私鉄の「クレカ乗車」が本格始動 今見直したいスマートフォンセキュリティの考え方：半径300メートルのIT

2026年3月に首都圏の主な鉄道各社で始まった、クレジットカードの「タッチ決済」乗車サービス。本稿では、Apple Payの「エクスプレスモード」利用時に注意すべきJCBの利用規定や、紛失時に補償対象外となるリスクの境界線を解説します。

[宮田健，ITmedia]

　2026年3月25日から、首都圏の主な鉄道では、切符を買わずに、チャージもせずに、クレジットカードを自動改札機に直接タッチすることで乗車できるようになりました。筆者の住む沿線の私鉄、そこにつながる鉄道も乗り換えが可能となり、とても便利になりました。

2026年3月25日（水）から、関東の鉄道事業者11社局の路線を対象とした、クレジットカード等のタッチ決済による後払い乗車サービスの相互利用を開始します（出典：ジェーシービーのプレスリリース）

　"クレカ乗車"は、SuicaやPASMOを利用する際の料金体系とは異なり、切符と同じく10円単位で設定される料金です。ただし、2026年4月以降はクレジットカード各社のポイントアップ施策が適用され、ポイント還元を考慮すると、SuicaやPASMOとさほど変わらない料金で利用できるようになりました。例えば、会社員の交通費精算などでは、個人利用のSuica利用分を精算するのではなく、社用クレジットカードを作りそれを利用してもらうということも可能になるはず。事業者によっては対応改札が少ないようですが、一度体験してみるといいかもしれません。

iOSは「エクスプレスカード」機能が便利だが……？

　駅の改札をSuicaやPASMOで通るとき、多くの方がスマートフォンを使うようになりました。モバイルSuicaなどは一度スマートフォンのウォレットに入れておけば、改札にタッチするだけでチャージ分がSuicaと紐づいているクレジットカードから引かれるようになっています。これも本当に便利です。何がそこまで利便性を上げているのかといえば、「ロック解除が必要ない」からでしょう。

　しかし、同じウォレットに登録されているクレジットカードを利用する際には、生体認証が必要です。この違いは、SuicaやPASMOはチャージしてから使う「プリペイド型電子マネー」であるからです。万が一端末を奪われても、現時点では最大2万円までしかチャージができず、リスクもその2万円が最大値となります（オートチャージは考えないとして）。

　一方、クレジットカードは後からまとめて支払う「ポストペイ型」です。想定される最大損失額はカードの利用可能額となりますので、支払いの際には必ず利用者の承認が求められるわけです。高額の取引については、スマートフォンのタッチ決済ではなく、クレジットカードの現物を求められることもあるでしょう。このような形で、セキュリティを確保しているといえます。

　ただし、改札でいちいちロックを解除させていては詰まってしまいます。そこで、iOSに関していえば、自動改札など限られた用途ではロック解除を不要とする、「エクスプレスカード」の指定が可能です。「設定」＞「ウォレットとApple Pay」＞「エクスプレスカード」で、デフォルトのエクスプレスカードとして、SuicaやPASMOに加え、クレジットカードを1枚指定すると、改札でロックを解除することなく決済できるようになります。これは便利ですね。

• iPhoneを使用して交通機関に支払う｜Apple サポート（日本)

　もう一つぜひ知っておいてほしいことがあります。クレジットカード事業者のJCBは、「Apple Payモバイルペイメント規定」として以下のように書いています。。一部引用します。

第1章

第6条 （本件モバイル端末・パスコード等の管理）

（中略）

5.第3項および前項にかかわらず、利用者がエクスプレスモード機能を用いること（Apple社所定の手続きによりエクスプレスカードの登録を行うことをいう。以下同じ。）を選択した場合には、エクスプレスモード対応加盟店において、都度モバイル端末認証を行うことなく、また本件モバイル端末のロックを解除することなく、第10条第6項に定める方法で本サービスの利用が可能となるため、利用者がエクスプレスモード機能を用いることを選択していない場合と比較して、利用者が本件モバイル端末の占有を失った場合の、第三者による悪用のおそれが相対的に高まります。利用者はこの点を考慮の上、利用者の責任と判断の下、エクスプレスモード機能を用いるか否かを選択するものとします。利用者がエクスプレスモード機能を用いることを選択した場合、エクスプレスモード対応加盟店において本サービスが利用されたときは、利用者本人の利用とみなし、利用者本人が支払いの責任を負担するものとします。

　これをかみ砕いて説明すると、JCBカードの利用者が「エクスプレスモード」をオンにした場合、Apple Payによる「エクスプレスモード対応加盟店」での決済は、利用者本人に支払いの責任があるものとみなす、ということです。これはつまり、万が一端末が奪われたとき、エクスプレスモードで決済された場合、補償はない、ということになります。

　これを読んで、ひどいと思うか、それはそうだと思うかは分かれるかもしれません。もちろん、今回これをピックアップした意図は、リスクと利便性を考えた時、利便性を得たとしたならば、それに相当する保護策を、利用者自身が考える必要があるからです。JCBはそれをしっかりと明文化しており、むしろ信頼できるとも思っています。

　もし危ないと思えば「エクスプレスモード」をオフにし、少し面倒でも毎回改札前でロックを解除し、認証をした上で通ればよいだけです。私もこれを読んだ直後にその設定に戻しましたが、改札をスムーズに通れず、すぐオンに戻してしまいました。利便性を取る方が、多くの方にはプラスではないかと思います。

ならば、どうリスクをカバーする？

　エクスプレスモードをオンにした際、端末を奪われてエクスプレスモード対応加盟店で使われた分は補償がない――。実際、エクスプレスモード対応加盟店そのものが少ないことを考えると、最大損失額でも交通費程度。むしろ、エクスプレスモードを使われ決済を重ねられることよりも、多くの方に取っては「スマートフォンがない」ということの方が大きな問題になるはずです。

　つまり、エクスプレスモードを設定するリスクは何かを考える場合、クレジットカードの不正利用だけでなく、「スマートフォンをなくさないために何ができるか」および、「スマートフォンをなくしたときに何ができるか」を考える必要があるわけです。

　スマートフォンは、社会人としてなくてはならないデバイスになった上に、その重要性はさらに高まっています。組織によっては、スマートフォンそのものがVPNの入口になり得るため、そもそも無くすことがあってはならないもののはず。その意味では、セキュリティ対策としてまず「これまで以上に肌身離さず注意する」ことが重要でしょう。

　私もカフェでコラムを書いていると、席を押さえるためにスマートフォンを置くビジネスマンをよく見ます。PCもそうですが、スマートフォンは絶対に手放してはなりません。手放さなければ、上記のエクスプレスモードがオンであろうとオフであろうと、リスクにはならないはずです。

　それでもうっかりはあり得るでしょう。万が一手元からなくなった場合、まずは端末を紛失モードに設定することが重要です。iOSもAndroidもデバイスを紛失モードにした場合、ウォレットを利用できなくなります。悪意ある相手に盗まれた場合を除けば、これによってリスクはかなり下がるはずです。

　社用携帯であれば同時に、組織の担当者にも連絡し、指示に従いましょう。また、ファミリー設定を適用しておけば、家族が端末を無くしたときに、代理で紛失モードにすることもできます。その時のためにも、情報システム部の連絡先、家族の携帯電話番号だけはしっかりと覚えておくか、財布にメモを入れておくとよいでしょう。

iPhoneの「探す」でデバイスを紛失としてマークする｜Apple サポート (日本)

紛失した Android デバイスの位置の特定、保護、データ消去を行う｜Google アカウント ヘルプ

iOSの場合、ファミリー登録をしていれば、遠隔で家族の端末を紛失モードに設定できる（出典：筆者iPhoneのスクリーンショット）

　SNSなどでは、便利になったものに対する「リスク」だけが一人歩きして、「こんなものを使ってはいけない」という論説が話題になってしまいがちです。スマートフォンが当たり前に普及している今、時間がかかるあらゆるものが便利になりつつあるのですから、利用できるものは何でも利用する方がいいでしょう。もちろん、そこにはリスクもありますが、そもそもリスクはゼロにはできないもの。今回でいえば「スマートフォンを無くす」可能性があれば、その時に何をすればいいのかを前もって準備することこそが重要です。

　鉄道の「タッチ決済」という便利な仕組みができたことで、スマートフォンを紛失するリスクを再認識しました。スマートフォンはあなたの分身。手放さぬよう、しっかりと見張っておいてください。