時折報道されるクレジットカードの個人情報が流出したというニュース。普段は対岸の火事と思っていても、自分の情報が流出したとあっては心穏やかでない。万が一、そういう事態に遭遇したときにするべきこと、そして、事前の防衛策について説明する。

個人情報流出の原因で最も多いのは人的ミス

通販会社などからクレジットカード情報を含む顧客の個人情報が流出したというニュースが時折報道される。時にはカード発行会社自体からの情報流出もあり、たとえば、2004年にはコスモ石油のサービスステーションでのみ使えるクレジットカード(ハウスカード)「コスモ・ザ・カード」で約92万人もの個人情報が流出するという事故もあった。

『NPO日本ネットワークセキュリティ協会』の調査報告書によると、2017年度の個人情報流出事故は386件で漏えい人数は約520万人、それによる想定損害賠償総額は約1900億円となっている。

こうした流出はなぜ起きるのか?同調査では情報流出の原因についてもまとめている。

第1位 「誤操作」 97件(25.1%)
第2位 「紛失・置き忘れ」 84件(21.8%)
第3位 「不正アクセス」 67件(17.4%)
第4位 「管理ミス」 50件(13%)
第5位 「不正な情報持ち出し」 25件(6.5%)

つまり、第1位と第2位、第4位は個人情報を管理している企業内での人的ミスであり、第3位と第5位は悪意にもとづく人為的な行為によるものということだ。

気づかぬうちに偽の決済画面へ誘導

これらのうち、ネット時代において大きな問題をはらんでくるのが不正アクセスによる情報流出だ。では、不正アクセスとは具体的にどういう行為を指すのか?その1つが通販サイトの改ざんにより、偽の決済画面へ誘導されるケースだ。

2018年に発生した、あるネットショップでの情報流出事故では、外部からの不正アクセスによって、偽の決済画面へ誘導されるようにサイトが改ざんされていた。つまり、このネットショップにアクセスした顧客は同サイトで買い物しているつもりで、悪意ある第三者の作った偽の決済画面にクレジットカード情報などを入力していたことになる。

セキュリティコードまで流出する事故も

企業側も当然、こうした不正アクセスを防ぐための対処はしている。状況はいたちごっこになっている。

そこで、根本的な対処として、銀行系クレジットカード会社で構成される日本クレジットカード協会では、カード情報を保持しないことを、クレジット決済ネットワークを利用する加盟店に求めている。

そして、どうしても保持しなければならない場合は、カード情報が盗まれないようにする国際基準「PCI DSS」への準拠を求めている。PCI DSSとは、5つの国際カードブランド(Visa、MasterCard、JCB、アメリカン・エキスプレス、ディスカバー)が共同で策定したものだ。

また、同協会のガイドライン(2010年)は、ネットショップなどでの決済時に入力するセキュリティコード(カードに印字された3桁あるいは4桁の数字)を加盟店が保持することを厳しく禁止している。

ところが、実際にはカード番号や名前、カード有効期限に加えて、このセキュリティコードまで流出してしまったケースが頻出しており、ガイドラインを守っていない加盟店が少なからず存在することがうかがえる。

たとえば、2013年に発生した、ある電気通信事業者の個人情報流出事故では、外部からの不正アクセスにより顧客データーベースの情報が盗まれ、最大約14万件のクレジットカード情報の流出が確認された。その顧客情報には「カード名義人名」「カード番号」「カード有効期限」「セキュリティコード」「申込者住所」が含まれているので、これを手にした者はクレジットカードの不正利用が可能となる。

カード番号やカード名義人名などが盗まれても、それだけでは悪用は難しいが、セキュリティコードまで流出するとなるとリスクは著しく増大する。

同年には、あるメガネ量販店でもセキュリティコードまで含んだクレジットカード情報が流出しており、企業の情報管理体制が問われるところだ。

企業から個人情報の流出事故が起きたときに留意すべきこと

では、もしあなたがクレジットカードを使ったことのある店舗・ネットショップなどで流出事故が起きたらどう対処すればいいのか?

流出事故については報道で知るか、その店舗・ショップからのメール連絡などで知ることになると思うが、その時点ですでにカード会社や警察は事態を把握しているので、どこかに連絡するなど急いで行動すべきことは特にはない。

ただ、次の3つのことについては留意してほしい。

①不正利用がないか利用明細書をチェックする

流出したクレジットカード情報による不正利用の可能性を考え、カード会社が発行する利用明細書(あるいはウェブサイト上での明細確認)に不審な決済がないかチェックを必ずしよう。万が一、不正利用が確認された場合は、その金額分については支払う必要はない。

ただし、利用した店舗名ではなく親会社の名前や決済代行会社名で請求が来たり、ネットショップの場合「海外利用」分として請求が来たりすることもある。「不正利用では」と早とちりしないようにすることが大切だ。

なお、カード会社のほうでも常時、不正利用を検知するシステムを稼働させており、不正利用の疑いがあれば、カードを利用停止したり、会員へ連絡して本人の利用かどうかを確認したりしている。

②セキュリティコードまで流出したケースでは再発行する

カード番号、カード名義人、カード有効期限に加えてセキュリティコードまで流出してしまうと不正利用リスクが著しく高まるので、カードを再発行して新しいカード番号を得たほうがいいだろう。多くの場合、流失事故を起こした企業が再発行手数料などを負担する形となるため、カード会員側の金銭的負担はない。

ただ、セキュリティコードを含まないカード情報の流出事故であっても、それ以降は、普段以上に不正利用を心配し続けなければならないので、やはりカードの再発行をしたほうが安心だ。

③詐欺にいつも以上に注意を

クレジットカード情報の流出事故が起きた後、それに便乗してカード情報を聞き出す詐欺が横行することがある。つまり、カード会社や警察の名を語り、セキュリティのための個人情報確認などと称してカード情報を聞き出そうとするのだ。

メールや電話などでそのような不審な連絡があってもその場では対応せず、カード会社のカスタマーサポートに連絡して事実確認するよう心がけたい。

自分自身の行動にも細心の注意を

ここまでは企業からクレジットカード情報が流出するケースについて説明してきたが、個人の行動が原因でその者の情報が盗まれてしまうこともある。クレジットカード情報を含む個人情報を盗まれないための、5つの事前防衛策について紹介する。

①フィッシング詐欺の可能性を疑う

フィッシング詐欺とは偽サイトに誘導し、そこでクレジットカード情報や銀行口座情報などを含む個人情報を入力させるものをいう。多くの場合、実際のサイト名を語るメールを送り付け、その中のリンクをクリックさせて偽サイトへ誘導する手口をとる。

また、最近ではSNS(TwitterやFacebookなど)に貼られた通販サイトへのリンクをクリックさせて偽サイトに誘導するケースもある。投稿者を信頼できる場合でも、そのアカウントが乗っ取られている可能性もあるので、どんなリンクであれうかつにクリックしないことだ。

メール内容やSNSの投稿内容が気になるなら、リンクをクリックするのではなく、ネット検索によって、その情報を確認したほうがいいだろう。

②ネットショップの決済画面はSSLか確認

ネットショッピングで決済するときは、情報入力ページのURLが「https://」で始まっているかどうか確かめよう。もし、「https://」でなく「http://」(末尾のsがない)なら、そのページは第三者による通信読み取りを防ぐ「SSL」に対応していないことになり、偽サイトの可能性が高くなる。

SSL非対応=偽サイト、というわけではないが、個人情報を入力するページや決済ページがSSL非対応というのは、セキュリティ的に不安のあるサイトであり、個人情報を預けるのはできれば避けたい。どうしてもそこで買い物したいなら、クレジットカード払いではなく着払いなどを選択したほうがいいだろう。

③登録済情報の再入力を求められた場合は注意

これまでに利用したことのあるネットショップで、すでに登録ずみのはずのクレジットカード情報の再入力を求められた場合、偽サイトにアクセスしているかもしれない。

また、クレジット決済をするわけでもないのに、セキュリティコードを入力させようとするのなら、それは確実に偽サイトだ。たとえば、クレジットカード会社からの「緊急のご連絡」を語るメールで偽サイトに誘導し、セキュリティコードを含むカード情報を入力させる偽サイトの事例などがそれにあたる。

④OS、ソフトウェアを最新の状態にする

コンピュータウイルスに感染している場合、決済ページのURLに「https://」と表示されていたり、正しいURLと一致していたりしても、実際はそのウイルスによって表示された偽画面ということがある。

そうしたウイルスの感染を防ぐには、パソコン・スマホのOSや各種ソフトウェア(特にウイルス対策ソフト)、アプリなどは最新の状態にアップデートしておきたい。

⑤信頼できるソフトウェア、アプリを選択する

OS、ソフトウェアを最新の状態にしていても、ユーザーが自ら不審なソフトウェア・アプリをインストールしてしまうこともある。特に無料のソフトウェアやアプリの中にはウイルスが仕込まれたものがあるので、しっかり情報を集めて信頼のおけるものを選びたい。

スマホアプリの場合、公式のアプリストアでダウンロードすれば安全と思うかもしれないが、過去にはGoogle Playに偽のファイナンスアプリが紛れ込んでいたケースなどもあり、決して油断できない。

セキュリティ意識を高めて個人情報の自衛を

ネットが普及し、今後はさらに生活のあらゆる側面に浸透していくこの時代にあって、企業においても個人においても、セキュリティ意識の向上は重要事項といえる。

顧客側が何の心配もなく利用できるのが理想のサービスだが、そうなっていない現状にあっては、我々個人は自らセキュリティ意識を高めて自衛していくしかない。

ここに紹介した5つの事前防衛策は、クレジットカード情報だけに限らず、個人情報全般を守るために役立てることができるはずだ。

【おすすめのクレジットカード一覧】

三井住友カード JCB CARD W 楽天カード
三井住友カード JCB CARD W 楽天カード
年会費 1,375円 年会費 無料 年会費 無料
還元率
(通常時)
0.5% 還元率
(通常時)
1.0% 還元率
(通常時)
1.0%
特徴 コンビニ利用で
ポイント5倍
特徴 年会費無料で
還元率1%
特徴 楽天市場で
ポイント3倍
詳細はこちら
(公式サイトへ)
詳細はこちら
(公式サイトへ)
詳細はこちら
(公式サイトへ)

執筆・モリソウイチロウ

「ZUU online」をはじめ、さまざまな金融・経済専門サイトに寄稿。特にクレジットカード分野では専門サイトでの執筆経験もあり。雑誌、書籍、テレビ、ラジオ、企業広報サイトなどに編集・ライターとして関わってきた経験を持つ。

【関連記事】
40代で持ちたいクレカはゴールドより「プラチナカード」? その魅力、代表的なカード比較
経営者・エグゼクティブ向けクレカ「ダイナースクラブ」を持つためには?
ゴールドカードのメリットや作り方 年会費無料のクレジットカードも紹介
陸マイラーがトクするクレカ3選 還元率3%も?
ポイント還元率の高いクレジットカード11選 買い物、マイル、通信など生活をおトクに