2019年10月以降、政府の政策もあってキャッシュレス決済が盛んになっています。特にヤフーとソフトバンクが共同出資する「PayPay(ペイペイ)」は、最も利用者数が多いとされるスマホ(コード)決済サービスの1つです。
とてもお得で便利に使えますが、クレジットカード決済と違ってコード決済は「暗証番号の入力なしで支払えるから不正利用の危険があるのでは?」とセキュリティに不安を感じ、二の足を踏んでいる人もいるのではないでしょうか。
そこで今回は、PayPayの不正利用対策や補償など安全面について、PayPay株式会社 事業推進室の小林直人さん、コーポレート統括部マーケティング本部広報室室長の伊東史博さん、広報担当の前田将さんにお聞きしました。
PayPay(ペイペイ)の不正利用対策
「スマートフォンでのキャッシュレス決済は現金よりも安全」と言われていますが、なぜなのでしょうか。本項目では、PayPayの不正利用対策に触れながら安全性について考えてみます。
スマートフォンのロックに追加で端末認証がかけられる
パスコードやパターンを設定していれば悪用を防げることも
そもそも、スマホ決済が現金よりも安全と言われている理由の一つとして、スマホのロック機能があります。スマホにロックがかかっていると、たとえ紛失して他人の手にスマホが渡ったとしても、パターンロックや暗証番号・パスコードの入力、Face IDなどのロック機能などによって利用できないため、悪用を防ぐことができます。
現金にはロックをかけられませんから、その時点で少なくとも現金より安全です。さらにPayPayでは、本人による事前設定で、PayPay利用時にも端末の認証を有効にして端末のセキュリティを強化できます。
iPhoneでパスコードを設定する方法
Androidスマホの画面ロックを設定/解除する方法まとめ
ログインには二要素認証が必要
PayPayはアカウント登録をおこなう際、SMSによる認証が必須となります。
電話番号で認証をおこなうため、電話番号の異なるスマートフォンからアクセスしようとすると、登録してある電話番号にSMSで本人確認の通知が届きます。他人によるなりすましの利用は、ブロックされるというわけです。
クレジットカードの3Dセキュアに対応している
PayPayでは、2018年12月に実施した大型キャンペーン(「100億円あげちゃうキャンペーン」)の際、クレジットカードの不正利用が多く発生しました。
当初はセキュリティコードの入力回数に制限がなかったことが不正利用の原因と疑われましたが、調査の結果、クレジットカード登録時にセキュリティコードを20回以上入力して登録に至った件数はサービス開始以来13件で、カード会社による確認の結果いずれも不正利用は確認されませんでした。
クレジットカード情報の入力回数に制限を設けるだけでは根本的な対策にはならないと判断し、PayPayはクレジットカード会社が提供する本人認証サービス「3Dセキュア」の導入を決定。また、クレジットカード利用時の上限金額を設定しました。
3Dセキュアによる本人認証はクレジットカード登録後におこなう
3Dセキュアとは、インターネット上でクレジットカード決済をより安全におこなうために、VISA、Mastercard、JCB、American Expressなどの各クレジットカード会社が推奨する本人認証サービスです。 ブランドごとに名称は異なりますが、総称して「3Dセキュア」と呼ばれています。事前にカード会社に登録したパスワードなどを入力して本人認証をおこない、「なりすまし」などの不正利用を防ぐ仕組みです。
各クレジットカード会社の本人認証サービスの詳細や登録方法は異なるため、下記を参照してください。
PayPayで発生したクレジットカードの不正利用は、すべてPayPayから情報が漏れたものではなく、よそで流出したクレジットカード情報をPayPayに登録されて使われています。
たとえば、通販サイトを模したフィッシングサイトでクレジットカード情報を入力した際に、カード情報が盗み取られる→PayPayに盗み取ったクレジットカード情報を登録する→他人のクレジットカードで買い物をする、と言った具合です。
3Dセキュアによる本人認証の有無によって、クレジットカードでの支払い時の上限金額が異なる
PayPayでは2019年2月以降、3Dセキュアを設定しているかどうかでクレジットカードの利用上限を定め、より安全に利用できるようにしました。3Dセキュアを本人認証として設定していない場合、1カ月間(過去30日間)で合計5000円しか利用できません。
対して3Dセキュアを設定していると、24時間で2万円、1カ月間(過去30日間)で5万円まで利用できるようになります。さらに、PayPayが定める一定の条件(非公開)を満たしたユーザーに限り、利用上限を1カ月間(過去30日間)で25万円まで引き上げています。
なお、銀行口座からのチャージによる利用であれば、1カ月間に200万円まで利用可能です。
AI/専任スタッフが取引を24時間365日監視している
「PayPayでは、不正利用者がとる行動パターンを類型化して、それをシステム登録し、そうした動きがあれば自動的に決済を水際で止める──という対策をとっています。新しい手口に応じて、また不正をしていない人を巻き込まないよう日々改善しています」(小林さん)
おこなわれようとしている取引の情報と、システムで学習した決済のパターンと連動させ、チェックも柔軟にしているといいます。「PayPayを利用した決済は、サービス開始以来1億7000万回を突破し、データも蓄積しています。そのため、不正な決済パターンなどのデータもたまり、より精度が高まっています」(前田さん)
2019年5月17日時点のクレジットカード取引におけるセキュリティの改善状況
さらに、PayPayの社内には安全対策室が当初より設置されています。「システムでの監視に加え、人によるモニタリングも24時間365日体制で実施しています」(小林さん)
データの読み取りだけでなく、利用者の不正パターンを考えるなど、カード会社さながらの対応で不正利用のチェックをしているといいます。
万が一PayPayを悪用された場合の補償制度は?
万が一PayPayを悪用された場合の補償制度もあります。これはPayPayでの決済において不正取引が行われた際に、被害額を補償するものです。この場合、PayPayでは被害の全額が補償されます。
不正利用時の補償内容について
特徴的なのが、PayPayアカウントを持っていない状態で不正利用をされたときでも補償をしてくれるという点です。前述の通り、クレジットカード情報はPayPayから漏えいしているわけではなく、他で漏えいしたものがPayPayで使用されているという構図のため、被害者は必ずしもPayPayアカウントを持っているとは限りません。
「PayPayを利用していないのにカード情報や銀行口座情報を盗み取られて勝手に第三者にPayPayのアカウントを作られ、利用されている場合もあるのです。そこで、PayPayをご利用でない人(PayPayアカウントをお持ちでない人)が、不正利用などによってPayPayを利用した被害にあわれた場合にも、原則PayPayが被害額の全額を補償するようにしています」(伊東さん)
また不正利用をされたお店側は、商品などの代金がカード会社から支払われないケースが一般的ですが、PayPayは取引金額の全額を支払っています。つまり、不正利用されたお店側の売上もPayPayが補償するということ。これだけ強気な補償制度を用意しているということは、それだけPayPayのセキュリティが強固であるという自信の表れとも言えるでしょう。
不正利用をされたときの問い合わせ窓口も設置されています。24時間365日無料で電話やメールで問い合わせができるのは、ユーザーには嬉しいポイントです。
PayPay 問い合わせ窓口
- ユーザー向け電話番号:0120-990-634
- 加盟店向け電話番号:0120-990-640
※いずれの窓口も営業時間:24時間受付/土・日・祝日を含む365日
PayPayを安全に使う上で気を付けたいこと
PayPayのセキュリティ対策は行われていますが、他のところで個人情報が漏洩しないよう、利用者も注意をしなければなりません。クレジットカードには利用者の氏名やカード番号、有効期限、セキュリティコードなどが明記されているので、情報が他人に知られたり、紛失するだけで不正利用される可能性は高まります。落とすなどした場合は、すぐにカード会社に連絡して停止するようにしましょう。
「3Dセキュアの利用を推奨していますが、不正利用の危険をゼロにすることはできません。特にフィッシングサイトにご注意ください。また、わかりやすいパスワードや暗証番号だと突破される可能性があるので、推測されにくいものにし、他のサービスとの使いまわしもしないでください」(小林さん)
PayPayでは、PayPayアカウントのIDとパスワードが必要ですが、このパスワードも第三者に類推されないものを設定することが大切。また、スマホなどの端末にロックをかけるのは基本です。それだけで不正利用のリスクを下げられるので、きちんと設定しておきましょう。
ただしフィッシングサイトなど、身近に危険は潜んでいます。「システムで監視はしていますが、ユーザーが不正に気付いてもらうことも大切です。クレジットカードの明細を毎月チェックし、身に覚えのない請求がないか確認していただければと思います」(前田さん)
構成・文:吉成早紀
取材協力:PayPay株式会社
編集:アプリオ編集部