電子マネーのセキュリティ問題。被害に遭わないための対策とは？

セキュリティ上のメリット

電子マネーの利用者登録を行っておけば、現金とは違って紛失・盗難時に「補償」が受けられます。万が一紛失・盗難に遭っても「利用停止」ができるうえ、「ポストペイ型（後払い式）」なら補償内容はクレジットカードと同等です。

現金のような紛失リスクが少ない

電子マネーの支払いタイプは、2種類に大別できます。


・スマホ決済：iPhoneは「Apple Pay（Walletアプリ）」、Android端末は「Google Pay（おサイフケータイアプリ）」などスマートフォンの「アプリ」を使う
・カード型：プリペイドカードやクレジット一体型電子マネーカードなどの「プラスチック」カードで使う

非接触型ICチップ「FeliCaチップ」と連携する「Suica」「iD」「QUICPay（QUICPay+）」などは、スマホ決済サービスとカード型の両方に対応しています。

一方で、「PayPay」「楽天ペイ」など、店頭の「QRコード決済」を読み取ったり、アプリのマイコードを読み取ってもらったりして支払うタイプは、スマホ決済が前提です。いずれも現金を持ち歩く必要がなく、クレジットカード払いのようなサインも基本必要ありません。

現金は紛失・盗難に遭っても補償は受けられませんが、事前に所有者登録をする「記名式」の電子マネーでは運営元やクレジットカード会社の補償が受けられます。登録された所有者情報から、カードの残金が利用者のものであると認められるためです。

万が一落としても利用停止ができる

現金の場合、紛失・盗難に遭うと追跡や回収が困難です。対して、記名式の電子マネーなら運営元が利用情報を保存・管理しているため、万が一カードやスマートフォンを落としてもサービスの利用停止ができます。

たとえば、記名式のSuicaカードであれば、駅の窓口へ紛失の旨や個人情報を伝えると即時利用停止が可能です。利用停止時点の残高や定期券情報は運営元が保存しているため、再発行するSuicaカードに引き継げます。

記名式の「nanaco」「WAON」などでも、専用の窓口に電話することでオートチャージ・クレジットカードチャージを含めて利用停止できるうえ、残高やポイントは再発行時に引き継ぎ可能です。

また、Apple PayやGoogle Payは遠隔操作によるロックができ、その他の電子マネーアプリでもID・パスワードの凍結などに対応しています。

なお、決済サービスの支払先としてクレジットカードなどを設定している人は、あわせてカード会社に連絡し「カードの利用停止手続き」も忘れずに行いましょう。

ポストペイ型ならクレカ補償が受けられる

電子マネーは、支払いのタイミングが3種類あります。


・事前チャージを行う「プリペイド型（前払い）」
・翌月にまとめて前月分の請求がくる「ポストペイ型（後払い）」
・支払い時に銀行口座から引き落とされる「デビット型（即時）」

ポストペイ型では電子マネーにクレジットカードを紐づけし、「クレジットカード利用分」と「電子マネー利用分」を合算し後日銀行口座から引き落とす流れです。

iDやQUICPayなどで利用できるポストペイ型では、クレジットカードと同様に「紛失・盗難の届け出日の最大60日前」からさかのぼって不正利用分の補償を受けられます。

デビットカードを紐づけするデビット型でも、同様の補償が受けられるところが多い傾向です。ただし、どちらも「本人の過失」による損害や「不正利用と証明できない利用分」の補償は受けられません。

なお、スマホ決済サービスにおける紛失や盗難時の対応は、サービスによって異なります。サービス側に対応窓口があり24時間電話受付してくれるところもあれば、クレカ会社への連絡を推奨しているところもあります。

電子マネーのリスクを知っておこう

電子マネーを使う上で注意したいのは、「偽造QRコード」や「スキミング」による被害です。それぞれの攻撃内容や対策について見ていきましょう。

偽のQRコードを読み取ってしまう

QRコード決済には、ユーザーが店舗側のQRコードを読み取る「ユーザースキャン方式」と、店舗側がユーザーのスマートフォンに表示されたQRコードを読み取る「ストアスキャン方式」の2種類があります。

QRコードは誰でも簡単に作成できるため店舗側は低コストで導入できますが、悪用される例も少なくありません。

たとえば、店舗のQRコードの上に「偽造QRコード」が貼り付けられており、店舗に支払っているつもりが悪意のある第3者の口座に振り込んでいたというケースです。

自分の決済情報を使って、他者に決済されたというケースもあります。スマートフォンに表示したQRコードを後ろや横から他者が撮影・複製しており、無断使用する手口です。

見通しが悪い位置にあるQRコードを読み取る際など表示時間が長くなる場合や、混雑した場所でQRコードを表示する際などには注意しましょう。

スキミング被害

比較的新しいクレジットカードやスマートフォンは、セキュリティ機能にすぐれた「ICチップ」で決済に関する情報を管理しています。ICチップの情報は専用の機器で読み取る必要があるため、保存された秘匿情報を盗み取ることは非常に困難です。

しかし、プリペイドカードやクレジット一体型電子マネーカードは、ICチップと「磁気ストライプ」を両方搭載している場合があります。

磁気ストライプはデータ格納・読み取りのための古い規格で、カードの裏面に付いている黒色の帯です。「スキマー」と呼ばれる機器で簡単に情報を盗み取れてしまいます。磁気データを盗み取って、クレジットカードなどを複製する行為が「スキミング」です。

手持ちのカードが磁気カードであるかどうかを調べ、磁気カードなら「アプリ版で利用する」などの対策を講じましょう。「ICカード切り替え手続き」を行うのも有効です。

ICカード対応の店舗は拡大中であるものの、現状ICチップの読み取り機器を設置していないところもあります。クレジットカード会社では、磁気カード・ICカードのハイブリッド型を発行することが一般的です。

スマホ決済のセキュリティ対策

スマホ決済のセキュリティを高めるためには、「生体認証」や「2段階認証」を設定し「遠隔操作」でデバイスをロックできる準備をしておくことが重要です。ID・パスワードの使い回しも避けましょう。

生体認証を設定

iPhoneでは、iPhone 5sからは「Touch ID」による指紋認証、iPhone X以降はTouch IDに代わって「Face ID」による顔認証に対応しています。

iPhoneの「設定」から「Touch ID」または「Face ID」を選択するだけで設定は完了です。Apple Payアプリを利用した決済時にも生体認証が要求されるようになるため、他者による決済はほぼ不可能になります。

Android端末の場合はiPhoneのTouch IDにあたる「指紋認証」に対応しています。「設定」アプリから「ロック画面とセキュリティ」→「指紋設定」へ進めばOKです。

iPhone・Androidともに、操作方法は端末のメーカーによって異なります。メーカーや販売元の情報を参照して設定しましょう。

ちなみに、生体認証ではありませんが、Androidの画面ロック時は、「パスワード」「PIN（4桁以上の数字）」「パターン」の3種類から設定できます。パターンは、設定時にスマホ画面へ指で描いた線がそのままパスワードとなる方法です。あわせて活用することで、より侵入の難度が上がります。

2段階認証を設定

「2段階認証」は、ID・パスワードによる認証後、さらにもう1段階の認証でセキュリティを高める仕組みです。

具体的には、SMSやEメールで送られた「ワンタイムURL」や「ワンタイムパスワード」を利用する方法や、電話の自動音声で伝えられた「認証コード」を入力する方法などがあります。

認証済みのSMSや電話番号を利用することで、受信可能な本人しかサービスにログインできない仕組みです。Eメールの場合でもURL・パスワードの有効期限内にログイン・アクセスする必要があります。

「PayPay」や「楽天ペイ」などのスマホ決済アプリが2段階認証に対応しているほか、「dアカウント」や「au ID」などの会員ログインでも2段階認証の設定ができます。

遠隔操作ができるように設定

万が一スマートフォンが紛失・盗難に遭った場合、パスコードを突破されれば、個人情報の抜き取りやスマホ決済アプリの不正利用といった被害に遭うおそれがあります。

事前設定を行っておけば、iPhoneでは「探す」アプリ、Android端末では「デバイスを探す」アプリを使って遠隔操作でデバイスのロックが可能です。

設定方法

iPhoneでは「設定」→「自分の名前」→「探す」→「デバイスを探す」をタップし、デバイスを探す機能をオンにします。端末がオフラインでも探せるようにするには、「“探す” ネットワーク」をオンにしておきましょう。

紛失時には、「iCloud.com」か別のApple製端末から「デバイスを探す」もしくは「持ち物を探す」に進みましょう。表示された地図上に自分の端末がアイコン表示されていれば、「紛失としてマーク」または「紛失モード」に設定して遠隔でデバイスやApple Payのロックが可能です。

Android端末では「設定アプリ」→「セキュリティ」から「デバイスを探す」をオン、「設定アプリ」から「位置情報」もオン、さらに「play.google.com/settings」→「表示」からGoogle Playでの表示もオンにします。

紛失時には「android.com/find（Google デバイスを探す）」からGoogleアカウントにアクセスして、デバイス・Google Payのロックが可能です。地図上に表示されたアイコンに対し、「ロック/データ消去を有効にする」からデバイスの保護か消去も選べます。

IDとパスワードの使い回しをしない

複数のサービスを利用すると共通のID・パスワードを設定することがあるかもしれません。この場合、一つのサービスからユーザー情報の漏洩が起こると、ほかのサービスの認証も簡単に突破されてしまいます。

電子マネーやクレジットカードなどのID・パスワードは「使い回しをしない」のが基本です。また、カード番号や誕生日などの「類推されやすい数字」を設定していた場合、本人の過失として補償対象外となるケースもあります。

被害に遭わないためにできること

電子マネーは認証設定や遠隔操作によって二重・三重のセキュリティ対策を講じることも可能です。それでも100％安全とはいいきれないため、利用限度額の設定を考え、利用停止の連絡窓口も事前に確認しておきましょう。

利用金額上限の設定

多くの電子マネーは、チャージ限度額や利用限度額が定められています。たとえば、「Suica」「PASMO」ではチャージ限度額2万円、「楽天Edy」「nanaco」「WAON」ではチャージ限度額5万円です。

また、ドコモのおサイフケータイ対応機種では、スマホ決済アプリ「d払い」で最大3万円まで利用できます。支払い元のクレジットカードの登録不要で、利用限度額は1000円単位でユーザー自身が設定可能です（利用状況によって制限あり）。支払い時は、「d払い（iD）」を選択します。

利用限度額が設定できるスマホ決済アプリを利用するか、利用限度額が低い電子マネーを選択すれば、万が一紛失・盗難に遭っても不正利用の被害を抑えられるかもしれません。

また、デバイスは手元にあってもID・パスワードを突破されて不正利用されるおそれもあるため、利用明細はWeb上やアプリ上でこまめにチェックしましょう。

万が一のときの連絡先を調べておく

不正利用に気付いたり紛失・盗難に遭ったりした場合、迅速にサービスを利用停止することが重要です。基本的に、利用停止や再発行手続きには「電子マネーの運用元」や「クレジットカード会社」への電話連絡を必要とします。

利用するカードによって、コールセンターが異なるサービスも少なくありません。窓口を間違えると利用停止までに時間がかかってしまうため、万が一の場合を想定して連絡窓口を確認しておきましょう。

まとめ

電子マネーは決済時に現金もサインも必要としないうえ、記名式なら紛失・盗難時に補償も受けられます。セキュリティ対策を取っていれば、比較的安全に利用できる決済ツールです。

電子マネーの選択時からセキュリティ対策を考え、安全かつお得に電子マネーを利用しましょう。

ポイントサイトで貯まったポイントはドットマネー経由で様々な電子マネーに交換できます。さらに今ならドットマネーおすすめのポイントサイトで新規会員登録キャンペーンを開催中です。