決済を安全に使うには、ユーザー自身のセキュリティ対策も欠かせない

スマホ決済には、さまざまなセキュリティ対策が用意されている

――「7pay」での不正利用の影響などもあり、スマホ決済というと便利でお得な半面、セキュリティが心配、という声も多く聞かれます。(編集部、以下同)

(青木さん、以下同):「スマホ決済=危ない」というイメージをお持ちの方も多いかもしれません。しかし、テクノロジーとしてはさまざまな面でセキュリティに配慮されたつくりになっており、ほかの決済手段と比べて危険というわけではありません。

たとえば、現金でいえば、財布を落として拾われたら、すぐに抜き取られる心配があります。クレジットカードも同様に、誰かに拾われたら不正利用されるかもしれません。クレジットカードに関して言えば、盗まれないまでも、券面のカード番号やセキュリティコードをコピーされたら、悪用される恐れがあります。

いっぽう、スマホ決済を不正に利用するためには、まずスマホの端末を起動させ、決済アプリを開いて決済画面まで行く必要があります。こうした意味でも、サービスを提供する側がセキュリティ対策を採り、ユーザーもいくつかの点で気をつけて使っていれば、決して危険なものではないと考えています。

スマホ決済を安全に使うための3つのポイント

ポイント1:生体認証などで、まずは端末自体をしっかりブロック

――ユーザーとして、安全に使うにあたって気をつけるべき点はどこにありますか?

意外と盲点になりますが、スマホの端末自体をどう守るかが重要になります。画面ロックのために、顔認証や指紋認証を設定しておくとよいでしょう。スマホの紛失、盗難のリスクに備え、GPSを使ってスマホの現在地を特定したり、遠隔でデータを消去したりするサービスの利用も有効になります。

玄関の戸締まりをするだけではなく、大事なモノは鍵付きの金庫に入れておけばより安全になるように、決済アプリの起動時にも生体認証などの設定をしておけばより安全性は高まるでしょう。

スマホ決済を安全に使うポイントを解説する、マカフィー株式会社のコンシューマ マーケティング本部執行役員 本部長の青木大知さん

スマホ決済を安全に使うポイントを解説する、マカフィー株式会社のコンシューマ マーケティング本部執行役員 本部長の青木大知さん

ポイント2:「ID・パスワードの使い回しはしない」のは基本

――ID・パスワードの管理についてはいかがでしょうか?

さまざまなシーンで指摘されていますが、「ID・パスワードの使い回しはしない」ことは基本になります。悪意あるユーザーがある人のA社でのID・パスワードを何らかの形で入手したら、B社やC社のサービスでも使えないか、試してきます。パスワードが漏えいした際の被害を軽減するためにも、パスワードの使い回しはしない、ということはとても重要になります。

ただ、個人的には、すべてのサービスで違うID・パスワードを設定しなければいけないかというと、必ずしもそうではないと考えています。たとえば私は、管理ソフトを使って101のサービスのID・パスワードを管理していますが、決済サービスやFacebookといったSNSなど、絶対に守りたいものに関してはほかと違う固有のパスワードを設定するようにしています。

逆に言えば、こうしたサービス以外では同じID・パスワードを使っているケースもあります。もちろん、すべてで異なるID・パスワードを使うのが理想ですが、それが大変な場合は、自分の中でメリハリをつけてもよいと思います。

いずれにしても、どのサービスでどのパスワードを利用しているか、しっかり管理しておく必要があります。管理方法については紙やExcel、多くのサービスを利用している場合は、私のようにソフトを使うという手もあります。適切に管理していれば、A社から個人情報が漏えいした場合、もしB社で同様のパスワードを使っていたとしても、すぐに変更して被害を最小限にとどめることができます。

「ID・パスワードの使い回しはしない」のは基本

「ID・パスワードの使い回しはしない」のは基本

ポイント3:利用履歴を定期的にチェック。アプリのアップデートも欠かさずに

――そのほかに気をつけるべき点はありますか?

こちらは、クレジットカードにも言えることですが、利用履歴は定期的に確認し、身に覚えのない決済がされていないかを確認するべきでしょう。そして、不正利用が疑われるような事例を見つけたら、すぐに決済事業者に連絡をしましょう。

また、汎用性が高いアプリほど攻撃のターゲットになりやすい傾向があるので、頻繁にアップデートして安全を担保する必要があります。キャンペーンにひかれて、アプリをインストールしたものの、結局は使わずじまい、という方もいらっしゃるかもしれません。情報漏えいのリスクを避けるためにも、使わないと判断したアプリは削除したほうがよいでしょう。

※編集部注
〈主要なスマホ決済事者の、不正利用や紛失時の連絡先や連絡方法〉

【PayPay】
◇携帯電話紛失・盗難専用窓口◇
電話番号:0120-990-633
営業時間:24時間受付 / 土日祝祭日を含む365日
◇不正利用被害に伴う補償申請フォーム◇
https://support.paypay.ne.jp/compensation?_ga=2.257110729.399534891.1574649738-1471389001.1557794137

【LINE Pay】
◇問題報告フォーム◇
https://contact.line.me/

【楽天ペイ】
◇カスタマーデスク◇
電話番号:0570-000-348(ナビダイヤル)
受付時間:9:30〜23:00
◇ご利用停止申請フォーム◇
https://pay.rakuten.co.jp/static/entry/suspendresume/

【d払い】
◇紛失などによる緊急利用中断・再開◇
0120-524-360
年中無休 受付時間:24時間

【メルペイ】
アプリ内の「マイページ>お問い合わせ」、もしくは「support-merpay@mercari.com」に氏名、住所、生年月日、メールアドレスを連絡

「7pay」の不正利用。ユーザーが学ぶべきポイントは?

――スマホ決済の不正利用と言えば、7月に起きた「7pay」の問題が思い出されますが、これについてはどうお考えになりましたか?

クーポンなどを入手できるアプリに、決済機能を追加してリリースしたのは、やはり乱暴な印象があります。多くの識者が指摘するように、ログインする際にIDとパスワードのほかに、メールやSMSで送られてくるコードを入力する「2段階認証」の仕組みが用意されていなかったのも問題でしょう。
(編集部注:「2段階認証」は、キャッシュレス推進協議会が2019年4月に定めたガイドラインでも決済事業者に導入を求めており、今では、スマホ決済サービスで広く採用されている)

〈7Pay不正利用事件の概要〉
セブン & アイ・ホールディングスのスマホ決済「7pay」は2019年7月1日、クーポンなどを入手できる「セブン‐イレブンアプリ」上に搭載する形でリリース。サービス開始翌日の2日にユーザーから不正利用の連絡が入り、3日に新規登録とクレジットカードなどからのチャージを停止。抜本的なセキュリティ対策に時間がかかることなどから2019年9月末でのサービスの廃止に追い込まれた。
8月1日の記者会見で、会社側は不正被害は計808人の約3860万円にのぼることを明らかにした。不正利用の手口として、別のサイトで漏えいしたIDとパスワードの一覧(リスト)を使いログインを試みた「リスト型アカウントハッキング」の可能性が高いと説明したうえで、「2段階認証の検討が不十分だった」などと釈明。不正利用については全額補償する方針を示した。

被害額が約3860万円にのぼった「7pay」の不正利用事件(写真はイメージです)

被害額が約3860万円にのぼった「7pay」の不正利用事件(写真はイメージです)

「大企業のサービスだから安心」と無条件に考えるのは危険

――「7pay」の不正利用問題から、ユーザーが得られる教訓はどこにありますか?

一般のユーザーが、事業者の安全性の仕組みまで評価するのは非常に難しいのですが、大企業の提供しているサービスだから安心、と盲目的に信じ切るのはリスクがあると思います。

リリースされたばかりのサービスには、リスクが潜んでいる可能性も

もうひとつは、「7pay」の不正利用はリリース直後に発生しましたが、リリースされたばかりのネットサービスには、リスクが潜んでいる可能性があることも頭に入れておいてほしい点です。ソフトウェアなどでもリリース直後は買わずに、ある程度バグ(プログラムの中の誤り)が修正された後に買う人もいるくらいです。

スマホ決済のアプリだと、リリース直後に大型の還元キャンペーンを実施することが多いので、すぐにインストールしたくなる気持ちは理解できるのですが、リリース直後は不備も発見されやすいことは覚えておきましょう。もし不安な場合、最初のうちは自分の銀行口座やクレジットカードをひも付けないで使えるサービスを選ぶ、といった工夫も必要だと思います。

得する情報だけではなく、ネガティブな情報も確認しよう

――キャッシュレス決済の中で歴史のあるクレジットカードと、歴史の浅いスマホ決済。セキュリティの観点で見ると、どのような違いがあると考えますか。

クレジットカードなら、短時間の間に日本各地の離れた場所で決済されたら、カード会社から「この利用は正しく決済されたものですか」とユーザーに問い合わせが来ることが多いと思います。これはカード会社がセキュリティの点で長年の蓄積があり、会社の機能として不正利用をチェックする体制を持っているからでしょう。

もちろん、スマホ決済の事業者もこうした機能を強化しているとは思いますが、セキュリティの点ではクレジットカードのほうに一日の長があると思います。このためスマホ決済は、安全を自分自身で担保する意識がより必要なのだなと思います。

そして、これからの時代は一層、ユーザーのほうで能動的に情報を収集する努力が必要になってくるでしょう。特に、得する情報は、サービスを提供する側が積極的にPRするから目に付きやすいのですが、トラブルに遭遇した際に重要となる「ネガティブ」な情報についても、決済サービスでは確認しておくことが大事になります。

「自分の情報は自分で守る」意識を持つのが大事に

――セキュリティに対しての意識を高めることも大事になりますね。

今年(2019年)7月に弊社が実施したアンケートがあります。「自分のプライバシー情報を誰が守るのか?」という質問に、最も多い43%の人が「政府」と答えました。続いて28%が「自分自身」、18%が「セキュリティ会社」、9%が「物販やサービスを行う企業」などという結果になりました。

自分のプライバシー情報を守るべき主体について、「自分自身」より「政府」と答えた人の割合が多かった

自分のプライバシー情報を守るべき主体について、「自分自身」より「政府」と答えた人の割合が多かった

自分のプライバシー(個人情報)を守るべき主体が、自分よりも先に政府(国)と考えている人が多いことに驚きました。プライバシーは自分だけで守れるとは限りませんが、やはり人任せの姿勢は問題だと思います。スマホ決済を含め、自分がどんな決済サービスを利用していて、それはどの口座(クレジットカード)とひも付き、どんなID・パスワードを設定しているのかを、しっかり管理しておく必要があるでしょう。

いっぽう、期待の持てるデータもあります。
弊社が行った各年代を対象にした別のアンケートでは、検索履歴が残らないシークレットモードの活用や、企業のプライバシーポリシーを読むなど、個人情報に最も敏感なのは10代の男性であるという結果が出ました。理由について十分な分析はできていませんが、「自分の情報を自分でしっかり守れるほうが格好いい」という意識が働いているのかなと推測しています。2020年度から小学校でプログラミングが必修化されますが、自分の情報を自分で管理し、守っていく、という意識が幅広い世代で浸透していけばよいと考えています。

乱立するスマホ決済のサービス。安全への各社の取り組みも選ぶ際のポイントになる

乱立するスマホ決済のサービス。安全への各社の取り組みも選ぶ際のポイントになる

まとめ:不正利用被害の際の、各社の補償は?

青木さんは取材の中で、トラブルに遭遇した際に重要な情報についても確認しておくべきことを強調していました。そこで、下記に主要なスマホ決済事業者について、不正利用時の補償に関する規約の概要をまとめました。

【PayPay】
◇主な補償の条件◇
・損害発生日から60日以内の申請であること
◇補償額◇
原則、全額
参考:「PayPay利用規約」(PayPay補償制度に関する規約に記載)

【LINE Pay】
◇主な補償の条件◇
・損害発生時から、30日以内の申し立てであること
◇補償額◇
原則、10万円を上限(10万円を超える場合は個別に検討)
参考:「LINE Moneyアカウント利用規約」(第32条 不正使用補償サービスに記載)

【楽天ペイ】
補償について、利用規約に具体的な記載なし。公式サイトで「ご利用にお心当たりが無い場合、補償を含め、個別に対応させていただきます」などと記載
参考:「楽天ペイ利用規約」(第7条 楽天ID及びパスワードの管理等に、不正利用時の対応について記載)

【d払い】
◇主な補償の条件◇
・損害発生から90日以内に申告すること
・不正利用による損害の発生を知った日から30日以内に、補てんに必要と認める書類を提出すること
◇補償額◇
原則、全額
参考:「d払い/ドコモ払いご利用規約」(第15条 補償等に記載)

【メルペイ】
◇主な補償の条件◇
・損害発生後、直ちにメルペイと警察に届出を行うこと
◇補償額◇
原則、全額
参考:「メルペイ利用規約」(第17条 不正利用等に記載)

クレジットカード各社は、不正利用の被害があった際、利用者に重大な過失がなければ、カード会社に申告した日から60日前までさかのぼって、全額補償する規約を設けているのが一般的です。いっぽうで、上記の規約を見てもわかるとおり、スマホ決済では補償の対象期間や上限額などが各社で異なっています。

スマホ決済をめぐっては、中国でお店のQRコードの上から偽のQRコードを貼ってお金をだまし取る犯罪が発生しているほか、日本でも偽のフィッシングサイトを通じてIDやパスワードを入手する詐欺も報告されています。むやみに恐れる必要はありませんが、不正利用の実態も知っておきたいところです。

各決済事業者のポイント還元に加え、今は政府の「キャッシュレス・ポイント還元事業」(対象となる中小の店舗での買い物で最大5%還元)も行われ、スマホ決済の利用はメリットを得やすい環境にあります。ただ、こうした「お得な部分」だけではなく、トラブルに巻き込まれた際の対応策を確認しておくことも、とても大事です。

価格.comマネー編集部

価格.comマネー編集部

投資・資産運用・保険・クレジットカード・ローン・節約に至るまで、マネーに関する情報を毎日収集。「知らないで損するなんてもったいない」をモットーに、読者のためになる記事を制作します!

記事で紹介した製品・サービスなどの詳細をチェック
ご利用上の注意
  • 本記事は情報の提供を目的としています。本記事は、特定の保険商品や金融商品の売買、投資等の勧誘を目的としたものではありません。本記事の内容及び本記事にてご紹介する商品のご購入、取引条件の詳細等については、利用者ご自身で、各商品の販売者、取扱業者等に直接お問い合わせください。
  • 当社は本記事にて紹介する商品、取引等に関し、何ら当事者または代理人となるものではなく、利用者及び各事業者のいずれに対しても、契約締結の代理、媒介、斡旋等を行いません。したがって、利用者と各事業者との契約の成否、内容または履行等に関し、当社は一切責任を負わないものとします。
  • 当社は、本記事において提供する情報の内容の正確性・妥当性・適法性・目的適合性その他のあらゆる事項について保証せず、利用者がこれらの情報に関連し損害を被った場合にも一切の責任を負わないものとします。
  • 本記事には、他社・他の機関のサイトへのリンクが設置される場合がありますが、当社はこれらリンク先サイトの内容について一切関知せず、何らの責任を負わないものとします。
  • 本記事のご利用に当たっては上記注意事項をご了承いただくほか、価格.comサイト利用規約(http://help.kakaku.com/kiyaku_site.html)にご同意いただいたものとします。
関連記事
「価格.comマガジン」プレゼントマンデー
ページトップへ戻る