加盟店に必要なセキュリティ意識
多くの加盟店経営者にとって、キャッシュレス決済のセキュリティにはあまり強い関心はないかもしれません。当然です。決済端末を導入する時には、決済代行業者などから「しっかりとしたセキュリティ対策が施されている」という説明を受けているはずですし、加盟店としては正しい決済手順で利用する以上の対策はなかなか取れません。
ただ、クレジットカードの漏洩事件や不正利用が増加している昨今、加盟店経営者もセキュリティをしっかりと意識する必要があります。なぜなら、消費者は、これだけキャッシュレス決済を使いながら、同時にいちばん不安に感じているのが「個人情報の流出」と「不正使用による被害」なのです。そのため、セキュリティ対策の意識が低い店舗の利用を避ける傾向があります。
例えば、飲食店、小売店で、クレジットカードを渡したら、店舗スタッフがそれを持って、利用客の目の届かないところにいくという店舗があるとしたら、多くの消費者が次からは利用しなくなります。漠然と「怖い」「危ない」という感覚を抱くからです。
逆に言えば、店舗でのセキュリティ対策をしっかりと行うことで、お客様に安心感を与えることになり、繰り返し利用していただけるようになります。顧客に対するサービスの一部という捉え方で、店舗経営者もセキュリティを意識しておく必要があります。
国内で急増するクレジットカードの番号不正使用とは?
クレジットカードの不正利用は、主に「偽造カード」と「番号不正使用」の2つです。偽造カードは通称「白カード」と呼ばれるプラスティックカードに、カード情報をコピーして不正利用するものです。番号不正使用は、目視、ネットなどでカード番号を盗んで、それを利用してネット経由で換金するというものです。
この2つの不正利用には2つの傾向があります。
偽造カードは減少、番号盗用が増加
日本クレジット協会の統計によると、偽造カードによる被害額は年々減少傾向にありますが、番号盗用が急増をしています。偽造カードは、磁気ストライプ部分の磁気情報をコピーするという手法で、ICカードのコピーは技術的にできません。実験室でのコピー成功例はありますが、コストがかかりすぎて、現実の不正利用に使えるほど簡単な技術ではありません。そのため、ICカードとICカード対応の決済端末が普及するとともに減少をしています。
一方、番号盗用は、「カード番号」「氏名」「有効期限」「セキュリティコード」を目視、撮影、フィッシングサイトなどで手に入れ、ネットで利用するというものです。これが現在増えています。
国内で急増する番号盗用不正利用
カードの不正利用というと「海外で不正利用される」というイメージがありますが、国内でも急増しています。日本クレジットカード協会は、日本のカード会社が発行したカードが、国内、国外のいずれで不正利用されたかの統計を公開しています。これによると、番号盗用の場合、7割以上が国内で不正利用されています。つまり、国内のカードの番号が盗まれて、国内で不正利用される例が増えています。決して、海外の遠い国で起きている犯罪ではありません。
店舗でできる偽造カード不正利用の対策
では、店舗でどのような対策ができるでしょうか。偽造カードの対策として、本音でいえば、磁気ストライプによる決済をできるだけ避けることです。
カード決済をする時に、カード情報を読み取る方法は「磁気ストライプ」(カードを擦る)、「ICカード」(差し込む)、「コンタクトレス」(タッチ)の3種類があります。後ろのものほど最新の方式で、安全性も高くなっています。そのため、カード決済をする時は、お客様のカードを見て、コンタクトレス>IC>磁気ストライプの順に誘導をしていきます。
コンタクトレス決済に対応したカードには、電波の形のマークがついているのですぐにわかります。また、ICに対応したカードも金属様のICチップがついているのですぐにわかります。
また、お客様に安心をしていただくため、「お客様の目の届かないところにカードを持っていかない」も重要です。理想は「お客様のカードには指1本触れない」です。そのためにも、移動のしやすいハンディ型のモバイル決済端末がお勧めです。海外でクレジットカードをご利用したことがあるかたは、カード決済を行うスタッフがクレジットカードに触ることなく決済するといったシーンを見たことはないでしょうか?
なお、日本では2020年3月までに「100%のICカード化」を進めていましたが、達成することができず、2022年3月にずれ込みそうです。しかし、その時期になれば、磁気ストライプの決済はそもそも使う必要がなくなります。磁気ストライプ決済を使わないようにすることで、偽造カードの不正使用を排除することができます。
クレジットカード番号 不正利用の対策
番号不正使用が行われるのはネットですが、その番号を盗む段階では店舗が舞台になることもあり得ます。
特に問題になるのが、小売店などの店舗スタップによる犯行です。中には、そもそもカード番号を盗用する目的でアルバイトに応募する例もあり、店舗経営者にとっては見抜くことは簡単ではありません。このような悪意のあるスタッフがカードや関連書類を目視で見たり、店舗のPOSレジ、決済端末などにマルウェアを侵入させてカード番号を盗む事件が起きています。
このような犯罪では、盗んだカード情報を自分で使うのではなく、大量に盗んでネットで売り払ってしまうことが増えています。手にする金額が小さいこともあり、本人も悪質な犯罪であるという意識が薄いことも多いようです。店舗経営者としては、従業員を疑いの目で見るのではなく、不正ができない業務環境を作っておくことが大切です。
PCI DSS準拠であることを確認する
PCI DSSとはクレジットカード業界のセキュリティ基準です。難しく考える必要はありません。契約をしているカード会社、決済代行業者から販売/リースされる機器、アプリはPCI DSS準拠済が原則です。それを手順通りに使うことがとても重要です。
コンタクトレス>IC>磁気ストライプを励行する
偽造カード対策と同じように、コンタクトレス決済、ICカード決済の順で優先し、磁気ストライプは可能な限り使わないようにします。2022年3月以降は、磁気ストライプにしか対応ていないカードは0%になるはずなので、磁気ストライプ決済を使う必要はなくなります。
これは、安全性の高い方法順でもあり、同時にスタッフがお客様のカードを注視する時間が短い順にもなっています。コンタクトレス決済のタッチをした瞬間に、カード番号と氏名、有効期限、セキュリティコードを見て記憶するのは普通の人間にはできません。しかし、磁気ストライプでは、お客様のカードをお預かりしてスタッフが処理することが多く、その時間に暗記ができてしまう可能性があります。
コンタクトレス決済を推進する
番号盗用をするスタッフは、カード情報のすべてを記憶する必要ありません。例えば、2020年6月に神奈川県のスーパーで発覚した番号盗用事件は、レジスタッフとして勤務していた犯人が、カードから有効期限とセキュリティコードだけを目視して暗記し、カード番号や氏名はPOSレジが印刷するレシートに記載されている情報を利用していました。
コンタクトレス決済の最大のポイントは、店舗側にカード番号も伝えないという非常に安全性の高い方法で、このような事件も防止できることです。カード番号ではなく、トークン番号を代わりに送信をし決済処理をします。このトークン番号はカード番号とは異なり、ネットなどで使おうとしても無効な番号としてしか認識されません。
コンタクトレス決済は、お客様にとって手軽で便利な方法であるだけでなく、安全性も高められた最新の決済手段です。今、決済端末を新しいものに置き換えるのであれば、コンタクトレス決済に対応した決済端末を選ぶべきです。
PCI DSS準拠事業者を選択し、コンタクトレス決済導入で、番号盗用や流出の事故が起こる可能性大きく下がります。
コード決済の不正利用の対策
コード決済は、QRコードとスマホを使って決済が行えるシンプルな方法であり、加盟店に特殊な設備が入らないなどさまざまな利点があります。しかし、手軽な方法であるために、人間の盲点をついたような手口の事件が起きています。また、店舗と利用者の相対決済となるため、不正利用の被害は店舗が被ることになります。
特に問題になるのが、店舗側がQRコードを提示して、利用客にスマホで読み取ってもらい、金額も入力してもらう支払い方法の場合です。
QRコードの上に異なるQRコードシールを貼る手口
店舗のQRコードをスタンドにして、レジ横に置いているケースが増えています。ここに別のQRコードのシールを上から貼ってしまう手口が発生しています。利用客が支払ったお金は店舗に送られず、別の口座に送られてしまうことになります。
この手口防止に、QRコードをレジの上に置いたままにせず、引き出しなどにしまっておき、必要な時だけ、お客様に提示をし、読み取ってもらうということをしている店舗が増えています。
偽の決済完了画面を提示する手口
最近増えているのが、偽の決済画面を作っておき、それをレジスタッフに見せるという手口です。利用客が店舗のQRコードをスキャンして支払う場合は、支払い画面をスタッフに見せて、支払ったことを確認します。これとそっくりの画面を作っておき、スタッフに見せて支払ったように装うという手口です。スタッフが他のことに気を取られていたりすると、まんまと騙されてしまうことがあります。金額を入力したり、音や動きもそっくりに作ることも難しくなく、中国で流行の兆しがあるため、いずれ日本でも同様の手口が使われる可能性が否定できません。
対策は簡単で、決済画面だけで支払いを確認するのではなく、レジに管理アプリを入れたタブレットやスマホを置いておき、そちらで送金されたことを確認するようにします。
加盟店がおこなうべきキャッシュレス決済不正利用対策のまとめ
店舗がしっかりとしたセキュリティ対策意識を持てば、金銭的な被害を受けるということは決して多くはありません。一方で、消費者はキャッシュレス決済の利便性を感じながらも、同時に不正利用などの不安を持っています。店舗としては、不正利用が起こらない環境づくりをしておくことで、消費者に安心をして利用してもらえるようになります。
特にクレジットカードでは、コンタクトレス決済またはICカード決済に絞ることで、さまざまな不正利用のリスクが大きく低下します。消費者にとっては便利な決済方法でもあることから、できるだけ早く、コンタクトレス決済、ICカード決済が主になる環境を構築しておくことが大切です。
コラム:不正利用対策に役立つレジ付近の防犯カメラの導入
中国では、利用客のQRコードを読んでお金を盗むという手口が広まり、警察などが注意喚起をしています。
レジ前に行列ができている場合、決済を手早く済まそうと、あらかじめ自分のスマートフォンに支払い用QRコードを表示しておく人は少なくありません。QRコードを表示したスマホを手にしたまま行列に並んでいると、犯人が肩越しにそのQRコードをスキャンして決済をしてしまう手口が広がっています。スマホのカメラの性能が上がっているため、数m離れたところからでも角度によってはじゅうぶんにQRコードを認識することができます。
日本でも同様の未遂事件が起きたという報道もありました。利用客のお金が盗まれる事件であり、店舗の責任は問われづらいとは言え、こういった事件が店舗で起きてしまえば道義的な責任は避けられません。
ところが、このような手口は広まっているものの、多くの場合、警察の捜査により犯人が検挙されています。その理由は、多くの店舗でレジ付近に防犯カメラを導入しているため、犯人の人相などが判明するからです。防犯カメラといっても、使わなくなったスマホやウェブカメラを利用すれば数千円の投資で導入できます。最近のモバイルカメラの性能は急速にあがっているので、警察の捜査に役立てるにはじゅうぶんな性能があります。
レジはお金と商品を交換する場所で、このような事件だけでなく、利用客やスタッフの思い違いからトラブルも起きやすい場所です。現金の場合、五千円札を出したか、一万円札を出したかのトラブルは今でも日常的に起こっています。このようなトラブル対策として、レジに防犯カメラを設置している店舗が増えています。お客様を泥棒扱いしているのではなく、お客様とのトラブルが生じた時に、きちんとした説明ができるようにしているのです。
このような工夫も、不正が起こりづらい店舗作りに役立ちます。スタッフやお客様を疑いの目で見るというのではなく、不正が起きづらい環境作りをすることで、スタッフとお客様に安心感を提供し、安心して働ける職場、安心して利用できる店舗にしていくことが大切です。(執筆:牧野 武文氏)
図1:キャッシュレス決済に対する不便、懸念のアンケート調査の結果。これだけキャッシュレス決済が使われていても、第1位にくるのは「個人情報の流出、不正使用」だった。「キャッシュレス決済に関する意識調査結果」(消費者庁https://www.caa.go.jp/policies/policy/consumer_research/price_measures/assets/price_measures_210118_0001.pdf)より作成。
図2:国内カードのクレジットカード被害額の統計。クレジットカードの番号を盗みネットで利用する「番号盗用被害」が、この数年急増している。単位億円。「日本のクレジット統計2020年版」(日本クレジット協会、https://www.j-credit.or.jp/)より作成。
図3:日本発行のカードが国内、国外のいずれで番号不正利用を受けているかの統計。約7割が国内で不正利用されている。単位億円。「日本のクレジット統計2020年版」(日本クレジット協会、https://www.j-credit.or.jp/)より作成。
図4:コンタクトレス決済に対応しているカードには、カードにこのマークがついている。また、ApplePay、GooglePayのスマホ決済もコンタクトレス決済に対応している。最も安全な決済方法。Mastercardアートワーク(https://brand.mastercard.com/brandcenter-ja/other-marks.html)より引用。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス