経済産業省が2018年に公表した「キャッシュレス・ビジョン」では、今後日本のキャッシュレス決済比率を高めていくことが記載されている。

キャッシュレス・ビジョンでは、日本国際博覧会(大阪・関西万博)が開催される2025年までにキャッシュレス決済比率を40%とする目標を設定し、将来的には世界最高水準である80%を目指すとしている。

キャッシュレスを促進している中でも、特に注目されているのがQRコード決済だ。

利用者はコードを読み込むかスキャンしてもらうだけで支払いができ、財布を持ち歩く必要もない。

また、QRコード決済は、店舗側が導入するための費用や手間が他のキャッシュレスサービスと比べても負担が少ないのもポイントだ。

QRコード決済は、手持ちのPCやスマホ、タブレットで管理が可能である。

利用者や店舗側のどちらにもメリットが多いQRコード決済だが、不正利用されてしまう問題も抱えている。

QRコード決済が不正利用された場合、QRコード決済サービスの利用者だけでなく、不正利用されたクレジットカードの名義人等、さらにはQRコード決済サービスに対する社会的信用を害することになってしまう。

そこで、今回はQRコード決済での不正利用について解説していく。

QR決済の不正防止のガイドラインが策定

2018年末に「PayPay」、2019年7月に「7Pay(セブンペイ)」で不正利用が問題となった。

そのため、経済産業省と産学官の連携組織であるキャッシュレス推進協議会は、「コード決済(QRコード決済)における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」を策定し発表した。

引用:https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/04/Fraud_Prevention_Guideline.pdf

発表されたガイドラインでは、QR決済コード決済サービスに関して想定される不正について幅広く洗い出し、不正利用防止対策を紹介している。

不正利用防止対策としては、クレジットカード番号等の不正利用を中心に検討されている。

QRコード決済サービスの問題点は、不正取得された情報がスマートフォンに登録されて、店頭で利用された場合に本人確認が困難であることだ。

通常の店舗でクレジットカードを利用する場合であれば、クレジットカードの署名などで所有者本人であることが確認できる。

EC利用の場合でも、商品の送付先住所によって利用者が特定できることから、不正利用の抑止効果が高くなる。

店舗利用やEC利用よりもQRコード決済サービスは、不正利用されやすくなってしまっている。

「コード決済(QRコード決済)における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」では不正利用を防ぐために、QRコード決済事業者とクレジットカード決済事業者にそれぞれのタイミングに合わせた対策を紹介している。

  • アカウント作成時
  • クレジットカード登録時
  • 決済時

それぞれの対応策を詳しくみていこう。

アカウント作成時

コード決済事業者は、利用者がQRコード決済アプリにクレジットカードを登録する際、クレジットカードの利用に係る正当な権限の有無を判断するのに必要な情報を可能な限り収集し、正当な権限のない物が不正にクレジットカード番号等を登録する事態を防止しなければならない。

そのための導入可能な対策として、以下の2点を挙げている。

  • アカウント作成時における利用者からの情報収集
  • コード決済事業者が保有する周辺情報の活用

QRコード決済事業者は、アカウント作成時に取得する情報の内容や情報の確認方法等を、個人情報保護などを考慮しながら検討・判断することが大切である。

クレジットカード登録時

QRコード決済において不正利用を防止するには、QRコード決済アプリにクレジットカードを登録する時点において、不正流失したクレジットカード番号等を登録させないことが大切だ。

不正流失したクレジットカード番号等を登録させないために、QRコード決済事業者が導入したい対策は主に以下の2つだ。

  • クレジットカードに係る「券面認証」(入力回数制限含む)
  • クレジットカードに係る「本人認証」の活用

クレジットカードに係る「券面認証」を用いることで、使用するクレジットカード番号が正しいことをクレジットカード事業者が確認できる。さらに、クレジットカードを物理的に保有していない者が、クレジットカード番号と有効期限のみでQRコード決済アプリに登録することを防止できる。

券面認証に合わせて必要となるのは、セキュリティコードの入力回数に制限を設けることだ。

セキュリティコードの入力回数に制限がなかった場合、クレジットカード番号・有効期限のみを不正に取得したものが、任意のセキュリティコードの入力を繰り返し行い、正当な権限を有することなくQRコード決済アプリにクレジットカードを登録することが可能となる。

そのためにも、クレジットカード登録時にセキュリティコードによる認証を利用者に求めることと合わせて、入力回数に制限することが重要となる。

しかし、この対策はクレジットカード番号・有効期限とともにセキュリティコードが流出している場合は実効性がない。

このことを念頭に置きながら、その他の有効な手法の導入と併せて対策を講ずることが必須となる。

クレジットカードに係る「本人認証」の手法としては、クレジットカード事業者へ事前に登録したパスワード等を、クレジットカード事業者が照合し、クレジットカード名義人がクレジットカードを使用していることを確認する「3Dセキュア」がある。

3Dセキュアは、QRコード決済事業者が採用するだけでなく、利用者がクレジットカード番号等の不正利用のリスクを理解した上で採用していくことも大切となる。

そのためにも、QRコード決済事業者は、クレジットカード事業者と連携しながら、クレジットカード番号等の不正利用のリスク、3Dセキュア等による本人認証の意義を周知していかなければならない。

決済時

決済時における不正利用の対策は、金額や利用回数等の上限設定が効果的である。

金額や利用回数等の上限を設定することで、不正利用の被害拡大を防止するだけでなく、利用上限が設定されていることによって不正を行うインセンティブを減ずる効果も期待できる。

ここまでQRコード決済での不正利用の対策について解説してきた。

QRコード決済での不正利用を防ぐためには、QRコード決済事業者やクレジットカード事業者はもちろん、契約店や関連業者との連携が必要となる。

そのためにも、今回発表された「コード決済(QRコード決済)における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」を活用することが重要だ。

利用者ができるQRコード決済での不正利用対策

QRコード決済での不正利用を防ぐためには、利用者自身で対策を行うことも必要だ。

日頃から意識しておきたい対応としては、以下の項目が挙げられる。

  • パスワードを使いまわさない
  • 2段階認証を設定
  • QRコード決済やクレジットカードの支払い履歴をこまめに確認する

それぞれの対策を詳しく解説していく。

パスワードを使いまわさない

QRコード決済でのパスワードやIDは、他のサービスで利用しているものを使いまわさないように気をつけたい。

もし他のサービスのIDやパスワードが流失してしまった場合、被害が拡大してしまうおそれがある。

そのため、サービスごとに異なるIDやパスワードを設定することが重要だ。

また、パスワードを設定する際は数字やアルファベットを組み合わせて、強度の高いものを設定しておこう。

2段階認証を設定

QRコード決済で2段階認証が設定できるものは、確実に設定しておこう。

2段階認証とは、登録したパスワード以外で認証する方法である

代表的なものとしては、ショートメッセージによる2段階認証が挙げられる。

ショートメッセージでの2段階認証は、パスワードを入力後、ショートメッセージで時間制限のあるパスワードが送られてくるため、そのパスワードを入力する。

支払い履歴をこまめに確認する

もし不正利用された場合でも、支払い履歴をこまめに確認しておけば、被害を最小限に食い止めることが可能だ。

すぐに不正利用に気づいて、クレジットカードやQRコード決済事業者に連絡することで、不正利用を補償してもらえる場合もあるからだ。

もし不正利用の被害にあった場合は、サービスの補償内容を確認し、補償を受けられるか確認しよう。

不正利用された場合の対応は事業者によって異なる

もしQRコード決済で不正利用の被害にあった場合は、どのように対応したらいいのだろうか。

まずはQRコード決済事業者が、不正利用への補償を行っているかを確認しよう。

QRコード決済はサービスが開始され、また日が浅いため、補償に対応しているかはサービスによって異なるからだ。

利用規約を確認すると、補償の規定が明記されているかどうかが確認できる。

まとめ

QRコード決済は利用出来る店舗が増え、利用者にとっても身近な決済方法となっている。

しかし、不正利用される事件が増え、セキュリティ面に対して課題を抱えていることが浮き彫りに。

不正利用を防ぐためには、QRコード決済事業者クレジットカード事業者だけでなく、利用者自身も対策を行っていく必要がある。

国が推進していることもあり、今後も拡大が期待されるQRコード決済サービス。

QRコード決済サービスの利便性などを享受するためにも、利用者や事業者が一丸となって不正利用への対応策を検討していかなければならない。