クレジットカード研究Lab

クレジットカードを使っていて、ふと「これって不正使用とかされないのかな？」と不安になることはないでしょうか。

カード番号と有効期限だけを入力して決済するネットショップでは、ショップ側に悪意があれば、その入力情報を利用して不正使用できそうですし、実店舗でもカード番号と有効期限を控えるので、やはり、悪意があれば不正使用できるでしょう。また時々、「顧客のカード情報が流出」といったニュースも聞かれます。

さらには、フィッシングといって、正規のメールやウェブサイトを偽り、クレジットカード情報を含む個人情報を入力させようとしたり、パソコンやスマホに不正なアプリ（ソフトウェア）をインストールさせて個人情報を盗み見したりする行為も横行しています。

ネットショッピングが盛んになる以前、実店舗での利用が主であった時代には、決済時にカードの磁気情報を不正に読み取るスキミングも問題になっていました。そのスキミングによって得た情報をもとに偽造クレジットカードが作られ不正に使用されていたわけです。

当然のことですが、クレジットカード業界はこれらの不正使用への対策をこれまで講じてきており、たとえば、「顧客に交付するクレジット売上票にはカード番号の一部しか表示せず、有効期限も表示しない」「加盟店のカード端末機をスキマー（スキミングを行う機器）を仕掛けられない構造にする」「カード会社や加盟店のサーバーに不正アクセスできないようセキュリティ対策を強化する」といった対策を行っています。

また、ICチップを搭載したクレジットカードを実店舗で使用する場合、カード会員に暗証番号を入力してもらうことで本人確認をしています。ICチップ搭載クレジットカードはこれまでの磁気ストライプのみのカードに比べて偽造が困難だといわれています。

しかし、ネットショッピングが盛んなこの時代には、それだけでは対策として不十分です。そこで、一部のカード会社では、カードの利用状況を常時チェックして、不正使用が疑われる場合にカード会員に連絡がいくシステムを導入しています。

ここでいう「不正使用が疑われる場合」とは、たとえば、普段安い物しか買っていない方がいきなり高額利用をしたり、同じ商品を短期間で何度も購入していたり、といったケースを指します。

カード会社によっては、そのような不正使用分にかんしては、カード会員に請求がいかないというところもあり、会員の保護が図られています。

とはいえ、不正使用が行われてから気づくのではなく、事前にそれを防げればそれに越したことはありません。

そこで、1997年から順次各カード会社により導入されたのが、セキュリティコードによる本人確認という仕組みです。

ネットショッピングでは、カード番号と有効期限、そしてカード会員の名前を入力して決済しますが、これだと、この3つの情報を知る第三者による不正利用を防げません。

そこで、カード番号とは別に、カードの署名欄などに印字されたセキュリティコードという3～4桁の数字を決済時に入力することで、決済を行おうとする者の手元にカードの実物があることを証明します。これが、セキュリティコードの仕組みです。

当然、ネットショップ側はセキュリティコードを知ることになりますが、決済が終わると、セキュリティコードの情報は破棄されることになっています。そのため、万が一、ネットショップ側からクレジットカード情報を含む顧客情報が流出した場合でも、セキュリティコードはそこに含まれません。

ただし、ネットショップの中には決済時にセキュリティコードの入力を要求してこないところもあるので、そこではカード番号と有効期限、カード会員の名前だけで決済できてしまいます。

また、セキュリティコードを採用していないカード会社もまだあるので、そのクレジットカードでは、当然ですがセキュリティコードを使った決済はできないことになります。

さらに、先ほど触れたフィッシングも問題ですが、偽のサイトでセキュリティコードを含むクレジットカード情報を入力させられるケースもあるからです。さすがにこればかりは、自分自身でセキュリティ意識をしっかり持ち、気を付けていくしかありません。

セキュリティコードは会社によって呼び名が違っており、VISAではCVV（Card Verification Value）、マスターカードではCVC（Card Verification Code）、アメックスではCID（Card Identification Number）とそれぞれ呼んでいます。

正確には、CVVやCVCはカードの磁気ストライプに記録された偽造カード防止のチェックデータのことで、ここでいうセキュリティコードの正式名称は「CVV2」「CVC2」となります。

ただし一般的に、CVVやCVCはセキュリティコードと同じ意味で使われているので、決済時にCVVやCVC、あるいはCIDの入力を求められたら、カードに記載されているセキュリティコードの数字を入力します。

カードのどこにセキュリティコードが印字されているかというと、VISAとマスターカード、JCB、ダイナースではカード裏面の署名欄にある数字の右端3桁がそれにあたります。

一方、アメックスはカード表面のカード番号の右上に印字されている4桁の番号となります。アメックスだけ場所が異なるので注意してください。

それぞれ詳しく説明しましょう。

カード会社ごとのセキュリティコードの場所

・VISA

発行会社によって、カード裏面の署名欄に3桁のセキュリティコードのみ印字されている場合と、7桁以上の番号の最後の3桁がセキュリティコードになっている場合があります。

・マスターカード

カード裏面の署名欄にカード番号の下4桁とセキュリティコード3桁が印字されている場合と、16桁のカード番号とセキュリティコード3桁が印字されている場合があります。いずれにしても最後の3桁がセキュリティコードとなります。

・JCB

カード裏面の署名欄にカード番号の下4桁とセキュリティコード3桁が印字されています。

・ダイナース

カード裏面の署名欄に印字された3桁の番号がセキュリティコードとなっています。

※画像情報元 http://www.cardservice.co.jp/service/creditcard/csc.html

・アメックス

カード表面のカード番号の右上に印字されている4桁の番号がセキュリティコード（CID）となります。

※画像情報元http://www.cardservice.co.jp/service/creditcard/csc.html

ここで注意したいのは、VISAとマスターカード、JCB、ダイナースでは、署名によってセキュリティコードを覆い隠さないようにするということです。署名の文字でセキュリティコードが判別できなくなると、ネットショッピングなどで決済できないことがあります。

北米では、それを防ぐため、署名欄と別のところにセキュリティコードの欄があるカードをVISAとマスターカードが発行しているようです。

また、北米では実店舗でもセキュリティコードを要求するところがあるようです。決済時に取得したセキュリティコードの情報はネットショップと同様、破棄が義務付けられていますが、不安な方は海外旅行中、十分信用できる店舗以外では現金決済を選択したほうがいいかもしれません。

さて、セキュリティコードの位置をきちんと確認して、正確に入力したにもかかわらず、エラーが出て決済できないことがあります。

エラーが出る原因にはいくつかあり、よくあるのが全角文字で入力しているケースです。ネットショップなどでは住所などの番地を全角などで入力させることが多く、全角になったままセキュリティコードを入力するとエラーとなります。セキュリティコードは必ず半角で入力しましょう。

ただし、ほとんどのサイトでは、セキュリティコード入力時に自動的に半角入力へ切り替わることが多いようです。

それから、更新前の古いカードのセキュリティコードを入力してしまっているケースも見られます。更新前のクレジットカードは、カード番号は同じでもセキュリティコードは異なっているので、その番号を入れても決済できません。

また、まれにサイトの不具合でセキュリティコードが入力できないこともあります。その場合、メモ帳などのアプリにセキュリティコードを打ち込んでからコピーし、セキュリティコード欄に貼り付けると入力されることがあります。

セキュリティコードはネットショッピングでのセキュリティを守る仕組みとして大切な役割を担っているわけですが、不正使用を完全に防げるわけではないので、カード会社も次々と新たな対策を打ち出しています。

たとえば、セキュリティコードや暗証番号とは別に、カード会員しか知らないパスワードを設定し、決済時にその入力をうながす「3Dセキュア」という仕組みや、カード会社から1回限りのパスワードが発行される「ワンタイムパスワード」という仕組みなどがその一例です。

安心してクレジットカードを使うには、そういったセキュリティの仕組みをよく理解した上でカードを選ぶことも大切でしょう。