PayPay周りがまたも騒がしい。
12月13日に、わずか10日間で「100億あげちゃうキャンペーン」が終了した矢先、今度は、PayPayでのクレジットカード不正利用騒動が勃発したのだ。
「PayPayでのクレジットカード不正利用」といっても、PayPayからクレジットカードの情報が流出したというわけではない。
もともと流出していたクレジットカード番号を何者かがPayPayに登録し、本人になりすましてビックカメラで商品を購入。クレジットカード番号を盗まれた人に請求が届き、不正利用されていたことが発覚したという話だ。
一部報道によれば不正利用された人はPayPayのユーザーではない。クレジットカードで買い物をしようとしたら限度額いっぱいになっており、調べてみたら「PayPayで使われていたことが発覚した」という顛末だったようだ。
なぜこのようなことが起きたのか。
●店頭での本人確認もなかった
1つには、PayPayのクレジットカード登録における本人確認が、かなり甘いとされている。
PayPayにクレジットカードを登録する場合、必要なのは16ケタのカード番号と有効期限、カード裏面に記載された3ケタのセキュリティコードだけだ。
しかも、カード番号とセキュリティコードは、何度間違えても入力が可能となっていた。仮に16ケタの番号と有効期限の情報が流出していた場合、悪意のある人が000から999のセキュリティコードをひたすら打ち続け、該当する数字を特定したのち、登録を完了すれば、本人になりすまして買い物ができてしまうわけだ。
筆者もPayPayにカードを登録した際、「名前も不要なのか。ずいぶん、簡単だな」と一瞬、感心したほどだった。
PayPayでは、規則上3万円以上の買い物に関しては店頭で本人確認をすることになっている。しかし、筆者は3万円以上の買い物を2回したが、いずれの場合も本人確認を求められることはなかった。
●名義も表示されなかった
PayPayのユーザー名は自分でつけることもできるし、支払い時にクレジットカードの名前が出るようなこともない。そもそもカード登録時に記名の必要がないのだから、店頭で本人確認をしたところで、買い物をしている人と、アプリで登録されているカードの名前が一致しているかどうかの判断はつかないはずだ。
他の決済アプリなら、たとえば、クレジットカード番号の登録時に5回間違えるとカードが登録できなくなるとか、カード会社のウェブサービスで登録しているIDやパスワードの入力を求めるなど、本人確認を徹底しているところが多い。
PayPayの場合、サービス開発に時間がなかったのか、そうした本人確認プロセスがおざなりになっており、見事に第三者になりすまされて不正利用の餌食になったしまったようだ。
確かに、アプリの初回登録時に入力項目が多いだけで「使うのが面倒くさい」と離脱する人が多くなるのは事実だ。簡便であるほどユーザーにとってはとっつきやすいだろう。しかし、それでセキュリティが甘くなっては意味がない。
さらに今回の不正利用騒動で厄介なのは「PayPayユーザーではない人が被害にあう可能性がある」という点だ。
●利用者以外も被害にあう可能性
どこかで流出したクレジットカード番号を悪意のある第三者が利用すれば、PayPay上で簡単にクレジットカードを複製できてしまうようなものなのだ。
プラスチックのカードがなくても番号さえわかれば複製できてしまうという恐ろしい状況になっている。
PayPayユーザーかどうかは関係なく、クレジットカードを持っているすべての人(ただしPayPayは現在、JCBには非対応なので、VISA、マスター、ヤフーカード所有者)は、今後きちんとカード会社からの請求書を見て、PayPayで不正利用されていないかチェックする必要がある。万が一身におぼえがないPayPayの請求があれば、すぐカード会社に問い合わせたほうがいいだろう。
普段使っているカードだろうが、引き出しに入れっぱなしのカードだろうが関係ない。持っているすべてのクレジットカードで気をつける必要がある。
おそらく今後カード会社でも不正利用があったどうかの調査を進めることだろう。カード会社には一般ユーザーが途方にくれるようなことにならないよう、徹底的な調査をぜひともお願いしたい。
●QRコード決済に負のイメージ
一方、ソフトバンクとヤフーに関しては、QRコード決済で他社に先を行かれた焦りなのか、スピード感を持ってサービス開発したものの、セキュリティー的にザルになってしまっていたのは否めない。
せっかく「100億あげちゃうキャンペーン」でQRコード決済を認知させることに成功したのに、こんなことが起きてしまっては「QRコード決済は怖くて使えない」というイメージが先行することになる。不正利用がきっかけでQRコード決済が危険視されてしまっては、PayPayが投じた100億円は無駄金と化すだろう。
決済サービスはお金がからむだけに、何よりも「安心安全」が最優先されなくてはならない。
PayPayがクレジットカード番号を流出させたわけではないが、結果、不正利用できる環境を提供したことには変わりない。
今回の騒動で、日本におけるキャッシュレスの普及にブレーキがかかってしまうとしたら、とても残念だ。
外部リンク
