前回は、プラスチックカードの歴史を振り返り、磁気ストライプの消滅可能性を指摘したが、クレジットカードやデビットカードといったプラスチックカード自体もなくなる可能性がある。このことは、第21回「バーチャルカードは脱炭素化につながるか」においても指摘した。世界の脱炭素化の動きとともに、長引くウクライナをめぐる戦争の関係から半導体の不足が懸念され、バーチャルカード化が促進される可能性があるからだ。スマートフォンなどのデバイスを活用すれば、カードだけでなく、カード決済専用の端末機も削減できるなど、金融サービスの取扱方法が大きく変わる可能性もある。

今回は、バーチャルカード化が進み、スマートフォン等のデバイスでの決済が進んだ場合の未来に向けた利便性とその裏にあるリスク、利用者のリテラシーの向上の必要性について、取り上げる。

大きく変化した決済環境

銀行やコンビニに設置されたATMで、24時間自分の預金から現金を引き出せる世の中。資金移動サービスや国際クレジットカード（本人会員と家族会員間）を利用すれば、いつでも、自分の資金を世界中の知人や家族等に送金できるようになり、海外にいても、現地の銀行から、国内にある自分の預金を現地通貨で引き出せるようになった。

さらに最近では、通帳や銀行届出印、キャッシュカードを用いなくても預金の引き出しが可能だ。スマホに登録した口座情報と本人認証用の契約者番号やID/パスワードを用い、ATMに示されたQRコードを読み取り、スマホのアプリに示された企業コードを入力すれば、引き出せるのだ。筆者は財布を忘れて出張に行ってしまうことがあり、どうしても現金が必要なときに利用している。かつては、このサービスはインターネット銀行だけで利用できたが、最近では既存銀行でも同様のサービスが始まっている。

このコラムを読む人がもはやほとんど経験したことがないと思われるが、かつては、通帳と銀行に届け出た印鑑を銀行支店（さらに古くは預金した支店）の窓口に持参しなければ、預金の引き出しができなかったことを考えると、交通手段の発達による人間の活動領域の拡大とともに、現金引き出しの利便性は大きく向上した。

しかし、一方で、通帳やキャッシュカードは手元で管理しているのに、一瞬にして預金を失うことにもつながる。2022年3月30日の共同通信は、「スマホATM」のサービスを悪用し、千葉県の男性の口座から現金50万円を引き出したとして中国籍の男性を逮捕したことを報じている。

安全管理手法の変化

銀行窓口での現金引き出しにおいて、預金通帳と銀行届出印がセットで必要な時代は、通帳と銀行印を別々に保管しておくことが盗難対策として有効であった。ATMでのカードによる預金引出しが可能な時代になると、銀行印は、金庫の中にしまっておいて、カードを厳重に保管しつつ、暗証番号を他人に口外しないことが安全対策になった。

しかし、スマホでの預金引き出しが可能な現在では、その媒体となるスマホを大事にしまっておくわけにはいかない。スマホのアプリには、あらかじめ口座番号等の情報を登録しているから、媒体と情報を分離して管理することは不可能である。また、カード番号等の情報とパスワード等を利用したオンライン取引では、カードが手元になくても、その情報を盗み見たり、データ保有者から違法に手に入れたりすれば、本人の知らない間に利用できてしまう。

非接触取引の規約等には、「IDやパスワードを自身で安全に管理すること」がうたわれ、「IDやパスワードを利用した取引については、本人に責任がある」との規定がある。万一何らかの手段で他人が、口座番号や会員番号等の情報とともにIDやパスワードを知ることができれば、その利用の結果を本人がすべて被ることになるのだ。自分で使用した覚えがないといっても、利用履歴には使用されたIDやパスワードの記録が残り、他人が使用したことを立証することは容易ではない。

したがって、カードやスマホをなくさないのはもちろん、他人がアプリを自由に操作できないよう、スマホに暗証番号を設定したり、生体認証でしか、操作できないようにしておく必要がある。

また、カード情報等を盗み見られない、IDや暗証番号等を記載した情報をきちんと管理する、などが求められる。さらに、スマホやパソコンに不正アクセスされることがないよう、ウイルスチェックするソフトを入れるなどの安全管理対策が必要である。

情報窃取に注意

コロナ禍以前は人が一定の場所に集まり、人と人が近距離でコミュニケーションを取り合っていたが、3年前のコロナ感染症の拡大以降、非接触の行動や経済活動がほめそやされている。しかし、簡単に不正利用されるなどのリスクにさらされるのは、誰でもごめんだ。

どんなに便利な機能でも、他人が何らかの方法でその機能を利用でき、その結果自分に不利益が生じることは避けなければならない。

そこで、他人が違法にカード情報等を手に入れる手法を、利用者はきちんと理解し、防衛する必要がある。カード番号、IDやパスワード等の情報を本人から違法に手に入れる手段として、カード利用時の店員等によるカード券面の両面の撮影、カード情報（磁気ストライプに記録された情報）のスキマーによる情報の窃取（「スキミング」）、正規のカード発行会社や銀行などに成りすまして、添付したURLをクリックさせ、偽の登録場面に誘導してカード情報を抜き取る（「フィッシング」）などの方法がある。

2021年にフィッシングメールとして報告があった件数は、約52.6万件であるが、実際には、この数十倍、数百倍のフィッシングメールが送られていると思われる。2021年には、330億円（2022年も、6月までに206.5億円）を超えるクレジットカードの不正利用が報告されているが、その約95％が情報漏えいやフィッシングにより不正取得したカード番号情報を悪用した事案である。

個人としては、カードを自分の目が届かないところで扱わせない、カード端末機などに通常は取り付けられていない装置がないかを確認する、身に覚えのないメールや警告メールに添付されたURLをクリックしてカード情報などを入力しない、などの自衛策が必要である。

他人からの不正アクセスに気づいたら

販売店のサーバーなどに不正アクセスがあり、カード情報等が漏えいし、その情報が使用されることにより不正使用に巻き込まれることがある。この場合は、当該販売店との取引履歴などから、流出した不正情報が使用されたことは比較的容易に確認でき、本人の使用でないことを証明する方法がある。しかし、個人がフィッシングメールにつられて、自らカード情報等を偽サイトなどに入力した結果、当該カード情報が不正利用されたときは、どこまでが他人の不正利用かの立証が容易でないことが予想され、カード情報等の安全管理義務違反として本人に支払責任がかかってくる可能性もある。

したがって、カード会社のカード使用時のメール通知サービスを設定しておき、通知があれば自身の利用かすぐに確認するなどの日常的な習慣が大事である。デビットカードの場合は、利用から1分以内にメールが届くのでさらに安心だ。

万一、身に覚えのないカード利用に気づいたら、直ちにクレジットカード会社やデビットカード発行銀行に通知し、調査してもらい、不正使用であればカード利用を停止してもらう必要がある。

シンガポールの大手銀行のOCBC銀行は、個人情報を不正に取得するフィッシング詐欺の防止対策の一環として、顧客がフィッシングメールでカード情報を入力したことや、身に覚えのない利用に気づくなどの緊急時に、口座を本人が直接凍結できる「Kill Switch」サービスを2022年２月から開始している。通常は銀行に連絡して、本人確認をしたうえで職員が凍結の手続きを行うことになるが、OCBC銀行では電話またはATMの操作で、ATMや電子決済アプリ「OCBCペイ・エニワン」へのアクセス、クレジットカード、デビットカードの使用を「Kill Switch」で緊急停止できる。電話による停止の場合は、「８」を押し、NRIC（国民身分証）やクレジットカードなどの番号を入力後に「1」を押して確認すれば、凍結手続が完了する。ATMを利用するときは、キャッシュカード、クレジットカード、デビットカードを挿入し、暗証番号を入力後に画面から「口座・カードの凍結」を選び、「確認」を押せば凍結手続は完了する。

日本の銀行やクレジットカード会社でも、安心安全な利用のため、このような簡単で迅速な「緊急停止」サービスを導入することが求められているといえよう。

※本内容の引用・転載を禁止します。