備える
後れを取った日本もいよいよ本腰【知っておきたいクレカの安全性 前編】

2020年、「完全IC化」でクレジットカードのセキュリティはどう変わる?

「正常性バイアス」という言葉を聞いたことがあるでしょうか。自分にとって都合の悪い情報を無視したり過少評価したりしてしまうことを指す心理学用語ですが、誰もが被害者になりうる「クレジットカードの不正利用」も正常性バイアスがかかりやすい例のひとつと言えます。皆さんは日ごろから「クレジットカードを安全に使おう」という意識を持っているでしょうか?

キャッシュレス決済が普及する今、ぜひ頭に入れておきたいのがクレジットカードの安全性についての知識です

5年で3.5倍! 急増するクレジットカードの不正利用

残念ながら、クレジットカードの不正利用は増加傾向にあります。詳しくは後述しますが、その被害額はここ5年間で約3.5倍に拡大しているのです。私はクレジットカードの国際ブランド勤務などを経て、決済サービス事業の企画・戦略立案を手がけるコンサルタントとして独立しました。決済サービスの分野で、消費生活相談員や弁護士といった専門家の方たちを対象とした研修を行う機会も多いのですが、そんな中で感じるのが、使う側のクレジットカードの安全性に関する知識の不足です。カード会社や加盟店側の対策は進みつつありますが、せっかくの対策もユーザー側の理解が深まらないと片手落ちになってしまいます。たとえば、ネット通販における本人認証として普及が進む「3Dセキュア」なども、その存在意義をよく知らないまま使っている人も多いのではないでしょうか?

クレカのセキュリティを2回にわたって解説します

そこで本企画では、「クレジットカードの安全性」について、ユーザーが知っておきたい仕組みや最新事情を2回に分けて解説していきます。前編となる本稿では、今後のクレジットカードを語るうえで欠かすことのできない、クレジットカードの「IC化」を中心に解説します。後編では「ネット通販でのクレジットカードの安全性」や「事業者からのカード情報漏洩を防ぐ仕組み」などを取り上げます。「キャッシュレス・ポイント還元事業」などでクレジットカードへの注目度が高まる今、ぜひ、クレジットカードを安全に使うための参考にしていただければと思います。

※【後編】ネットでクレジットカードを使うのは本当に安全か? 不正利用対策に迫る
https://kakakumag.com/money/?id=15011

5回に1回の買い物でクレジットカードが使われている

日本国内でクレジットカードがどれくらい使われているかご存じでしょうか? 家計における消費財への支払いを指す「民間最終消費支出」(内閣府)によると、2017年の民間最終消費支出のうち、約58兆円がクレジットカードによって支払われています。構成比は約19.3%。つまり、約5回に1回の買い物がクレジットカードで行われている計算になります。2007年時点の構成比が約10.4%だったことを考えると、私たちの生活におけるクレジットカードの存在は年々大きくなってきていることがわかります。ちなみに国内のクレジットカードの発行枚数は約2億8,000万枚(2018年3月末時点。社団法人日本クレジット協会調べ)となっており、成人1人当たりで計算すると、約2.7枚のクレジットカードを保有している計算になります。

ただし、不正利用額も急増

クレジットカードの利用が伸びるのにともない、クレジットカードの不正利用も増えています。日本クレジット協会の調査によると、2018年の不正利用額は235.4億円。2017年の236.4億円に続いて高い数字となっています。2016年が142億円、2015年が120.9億円。少しさかのぼって2012年が68億円程度だったことを考えると、その増え具合がいかに急激なものかおわかりいただけるのではないでしょうか。

先ほど、2017年の民間最終消費支出のうちクレジットカードの利用額が約58兆円と述べましたが、これを100万円に置き換えると、単純計算で約408円が不正に利用された計算になります。一見少なそうに感じるかもしれませんが、実際にカードが不正に利用される場合は、限度額いっぱいまで利用されることも少なくありません。いざ不正利用にあうと、その被害額は膨大になるケースが多いことを頭に入れておくべきでしょう。

利便性と引き替えにリスクも高まります。ぜひ自衛意識を

近年の主流は「番号盗用」被害

近年のクレジットカードの不正利用の多くは「番号盗用」が占めています。番号盗用とは、利用可能なクレジットカードの情報を盗み出し、その情報をそのまま通販サイトなどで悪用する犯罪を指します。カード情報を盗んだ人間がそのまま悪用している可能性もありますが、実際は、盗まれたカード情報が「ダークウェブ」(ネット上に存在するものの、アクセスするには特殊な手段が必要なコンテンツ)などに存在する”望ましくないマーケット”で売買されているようです。

ちなみに、前出の日本クレジット協会の調査では、2018年の不正利用の内訳は下記のようになっています。

・偽造カード………16億円(構成比6.8%)
・番号盗用…………187.6億円(構成比79.7%)
・その他不正利用…31.8億円(構成比13.5%)

下記は、年別の不正利用の内訳の推移を表した表です。ごらんのとおり、不正利用に占める「番号盗用」の割合が年々増加していることがわかります。

「番号盗用」被害の拡大の背景には、ネットなどデジタル決済の普及があげられます(詳しくは後編で触れます)
※日本クレジット協会「クレジットカード不正利用被害の発生状況」を元に編集部が作成。表中の「被害額」の単位は億円

「偽造カード」被害も依然として課題のひとつ

「番号盗用」には及ばないものの、毎年一定数発生し続けている「偽造カード」も見過ごすことはできません。これは、盗まれたカード情報を「生カード」と呼ばれるカードの原板に書き込み、店舗での支払いに悪用するというもの。正規のクレジットカードを発行するような大規模な設備を必要とせず、海外に拠点を置く偽造カードの製造工場の存在がこれまでに何度も確認されています。「偽造カードを作る役」「偽造カードを使って店舗で高額な商品を買う役」「商品を転売する役」などさまざまな役割の人間がばらばらに介在し、偽造から不正利用、現金化までが極めて短時間の間に行われることが多く、足がつかないことも多いようです。

不正利用に必要な対策とは?

「番号盗用」にせよ「偽造カード」にせよ、元をたどるとクレジットカード番号が漏洩することが原因です。したがって、クレジットカードの不正利用対策としては、
(1)クレジット番号を漏洩させないこと
(2)仮に漏洩しても、偽造カードを決済に利用させないこと

という、両面の対策が必要です。前編となる本稿では、まず(2)に対して有効な手段とされている、クレジットカードの「IC化」を解説していきます。

クレジットカードの「IC化」とは何か?

まずは、皆さんがお持ちのクレジットカードをごらんください。カードの表面にスマホのSIMカードにも似た金色のチップが張り付けてあるカードはあるでしょうか(下写真)? これがIC化されたクレジットカード(以下、ICカードと略)の証です。

クレジットカード表面についている金色のチップが「ICチップ」(上写真)。ICチップはスマホなどのSIMカードにも使われています(下写真)

IC化でカードは堅牢になる

ICとは「Integrated Circuit」の略語。記録や演算をするための集積回路のことを意味し、従来の「磁気カード」(カードの裏面に黒い磁気テープが貼ってあり、ここにクレジットカード番号などの情報が入っているもの)と比べ、構造が格段に複雑になっています。主な特徴は下記のとおりです。

(1)スキミング・偽造が困難
ICチップから情報を盗み取るには高度な専用機器が必要なうえ、ICカードには読まれてもいい一般情報と秘匿情報が別々の領域に格納されています。磁気カードに比べてICカードを偽造するには相当なコストと労力がかかるため、スキミング(※)や偽造は極めて困難と言えます。

※スキミング……スキマーと呼ばれる専用機器でカードの磁気情報を盗み取ること。

(2)認証の仕組みが高度化
IC化されたカードを利用する際は、まず、そのカードが変造されていないか認証機能が働き、仮にデータの変造が検出された場合は取引を即座に中止されることもできるようになっています。加えて、カード発行会社(イシュア―)が利用を認証する際も、取引ごとに暗号化されて認証するなど複雑化されており、これを破るのは極めて困難です。

(3)暗証番号
ICカードには暗証番号が格納されており、本人が使っている証拠として、支払いの際には決済端末に暗証番号を入力する必要があります。磁気カードの場合はサインで本人確認が行われていましたが、裏面の署名と照合されることは少なく、第三者に簡単に利用される状況がありました。その弱点が改善されることが期待できます。

現状は、磁気カードも兼ねている…

このように「偽造カード」被害に対する高い抑止効果が期待されるIC化ですが、現状流通しているカードは表面にICチップが、そして裏面には磁気テープ(下写真)がついたものがほとんです。そのため、磁気カードが保持する情報がスキミングされてしまう可能性を残しています。この中途半端な状況はなぜ生まれたのか? 次のパラグラフでは、クレジットカードのIC化をめぐる国内外の動きを追ってみたいと思います。

依然として、裏面に磁気テープが残るクレジットカードがほとんど

IC化をめぐる日米欧の動き

クレジットカードのIC化による偽造カード利用の抑止は、すでに世界各国で実績があります。IC化をリードしたのは欧州です。90年代にカード(このときはデビットカード)の不正利用被害が多発したフランスが、磁気カードからICカードへの切り替えを進め、被害を大きく減らすことに成功します。これに続いたのがイギリスです。クレジットカードのIC化を進め、偽造カードの被害額が70%減、盗難・紛失カードによる被害額が60%減という大きな効果を上げました。その後、欧州は、単一ユーロ決済圏内(SEPA:Single Euro Payment Area)に属する国で2008年までにIC化を完了させます。

被害がセキュリティの弱い地域に遷移

欧州におけるクレジットカードのIC化は、ほかの地域にも影響を及ぼしました。ICカードを不正に利用するには、かなりの労力がともなうのはすでに述べたとおりです。そのため、カードの不正利用被害が、IC化を終了させた地域からまだ終了していない地域へと遷移していくことが確認されたのです。これを受けて、欧州以外の国や地域でもIC化が進みます。オセアニアでは2012年にはIC化100%を達成。アメリカも2018年ごろにはIC化をほぼ完了させました。アジアでもVISA、Mastercardが使える国ではほとんどがIC化を終えています。

欧州がIC化を進めた結果、IC化が進んでいなかったアメリカなどでのクレジットカードの不正利用が拡大

IC化が遅れた日本の事情

そんな中、日本ではクレジットカードのIC化がなかなか進みませんでした。より正確に書くなら、「カードのIC化はある程度進んだが、決済端末のIC化が進まなかった」ということになります。実は、2002年に世界でもっとも早くクレジットカードのIC化を始めたのは日本です。国際ブランドが中心となってクレジットカードのIC化が進められ、新規に発行されるクレジットカードの大半にはICチップが搭載されるようになりました。しかし、すでに述べたとおり、カード裏面に磁気テープも残り続けました。

その理由は、世界中の全ての決済端末がICチップに対応するまでには相当な時間がかかることが予想されたからです。いくらカードがIC化されても、決済する端末がICに対応しなければ支払いに使うことができません。特に日本は諸外国に比べて端末の置き換えコストが高く(概算で3〜4倍程度と言われています)、このコストを誰が負担するかという問題がつきまといます。それにより、クレジットカード発行会社や加盟店など、企業間の足並みがそろわず、ほかの地域に比べて決済端末のIC化が遅れ、磁気カードにしか対応していない端末が残り続けてきたのです。

各企業はそれぞれが利益を追う立場にありますので、「民間にまかせっきり」の状態でIC化が進展しないのは致し方ない面もありました。いち早くIC化をなしとげたイギリスにしても、金融機関を統括する業界団体が2000年以前にIC化対応を推進する方針を打ち出し、その後、欧州中央銀行が欧州でのIC化を義務付ける流れがありましたし、磁気カードが主流だったアメリカも2014年10月にIC化を進める大統領令が出たことで一気にIC化が進むなど、諸外国には公的な後押しがあったのは事実です。

改正割賦販売法でIC化が義務に

そしてついに日本でも、2018年6月にある法律が施行(制定・交付された法令が現実に効力を持って働き出す状態)されました。それが「改正割賦販売法」(かいせいかっぷはんばいほう)です。この法律の目的は、クレジットカードに関わる事業者に対し、セキュリティ対策を大幅に強化することを義務付けること。その一環として、クレジットカードの加盟店は2020年3月までに決済端末をIC化させることが義務付けられました。

たとえばコンビニなどの小売店でクレジットカードを使う際、ひと昔前なら店員が磁気テープの部分をスワイプして決済していたことを覚えている方もいると思います。現在、大手のコンビニでは決済端末にクレジットカードを差し込む方式への変更が進められています。同様に、各加盟店では急ピッチで決済端末の入れ替えが進んでいる状況です。一部で「2020年3月までにすべての決済端末がIC化されるかは微妙な状況」との声も聞こえてきますが、近いうちに、決済端末のIC化が完了するのは間違いないでしょう。これにより、「偽造カード」被害については相当な抑止効果が期待できるはずです。

クレジットカードでの決済時に暗証番号による本人確認が増えています

重要性を増す暗証番号

これにより、ユーザーにも暗証番号の存在意義を考え直す必要があるかもしれません。支払い時に必要になるわけですから、自分が設定した4桁の暗証番号を覚えておくことはもちろん、その取り扱いにも十分注意を払うべきでしょう。特に海外では、ATMや券売機で暗証番号が盗まれるケースも報告されています。より安全を期すなら、海外ではメインのクレジットカードを利用しないなどの自衛策を取るのも一案です。また、「暗証番号が知られてしまったかな?」と不安なときは、暗証番号を変更するなどの対処も必要です。ほとんどのカードは再発行扱いとなり、500円程度の手数料が必要ですが、 国際ブランドのうちJCBとダイナースは、セブン銀行のATMで暗証番号を変更することができます。このような機能にも、今後注目が集まっていくことでしょう。

後編では改正割賦販売法のその他の義務を解説

前編となる本稿では、クレジットカードのセキュリティを守る仕組みとして「IC化」について解説してきました。今後はぜひ、クレジットカードで支払う際に暗証番号が求められるかどうか気をつけてみてください。その決済端末がIC化されているかどうかの指標になります。後編では、改正割賦販売法で事業者に義務付けられたそのほかの対策である「カード情報漏洩を防ぐ仕組み」や、ネット通販におけるユーザーの本人認証の仕組みとして普及が進む「3Dセキュア」などについて解説したいと思います。
(聞き手:価格.comマネー編集部 野 洋介)

※【後編】ネットでクレジットカードを使うのは本当に安全か? 不正利用対策に迫る
https://kakakumag.com/money/?id=15011

※本記事は、取材者の⾒解です。

山本正行

山本正行

インテル等を経てマスターカード、ビザに勤務後、山本国際コンサルタンツを設立。あらゆるキャッシュレスサービスに精通し専門紙誌での執筆・連載多数。大学講師、政府系委員会、専門家向け教育等にも携わる。

記事で紹介した製品・サービスなどの詳細をチェック
ご利用上の注意
  • 本記事は情報の提供を目的としています。本記事は、特定の保険商品や金融商品の売買、投資等の勧誘を目的としたものではありません。本記事の内容及び本記事にてご紹介する商品のご購入、取引条件の詳細等については、利用者ご自身で、各商品の販売者、取扱業者等に直接お問い合わせください。
  • 当社は本記事にて紹介する商品、取引等に関し、何ら当事者または代理人となるものではなく、利用者及び各事業者のいずれに対しても、契約締結の代理、媒介、斡旋等を行いません。したがって、利用者と各事業者との契約の成否、内容または履行等に関し、当社は一切責任を負わないものとします。
  • 当社は、本記事において提供する情報の内容の正確性・妥当性・適法性・目的適合性その他のあらゆる事項について保証せず、利用者がこれらの情報に関連し損害を被った場合にも一切の責任を負わないものとします。
  • 本記事には、他社・他の機関のサイトへのリンクが設置される場合がありますが、当社はこれらリンク先サイトの内容について一切関知せず、何らの責任を負わないものとします。
  • 本記事のご利用に当たっては上記注意事項をご了承いただくほか、価格.comサイト利用規約(http://help.kakaku.com/kiyaku_site.html)にご同意いただいたものとします。
関連記事
価格.comマガジン プレゼントマンデー
クレジットカード・ローンのその他のカテゴリー
ページトップへ戻る