カード暗証番号入力の問題

Security 4月 4, 2005
(Last Updated On: 2018年8月3日)

クレジットカード利用時に不必要な電話番号の記入を強要するカード加盟店は昨年の記入された電話番号を悪用した事例のおかげでやっと無くなりました。カード規約には書名でサービスを利用できると明記されているので私はいつも電話番号記入は拒否していました。電話番号の記入を求める加盟店はまずカードの署名と伝票の署名が一致しているか確認していませでした。海外では署名を確認しない、ということはあり得ないのですが日本では確認しない加盟店の方が今でも多いくらいです。署名を確認されないと私は非常に不満なのですが、署名を確認されると不満に感じる利用者も多い(?)ということかも知れません。

とにかくやっと日本で無意味かつ不必要な電話番号記入の強要が終わったと思っていたら別の問題が発生しています。電話番号とは比較ならないくらい問題が大きい暗証番号入力を求める加盟店が急増中です。

何が問題なのか三井住友VISAカードの規約を見ながら検証してみることにします。

https://www.smbc-card.com/mem/nyukai/online_nyukai/kiyaku.jsp

第8条(暗証番号)
(省略)
2.会員は、暗証番号を他人に知られないよう、善良なる管理者の注意をもって管理するものとします。カード利用にあたり、登録された暗証番号が使用されたときは、当社に責のある場合を除き、本会員は、そのために生ずる一切の債務について支払いの責を負うものとします。

暗証番号を利用した不正利用はカードの所有者の責任になると明確に記述されています。暗証番号は非常に重要ということです。しかし、通上クレジットカードには保証制度があります。保証制度で保証されているはずですね。

第13条(会員保障制度)
1.前条1項の規定にかかわらず、当社は、会員が紛失・盗難により他人にカードまたはチケットを不正利用された場合であって、前条2項の警察及び当社への届出がなされたときは、これによって本会員が被るカードまたはチケットの不正利用による損害をてん補します。
(省略)
3.次の場合は、当社はてん補の責を負いません。
(省略)
(6)カードショッピング、キャッシングリボ、キャッシング一括及び海外キャッシュサービス取引等のうち暗証番号の入力を伴う取引についての損害

残念ながら暗証番号を利用した取り引きの場合、保証制度は全く適用されません。当然と言えば当然です。カード会社としてもフィッシングサイトにカード番号と暗証番号を入力するようなユーザまで保証しきれません。妥当な条項と言えます。

では暗証番号の入力を求める加盟店で暗証番号ではなく署名でカードを利用する事はできるのでしょうか?

第27条(カードショッピング)
1.利用可能な加盟店
会員は、次の加盟店においてカードを利用することができます。但し、会員は、加盟店におけるカード利用に際し、会員番号その他個人情報の窃取・悪用・売上伝票等の偽造・変造等の危険について充分に注意するものとします。
(省略)
2.加盟店の店頭での利用手続き
商品の購入その他の取引を行うに際し、加盟店にカードを提示して所定の売上票に署名することにより、当該取引によって会員が負担した債務の決済手段とすることができます。
(省略)
5.ICカードの利用手続き
カードの種類がICクレジットカード(ICチップを搭載したクレジットカード)の場合には、当社が指定する加盟店においては、売上票への署名に代えて、会員自身が暗証番号を端末機等へ入力するものとします。但し、端末機の故障等の場合若しくは別途当社が適当と認める方法を定めている場合には、他の方法でカードを利用していただくことがあります。

ここではカードの利用について規定しています。ユーザは不必要に情報が漏洩しないよう注意する義務が書かれています。そして、カードを利用するには伝票に署名を行うこと、または署名に代えて暗証番号を入力することになっています。

明確には規定されていませんが、ユーザの真後ろや場合によっては横に他人がいるような劣悪な環境での暗証番号入力を拒否することはユーザの責任とも読めます。前の規約なども含めると、加盟店での暗証番号入力時に暗証番号を盗み見られ、その直後にカードを盗まれ暗証番号を使ってキャッシングやショッピングを行われてもカード会社や劣悪な環境での暗証番号入力を強要した加盟店には責任は無く全てカードユーザの責任になると言うことです。

カードの利用規約からは暗証番号入力を拒否し署名で利用する事をユーザが選択できるか今一つ不明確ですが「代える」には「代用する」と言う意味があるため代用しないで署名を使用することも可能なようにも読めます。

劣悪な環境での暗証番号入力を強要するY田電気等で暗証番号入力を拒否する為にも論理武装が必要なので、暗証番号入力を拒否し署名で利用する事が可能であるかカスタマーサポートセンターに問い合わせてみることにします。結果は後日ブログに書くことにします。加盟店での暗証番号入力の拒否が可能な場合は拒否する事をお薦めします。1

このブログを読んでいる皆さん、暗証番号の取り扱いには細心の注意が必要です!特にデビットカードの場合は署名を利用不可能であるため劣悪な環境ではデビットカードを利用しないか、預金金額が少額かつ他のカードの暗証番号とは違うカードをのみ利用する等の対策をとった方がよいでしょう。

私は推測不可能な安全な暗証番号を使っていますが、クレジットカードの暗証番号は海外でのキャッシュアドバンスくらいしか使わないので暗証番号を共用しています。このため暗証番号の盗み見は非常に困ります。もし暗証番号入力を拒否できない場合、クレジットカードの暗証番号変更と利用限度額の引き下げも検討しなければならないと考えています。限度額いっぱいの100万とかキャッシングされると洒落になりません… クレジットカード利用者にとって暗証番号入力は百害あって一利無しと言えます。

追記1:ちなみに暗証番号が盗まれるのは入力時の盗み見が一番多いそうです。また最近行われた金融庁のスタディーグループの議事録には

現在のキャッシュカードのシステムは、①磁気ストライプの内容は真正なカードから読取可能であること、②暗証番号もATMの操作時に盗み見られる又は誕生日等から推察することにより漏洩を完全に避けられないこと、を踏まえると、技術は時代遅れとなってきている。預金者がいくら注意しても犯罪が起こりうる余地があることを考慮して対策を検討する必要がある。

と書かれています。暗証番号を入力し本人確認を行うシステムには問題があり時代遅れであるとしています。私も同意見です。時代遅れな暗証番号システムをクレジットカード利用時の確認に新たに利用するという考えはどこから生まれたのでしょうか?カード会社も馬鹿ではないので問題がある事くらいは解かっていると思いますが、免責事項なので構わない、ということなのでしょうか?

追記2:このエントリは2005年に書かれた物です。カードにICチップが埋め込まれ偽造が困難になった2017年現在でも、カードの暗証番号入力はカード所有者にとって高いリスクがあります。現在のリスクについては、今のカード利用規約を参照されるようお願いします。日本ではあまりないと思いますが、ATMにカメラや磁気データを盗み取る機械が取り付けてある事もあります。カードの暗証番号入力には注意が必要です。


  1.  ちなみにY田電気は電話番号記入を強要する加盟店の一つでした。署名確認ももちろんしてませんでした。ところであの暗証番号入力機は信用して良いものなのかも疑問です。まさか暗証番入力機から暗証番号がそのまま端末に送られている、などと言うことは無いですよね。 

投稿者: yohgaki