QRコードなどを使ったスマートフォン向けのコード決済が乱立する中、10月1日からの消費税増税で、キャッシュレス決済に対するポイント還元事業「キャッシュレス・消費者還元事業」が開始される。キャッシュレスでの支払いに対して政府がポイント還元をするというもので、増税にともなう消費の冷え込みへの対策とされている。

キャッシュレス決済限定なので現金払いは対象外。クレジットカード・デビットカード、電子マネー、コード決済といった決済手法が対象となるが、日本では2割程度といわれるキャッシュレス決済比率のため、この割合を増やすことも狙った施策だ。

発行枚数、所有者、利用可能店舗のいずれも強いクレジットカードは、キャッシュレス決済の王道で利用者も多いが、若い世代を中心に利用者が伸びているのがコード決済だ。サービスが乱立していることもあって各社の競争も激しく、ポイント還元のようなキャンペーンも頻繁に行われていて、利用可能店舗も増えている。

  • いわゆる「スマホ決済」や「○○ペイ」などと呼ばれる、とにかくたくさんのサービスが世に出ているコード決済。最近は不安になる出来事もあり、セキュリティ面が注目されるように

事件も続き、特に気になるのはセキュリティ事情

そうした中、特に非利用者の間で根強いのがセキュリティに関する心配だ。民間調査会社J.D. パワーによる8月の調査では、コード決済の利用実績は24%、今後の利用意向は40%となっていたが、「不正利用への不安(50%)」、「個人情報漏洩への不安(42%)」という2つの課題が挙げられていた。

実際に昨年から今年にかけて、コード決済でクレジットカード不正登録や、不正アクセスなどが事件にもなった。後に根本的なセキュリティ対策に不備があったことがわかり、取り組みを強化したり、サービスを停止したりと、各社は対応に追われた。世間的にも大きな話題になったので覚えている方も多いだろう。

こうした問題は、決済サービスにはつきものだ。日本は世界的にクレジットカードのIC化が遅れていてセキュリティ的に弱点を抱えており、年間の不正利用被害額は236億円強(2017年、日本クレジット協会)となっている。振り込め詐欺を含む特殊詐欺の被害額は400億円程度(同、警察庁)となっているから、実際は現金の方が危険と言えなくもないが、クレジットカードの場合は「利用者の被害」ではないことが多いのに注意が必要だ。

クレジットカードの不正利用が発覚した場合、一般的には利用者の「故意または重大な過失」がないのであれば、いくつかの条件はあるものの補償が行われることが規約に明記されている。紛失、盗難、カード情報漏洩といった犯罪に巻き込まれてクレジットカードを不正利用された場合、その被害はカード会社から補償されるため、利用者の実際の被害は抑えられる。

こうしたことから、クレジットカード各社は多大なセキュリティ対策へのコストを支払っており、24時間のモニタリングや不正利用検知の仕組みなどを構築している。店舗からの漏洩などを防ぐために加盟店審査もその一環と言えるだろう。

それに対して、コード決済事業者はもともとカード会社以外が提供している例が多い。そのため、決済事業者としてのセキュリティ対策に遅れが見られていることは否めない。個人を特定して支払い能力を確認するためのさまざまな書類の提出など、クレジットカード発行には一定の手間がかかる。それに対してコード決済は、比較的簡単に利用できるようになるため、不正利用に狙われやすい。

さらに、通常クレジットカードなどの決済手法は、物理カードの存在があり、これを入手しないと不正利用が難しい。オンライン決済でクレジットカードが使われるようになってから、カード番号、利用者名、期限、セキュリティコードがあればオンラインでの不正利用が可能になって被害が拡大したが、これも不正検知や3Dセキュアなどの技術で対策をしようとしている。

コード決済の場合、物理カードの代わりにスマートフォンを使うものの、機種変更などへの対応が必要なため、アカウントを盗まれて不正利用される被害が発生しかねない。オンラインではクレジットカード番号が頻繁に漏洩しており、そうした不正カードを他者がコード決済の決済手段に利用する被害も発生する可能性がある。こうしたさまざまな被害が想定されるのがコード決済の弱点ではある。

とはいえ、各社ともセキュリティ対策は重視している。クレジットカード登録に本人確認の3Dセキュアを設定したり、SMS認証などでスマートフォンの本人確認を行うといった手法だ。

スマホ決済で急速に進む安心対策、各社の動向は?

24時間のモニタリングやAIなどを駆使した不正検知といった取り組みは、各社の体力次第という面はあるだろう。PayPay、LINE Pay、メルペイ、d払いなどは24時間のモニタリングを実施している。au PAYも監視は行っているという。

ここで問題となっているのが補償範囲だ。前述の通りクレジットカードは補償範囲が比較的広く、不正利用では補償されることが多い。不正利用届け出から遡って60日以内という制限はあるが、一般的な不正利用であれば補償される。カードの盗難などによる実店舗での不正利用だけでなくオンラインでの不正利用でも同様だ。

これに対してコード決済事業者は、こうした補償範囲を定めていないことも多い。8月末に、業界団体のキャッシュレス推進協議会が「コード決済における不正利用に関する 責任分担・補償等についての規定事例集」を公開。事業者の規約を取りまとめているが、例えば「利用者による自己のモバイルデバイスの紛失又は盗難、ID又はパスワード等の盗取又は詐取、その他の事由により、利用者のモバイルデバイス又は本サービスの利用者アカウントが第三者に不正利用され、利用者に損害が生じた場合であっても、当社は責任を負わないものとし、利用者は当該利用にかかる商品代金相当額等について支払う責任を負うものとします。」という事例では、被害があった場合に何ら補償がないことを示している。

こうした点は、キャッシュレス推進協議会も指摘している通り、消費者契約法などによって規約が無効とされる可能性はある。とはいえ、これでは過去の事件のような不備があって不正利用された場合でも補償されないことになってしまい、安心して利用できない。

こうした点を踏まえて、以前から補償をうたっていたLINEPayに加え、PayPayやメルペイ、d払いといったサービスでは補償範囲を見直し、不正利用に関しては「原則被害の全額を補償」と規約を定めた。J-Coin PayやゆうちょPayといった銀行系Payはさすがに同様の補償範囲を定めている。逆にau PAY、Origami Pay、pringといった補償を規約に定めていないサービスもある。

一定のセキュリティ対策と補償範囲が定められているサービスは、基本的に安全度は高いと言えるだろう。サイフを盗まれて現金を使われても補償はされないが、クレジットカードを使われたら補償される、といった具合に、コード決済も安心度は高まっている。

コード決済は、気軽に始められるキャッシュレス決済手段だ。海外でも使えて利用範囲が広いクレジットカード、銀行口座さえあれば手軽に始められるデビットカード、利用が手軽な電子マネーに対して一長一短はあるが、消費税増税に対する還元事業などを考えれば、昨今のセキュリティの向上も踏まえて導入を検討してもいいだろう。