連載
» 2019年10月01日 07時00分 公開

半径300メートルのIT:不正利用されて感じた、クレジットカードの安心感 (1/2)

決済手法の多様化が進んでいます。現金取引かキャッシュレスか、キャッシュレスならどのサービスを使うか……ポイント還元率やキャンペーンも魅力的ですが、「どうしても発生する被害」としての、不正利用への体制も考えてみませんか?

[宮田健,ITmedia]

「あなたのカードがメキシコで利用されました」

 本連載の原稿を書こうとネタを絞り出している最中に、見慣れない電話番号から電話がかかってきました。私がメインで使っているクレジットカードのヘルプデスクからの連絡で、内容は「あなたのクレジットカード番号が、メキシコで対面取引に利用されました。現在あなたは日本にいますか?」というもの。メキシコでの決済の直前に、私が地元のスーパーで同じカードを利用していたため、すぐに不正が判明したようです。

 その際、ヘルプデスクから「○○という(スマートフォンアプリの)サービスでキャンセルが繰り返されています、利用した記憶はありますか?」と質問されました。確かにそのサービスのスマートフォンアプリにはカード番号を登録していたものの、決済したことはありません。その旨を伝え、カード再発行の手続きを依頼しました。

 クレジットカードの不正利用の被害に遭うのは久しぶりでした。急いでカード履歴を確認したところ、幸い(?)全て確かに自分が使った記憶のあるものでした。クレジットカード会社の不正監視能力には、目を見張るものがあります。

 2日後から海外出張なので非常に厳しいタイミングではあるのですが、これ以上不正利用されるわけにはいきません。電話を切った後、すぐに該当するスマートフォンアプリの会員登録画面から、クレジットカード情報を削除しました。その後、登録していたApple Payのカード情報を確認すると、既に「無効」になっています。停止状態になったカードの情報が即座に反映されたようです。こういった対策まで含めると、クレジットカードの安心感はすごいですね。

そういえばこれ……削除してよかったの?

 不正利用されたクレジットカードは前述したアプリ以外にも、幾つかのサービスやECサイトで利用していました。これらの中のどれから、どのようなルートでカード情報が漏えいしたのかは、現状では不明です(対面取引ということは、漏えいした情報を偽カードに記録しているものと思われますが……)。もし、先ほど登録情報を消したサービスが漏えい元だったとした場合、ふと「カード情報を急いで消してよかったのか?」と考えてしまいました。

 個人情報保護法やクレジットカード業界が制定するグローバルセキュリティ基準「PCI DSS」は、事業者に対して「不要な情報を持たず、必要な時期が過ぎたら速やかに削除すること」を定めています(2017年に施行された改正個人情報保護法においては「削除義務」とされています)。もし、先ほどカード情報を削除したアプリが漏えい元だった場合、私が自主的にカード情報を削除したことで、システム上「漏えい対象者」から外れるようなことは起こりうるでしょうか。

 これは、利用するサービスの運営体制にもよるでしょう。漏えいの事実を発見し、そこから調査ができるような組織であれば、利用者がカード情報を削除したとしても、ログは保持しているはずです。そうでない場合は……やはり、カード情報の漏えい報告を見て、自分が該当するかどうかを、自力で追う必要があるかもしれません。具体的に何をするかというと、つまり「これまでカード情報や氏名、住所を登録したことのあるサービスから届く『重要なお知らせ』を追い続ける」ことです。

 このように考えると、「登録者にプレゼント!」といったキャンペーンのためだけに、個人情報を預けるのは割に合うのか、考えてしまいます。

 大規模な漏えい事件が起きたとき、間違いなくデータを預けた利用者(被害者)であるにもかかわらず、何も連絡が来ない、ということもあり得ます。これは、ユーザーにとって不利益であるのはもちろん、企業にとっても望ましくない状況です。

 最近では、ユーザーへの不誠実な対応はSNSなどですぐに広まります。漏えい事件の発生そのものに加えて「被害者への対応」「原因調査の不備、不足」といった点も非難の対象となれば、企業組織が積み上げてきた信頼は損なわれてしまうでしょう。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -