QRコード決済の安全性は大丈夫？消費者・店舗向けのセキュリティ対策まとめ

「セキュリティに関して不安がある」「銀行口座やクレジットカードを登録するのに抵抗がある」など、安全性への不安から、QRコード決済の使用に対して懸念を持たれている方もいらっしゃるのではないでしょうか。

この記事では、QRコード決済の利用にどのようなリスクが伴うのか？その事業者はどのような解決策を用意しているのか？といったポイントをまとめて解説します。
また「店舗側としてどのような対策ができるんだろう？」とご検討中の店舗の方々に向けて、簡単に実施できるQRコード決済のセキュリティ対策についてもお伝えします。

QRコード決済利用時の危険性

まず、店舗側と消費者側それぞれの、QRコード決済を利用するときに考えられる危険性をお伝えします。

【店舗側】QRコードが偽造されている可能性がある

QRコード決済には、店舗に掲示しているQRコードをユーザーがスマホのカメラで読み取って支払いを行う、スキャン方式があります。
この方式を導入している場合のセキュリティリスクに、QRコードの偽造があります。

QRコードが偽造されることによって、ユーザーが支払った代金が偽造した犯人の口座に入る可能性があります。

とくに中国では、店頭に設置されたQRコードの上にで犯人の利用する口座情報が入った偽造QRコードのシールを貼って上書きし、不正送金をさせる犯罪が起きました。

【消費者側】QRコードを不意に読み込まれて盗まれる可能性がある

消費者側は、自分のQRコードを読み取ってもらい支払いを行うとき、またはコード支払いを利用するときに注意が必要です。
できる限り早く支払いを済ませたい場合、レジに並んでいるときからアプリを立ち上げ、支払い用のQRコードを表示させて準備をする方もいらっしゃるでしょう。

しかし、このときQRコードを後ろから見える状態にしていると、不正利用されてしまう可能性があります。

QRコード決済では、高額になると決済直前で再度、指紋認証や暗証番号の入力など、本人認証が求められますが、少額の場合は、QRコードを読み取るだけで決済が完了してしまうことがあります。

中国では実際に、スマホに表示されたQRコードのスクリーンショットを盗まれて、999元（日本円にして約15,000円）盗まれるという事件がありました。
(参照: http://www.chinesenzherald.co.nz/news/lifestyle/qrcode/)

安全性確保のためにも、QRコードの表示はレジで支払う直前にするか、もしくは事前に表示させていたとしても、スマホケースなどで周りから見えない状態にするなどの対策が必要です。

PayPayが実施しているセキュリティ対策

QRコード決済にはここまでに紹介したような危険性があります。その一方で、もちろんその安全性を担保するための対策も取られています。
ここではユーザー使用率No1のPayPayが実施しているセキュリティ対策をご紹介します。

クレジットカード利用時の上限金額設定

PayPayでは、不正利用防止対策のために、クレジットカード利用時の上限金額が設定されています。
これによって、流出したクレジットカード情報を使って不正利用されたとしても、被害を最小限に抑えることができます。

また、カード利用の上限金額は本人認証設定の有無やバッジの有無によって下表のように異なります。

【支払い上限金額】(2019年2月12日時点)

(参考: https://paypay.ne.jp/notice/20190215/01/)

さらに決済のモニタリングも行われているおり、上限金額内であっても不正利用が疑われる場合は、自動的に利用を停止するため安心です。

クレジットカードの本人認証サービス（3Dセキュア）を導入

PayPayでは、クレジットカードの本人認証サービス(3Dセキュア)にも対応しています。

本人認証サービス(3Dセキュア)とは、事前にクレジットカード会社での本人認証サービスの利用設定やパスワードなどの登録を行い、PayPayにクレジットカードを登録する際に、その登録したパスワードを入力することで本人認証を行う仕組みです。

仮にクレジットカード券面の情報が流出した場合でも、PayPayへの登録時にクレジットカード会社で個別に登録したパスワードが求められるため、なりすましによる不正利用を防ぐことができます。

このとき本人認証サービス(3Dセキュア)に登録するパスワードは、すでにほかのサービスで登録しているIDやパスワード、その他、誕生日や電話番号など推測しやすい文字列での設定は避け、他者にはわからない安全なパスワードに設定しましょう。

他のインターネットサイトへの不正アクセスで流出したID、パスワードを使って、不正ログインされるケースが多発しているので注意が必要です。

端末の認証を有効にする機能

PayPayは「端末の認証を有効にする」という機能も導入しています。
これは、PayPayアプリを立ち上げるときに、本人認証が求められる機能です。
この認証には指紋認証や顔認証などの生体認証を使用します。

そのため、スマホを紛失したときに、悪意を持った人がパスコードでロック画面を解除したとしても、PayPayアプリまで立ち上げることはできません。

この機能は不正利用を高い確率で防げるため、PayPay利用時には設定することをおすすめしています。

店舗がQRコード決済を導入するときに気をつけたいこと

このようにPayPayでは、万全のセキュリティ対策を実施していますが、導入店舗がより安全に決済を完了させるために、気をつけるべき点ををご紹介します。

紙に印刷したQRコードを定期的にチェックする

偽造QRコードからの不正送金を防ぐために、店舗のQRコードに細工がされていないか定期的に確認を行いましょう。

管理ツールへのログインパスワードを複雑にする

一般的に、売上の確認や店舗の口座情報は、各スマホ決済事業者から提供されるツールで管理します。
PayPayでは、管理サイトとして「PayPay for Business」を提供しています。管理サイトへのログインにはメールアドレスとパスワードを利用します。

ログインを行う場合には、安全性の高い複雑なパスワードを設定し、端末へのパスワード保存も控えるようにしましょう。

安全な通信環境を用意する

QRコード決済の取引は、インターネット通信を介して行われます。
取引自体は暗号化されているため、ユーザーの情報がQRコード決済をきっかけに流出することはまずありませんが、外部からのハッキングを防ぐためにFree Wi-Fiは使わないようにするなど、細心の注意を払い安全性を高める対策が必要です。

まとめ

QRコード決済をはじめとしたキャッシュレス決済は、国が推進しているということもあり、今後さらに普及することが予想されます。
QRコード決済の利便性やポイント還元などのメリットを受けるには、消費者とお店の双方が安全な使い方を知り、守っていくことが必要です。

PayPayではここまでお伝えしてきたように、ユーザーや店舗の皆様に安全にご利用いただけるよう様々なセキュリティ対策を実施しております。ぜひこの機会にPayPayの導入をご検討してみてください。

いますぐPayPayアプリをダウンロード

※「QRコード」は、株式会社デンソーウェーブの登録商標です。