PayPayの不正利用問題とセキュリティ設定方法
「100億円還元キャンペーン」などで話題を集めていた「PayPay」。スマホ決済サービスとして、一歩抜きん出る兆しを見せていましたが、2018年12月、スマホ決済サービスのセキュリティ面をめぐる問題が発生しました。
決済がより便利になっていく一方で、ユーザーとしてはセキュリティ面の不安が潜在的にあった中で、それが浮かび上がった最初の事例ともなりました。これからスマホ決済サービスの利用を検討している方は、改めて不安に思ったかもしれません。
今回は「PayPay」で起きた不正利用問題に関する解説に加え、その後の対応やユーザー側の対策方法などについてまとめていきます。
目次
1.PayPayで起きた不正利用問題
まずは、2018年末に起きた「PayPay」の不正利用問題についてまとめていきます。どのような被害がどのような原因によって生じたのか明らかにしていきましょう。
(1)どんなことが起きた?
問題はPayPayを使っていたユーザーがTwitterなどに報告したことがきっかけで明らかになりました。
PayPayに登録していたクレジットカードが不正利用される、または二重決済が生じるなどという被害が相次いで問題となりました。
これがきっかけで、スマホ決済サービスとセキュリティ面の問題が指摘されるようになり、個人情報やクレジットカードなどに関する懸念が広がりました。
(2)何が原因?
PayPayの不正利用問題については、ある程度原因が明らかとなっています。
主な原因としては、すでに流出していたクレジットカード番号を使って、第三者がPayPayに登録し、それを使って不正利用をしていたことがあげられました。
実は、PayPayのシステム上、クレジットカードを登録する際、カードの裏側に記載してある「セキュリティコード」を使った認証を行うのですが、このセキュリティコードに関して、何度間違えても警告が出ず、登録制限がかからないようになっていました。
セキュリティコードは主に3桁の番号によって構成されているため、入力制限がなければ総当たりによって割り出すことも可能です。そのため、第三者がクレジットカードを不正に登録できるという状態が起きていました。
また、PayPay側の調査で明らかになったことでは、「セキュリティコード」自体も流出していた可能性も指摘されており、どちらにせよPayPayのセキュリティ対策の甘さが露呈した問題となりました。
(3)PayPay側の責任としてあげられるのは?
クレジットカード番号やセキュリティコードが流出し、不正に利用される可能性は、何もPayPayに限った話だけではありません。クレジットカードを登録して利用するようなサービスの場合、第三者が自分のクレジットカードを登録する可能性は常にあると考えられます。
そういった観点から考えると、PayPay側の責任としては、「セキュリティコード」の認証システムにおいて不備があったという点にあります。また、本人認証などのセキュリティ対策も講じておらず、対応の甘さも指摘できます。
2.PayPayはどんな対策をしたのか?
PayPayの不正利用問題が起きてから、ユーザーとしては利用を控えるような気持ちになってしまったかもしれませんが、PayPayとしても何ら対策を講じないわけにはいかないので、当然ながら、セキュリティ対策を強化しています。
ここでは、PayPayが不正利用問題を受けて、どのような対策を行なったのかをまとめていきます。
(1)クレジットカード登録の入力制限
クレジットカード登録における入力制限がないことが不正利用の原因として指摘されたことを受けて、これに制限を加えました。
クレジットカードの登録の際には、最大3回までの入力制限を設け、第三者による登録を防止しています。
また、アプリのアップデートによって入力制限を加え、アップデートしないと利用ができないようにしています。
(2)本人認証サービスの導入
流出したクレジットカードやセキュリティコードを使って不正利用がされていたことを受けて、サービス内に本人認証サービスを導入しました。
これは「3Dセキュア(クレジットカード本人認証サービス)」と呼ばれるもので、事前にクレジットカードの発行元でパスワードを設定し、決済カード登録時にパスワードの入力を行わせるという仕組みになっています。
これによって、クレジットカードが流出していても、PayPay内で決済ができないようにセキュリティを強化しました。
(3)カード利用の上限額を設定
不正利用が発生した場合の被害を最小限にするために、PayPayによる決済に上限額を設けました。
本人認証が未設定の場合、過去24時間での決済額を5,000円まで、過去30日以内でも5,000円までとし、本人認証が設定済みの場合、過去24時間以内で20,000円まで、過去30日以内の場合は50,000円までという上限を設定しました。
また、本人認証が設定済み、かつ青いバッチが表示されている場合、上限が250,000円までとなります。
| 本人認証前 | 本人認証後 | |
|---|---|---|
| 24時間以内 | 5,000円 | 20,000円 |
| 30日間以内 | 5,000円 | 50,000円 |
| 青いバッチ表示 | - | 250,000円 |
(4)プライバシーポリシーを確認
不正利用問題が起きて、対策も講じたPayPayですが、ユーザーとしては、何となくの不安が拭いきれないかもしれません。セキュリティ対策としては、充分なものを講じていますが、企業に対する信頼感としては、回復させるのは難しいでしょう。
また、これからスマホ決済サービスを利用しようと思っても、セキュリティに対して不安を覚えてしまいますよね。
もちろんサービスによって、さまざまセキュリティ対策を講じてはいるでしょう。そして、サービス選びの基準の1つとして「プライバシーポリシー」を確認するというのも重要です。
これは日本語では、個人情報保護方針となり、サービスを利用する中で、顧客の個人情報をどのように取り扱うかの基本方針が記載されています。これを確認すると、そのサービスがどのような方針で個人情報を扱うのかが把握できます。
PayPayのプライバシーポリシーは以下のURLから確認できます。
https://about.paypay.ne.jp/docs/terms/privacy/
プライバシーポリシーには、「パーソナルデータの取得」「パーソナルデータの利用目的」「個人情報の提供」「パーソナルデータの共同利用」などに関する項目が記載されています。
この中をよく読んでいくと、例えば、取得したデータをマーケティングのために利用する内容や、第三者に対して個人情報を提供する内容などが書かれています。
このプライバシーポリシーは、利用登録の際に同意確認がされますが、ほとんどの方は読んでいないと思います。
自分の個人情報がどのように扱われる可能性があるのかを知る上でも、プライバシーポリシーの確認はしておくべきです。
3.PayPayを安全に利用するためにユーザーができること
PayPay側は不正利用問題に対して、セキュリティ対策を講じましたが、ユーザー側もセキュリティ意識を高めて利用しなければなりません。
スマホ決済サービスを利用するということは、事実上財布の数が増えることになりますし、それに伴い被害に遭うリスクも当然増します。
ですので、ユーザー側でも、自分でできるセキュリティ対策を行なって、できるだけ安全に利用できるようにしていきましょう。
ここでは、PayPayを安全に利用するためにユーザーができることをまとめます。
(1)セキュリティ設定を行う
アプリ内やスマホ自体のセキュリティ設定をしておきましょう。PayPayでは、本人認証サービスがありますし、「セキュリティ設定」の中で「端末の認証を有効にする」という設定を行うと、「Face ID」や「Touch ID」といった生体認証を利用できます。
また、スマホのロック画面解除にもパスワードを設定するなど、他人にアプリを勝手に使わせないようにしなければなりません。
iPhoneアプリを参考に、セキュリティ設定の方法を解説します。
▼アプリを起動し、下部メニューから「アカウント」を選択します。
そして、「セキュリティ」を選択し「端末の認証を有効にする」の部分を右にスライドします。
▼「パスコードを使用する」を押せば、完了です。
▼「端末の認証を有効にする」の部分が緑色になっていればOKです。
(2)支払い方法を現金にする
クレジットカードの不正利用が不安なら、クレジットカードを使わない選択をしてみましょう。
直接PayPayに現金でチャージはできませんが、Yahoo!マネーと連携して、コンビニからYahoo!マネーに現金をチャージして、PayPayで利用することは可能です。
これなら現金を使ってスマホ決済サービスが利用できるので、不正利用のリスクを減らせます。
4.もしPayPayで不正利用をされてしまったら?
セキュリティ対策を講じたからといって、また不正利用問題が起きない可能性は0ではありません。昨年発生したPayPayの不正利用問題に対して、PayPay側はどのような対応をとったのでしょうか?
もしこれから不正利用の被害にあった場合の対応策について知っておきましょう。
(1)PayPayの不正利用に対する補償
PayPay側の不正利用に対する対応としては、不正利用が認められた場合、「カード会社からの不正利用申請に基づき、加盟店管理会社のヤフーを経由して、PayPay側が全額返金をする」という方針を打ち出しています。
一応被害に遭った金額に関しては補償してくれるようです。
(2)不正利用された場合の対応
PayPayで不正利用されてしまった場合、根本的にはクレジットカードが不正利用されている形になりますし、それが発覚するのも利用明細などを見てからだと思います。
なので、不正利用されたと気が付いた場合、まずは、カード会社に連絡をしてください。そこから調査が行われて原因などの追求が可能となります。
まとめ
PayPayの不正利用問題について解説しました。セキュリティ面が懸念されるスマホ決済サービスですが、それが表面化した事例でもあります。ただ、PayPayはその後セキュリティ対策を講じるなど、安全性は向上しているので、安心して使うことは可能だと思います。
今回の不正利用問題を契機に、セキュリティや個人情報に関して、一度考えてみてもいいかもしれません。
ZEIMO編集部(ぜいも へんしゅうぶ)
