クレジットカードの危険性

顧客から預かったクレジットカード情報を漏洩（ろうえい）させる企業が増えている。しかも、クレジットカード会社から連絡を受けて、初めて漏洩に気が付くありさまだ。

http://www.nikkeibp.co.jp/article/column/20091013/188232/

　われわれカード利用者は、「クレジットカード情報は漏洩するもの」という前提で、漏れても被害を減らす自己防衛に取り組んだほうがよさそうだ。

クレジットカード情報の漏洩に気が付かない企業

　外部から指摘されるまで、クレジットカード情報を漏洩させたことに気が付かない企業の報道が増えている。

　イオンの子会社（2009年8月までは三菱商事の子会社）のデジタルダイレクトは、通販サイト「saQwaネットショッピング」と「fun style shopping」で、顧客のクレジットカード情報を含む個人情報を流出させた。調査結果によると、サイトの不正アクセスを許したのが原因で、両サイトの利用者16万1845名（のべ人数）のうち、クレジットカード情報が5万2196件（期限切れを含む）とメールアドレス15万783件が漏洩した。

　漏洩の開始時期は2008年7月。クレジットカート情報が漏洩しているのではないかと、2009年6月29日にカード会社から照会を受け、社内調査を開始したという。しかし、その時点ではサイトは閉鎖しなかった。8月17日にサイトの不正アクセス（未遂）があり、サイトから漏洩する可能性を確認し、8月20日になってサイトを閉鎖した。

　通販型保険大手のアリコジャパンは顧客情報1万8184件を漏洩させたが、漏洩ルートを絞り込んだものの、断定するまでには至っていない。同社の発表によると、2009年7月14日以降、クレジットカード会社からカードの不正使用に関する複数の照会を受けて漏洩を確認したという。

クレジットカードを使う側が安全対策を変える時期

　クレジットカード情報が漏洩しても、気が付かない企業や販売店はけっこう多い可能性がある。昨年までは、比較的小規模な通販会社に多かったが、今年に入ってからは規模の大きな企業での漏洩が相次いでいる。

　クレジットカードを利用する消費者は、不正使用のトラブルに巻き込まれないように注意してきた。例えば、ネットだろうが店舗だろうが、「信用できない」店ではクレジットカードを使わない対策である。店が請求金額を書き換えて過大請求したり、店員が悪者にカード情報を“売る”などの被害を防ぐためである。クレジットカード情報を「漏洩させない」ための自己防衛策といえよう。

　しかし前述の事例を見ると、信用できそうに見える会社がトラブルを起こしている。もはや「クレジットカード情報は漏れるもの」だという考え方に変えて、新しい自己防衛策を採用する時期に来たといえる。具体的には、クレジットカード情報を守るこれまでの対策に加えて、クレジットカード情報が漏れて悪用されたとしても被害を受けない（減らす）対策を取るべきである。

　将来的にはクレジットカード会社が、クレジットカード番号などが漏洩しても、他人の不正使用ができない仕組みを導入するだろう。しかし、それを待っている間に新しい自己防衛策を考える必要がある。

クレジットカード情報が漏れた際の被害分析

　われわれカード利用者の立場で、クレジットカード情報が漏洩した場合の「被害」を検討してみよう。情報が漏洩しただけで不正使用されていない段階は、気味が悪いものの実害はない。ここでは被害なしとしよう。

　不正使用された場合の「被害」は、（1）不正使用額の支払い、（2）カード会社に不正使用だと説明する手間、（3）今後の不正使用を防止する手間の三つが考えられる。

　不正使用だと判明した場合には、カード利用者が支払いをしないで済む補償制度を導入しているカード会社がほとんどである。したがって、（1）不正使用額の支払いについては、あまり心配しなくてもいい。

　ただし、不正使用だということをカード会社に説明して、カード会社に納得してもらわなければ補償を受けられない。海外での不正利用のように、地理的に離れた場所での不正使用ならアリバイを説明しやすい。一方、住まいの近所の店や、過去に利用したことのあるネット通販などでの不正使用は、自分や家族の仕業ではないと説明するのは骨が折れる作業になるだろう。

　さらに補償を受けるために、パスポートのコピーをカード会社から要求されたり、警察への届け出を求められるかもしれない。（2）の手間はかなりのものになる可能性がある。これらの手間は、カード利用者にとっての「被害」にあたる。

クレジットカードの切り替えは、かなり面倒

　一度不正使用に成功した悪者は、同じカード情報を繰り返し使う危険性がある。悪者がカード情報を裏社会で販売するかもしれない。こうした理由をカード会社は示して、そのカード番号を廃止して、新しいカード番号への切り替えを勧めるだろう。

　プロバイダーや電話料金のような月払い、雑誌購読料や保険料のような年払いにカードを利用している人は多い。カードを切り替えると、これらの会社へ連絡する手続きをしなければならない。ネット通販サイトの多くは、一度クレジットカード決済を利用すると、以降の買い物の際にはクレジットカード情報を入力しないで済むようになっている。この情報も変更しなければならなくなる。かなりの「被害」である。

　クレジットカードの切り替えは、カード利用者にとってはかなりの手間がかかることなので、次のどちらにするかの決断が必要だ。第1案は、今後の不正利用を防止することを優先して、手間をかけてでもクレジットカードを切り替える。第2案は、クレジットカードは切り替えない。もしまた不正利用されたら、今後も不正使用だと説明する手間を許容する。

　どちらにしても手間がかかることに変わりはない。筆者の考えでは、1回目の不正使用のときはクレジットカードを切り替えない。2回目に不正使用があったら、そのときクレジットカードを切り替えるといいと思う。

カードを切り替える費用を漏洩企業に負わせるべき

　カード利用者の対処によって、「被害」を軽減できることもある。カードを切り替える手間を減らすために、カード1枚当たりの自動引き落としなどの登録件数を減らせばよい。複数のカードに登録を分散するだけでできるので簡単である。

　たいていの人は複数枚のクレジットカードを持っている。社団法人クレジット協会の集計（PDF）では、2008年3月末でのクレジットカード発行枚数は3億859万枚。成人人口1人あたり、3.1枚のクレジットカードを発行していることになるという。

　各種登録を3枚にばらせば、たとえ1枚のクレジットカードを切り替えることになっても、登録を変更する手間は3分の1になる。どのカードで何を引き落としているかを一覧表にまとめておけば、いざというときに混乱しないだろう。とはいえ、カードが増えると、安全に管理する手間や漏洩のリスクが増える。むやみにカード枚数を増やせばいいというものでもない。今持っている枚数の中で分散する程度でいいだろう。

　クレジットカード利用者の「被害」を軽減するために、情報を漏洩させた企業に、クレジットカードの切り替えに伴う手間に相当する費用を負担してもらうことも考えた方がいいかもしれない。手間を金額に換算するのは難しいので、代理人（弁護士など）に引き落としなど登録先の変更の業務を依頼し、かかった費用を漏洩企業が支払ってもらう。

　これなら利用者の手間を省くこともできるので、カード利用者の被害感情を治めることにもつながるだろう。

須藤慎一

本業は通信や情報機器のプランナー/ライター。企業を訪問して事例を取材するのが大好き。ライフワークとして迷惑メール対策にも取り組んでいる。

http://www.quixotia.com/profile.html