インターネットでクレジットカード決済を行う際、決済情報の入力画面で「セキュリティコード」を求められることがある。
セキュリティコードとは、主にインターネットショッピングにおいて第三者によるクレジットカードの不正利用を防ぐための番号で、カードの裏面に印字されている3桁の番号のことを指す(アメックスはカード表面の印字で4桁)。
クレジットカードの不正利用を防ぐためのセキュリティコードであるが、扱い方を間違えると不正利用の原因ともなってしまう。
本記事では、セキュリティコードの役割を解説すると共に、セキュリティコードを正しく扱い、クレジットカードの不正利用を防ぐために注意すべきポイントをまとめていく。
セキュリティコードの位置
セキュリティコードは、裏面の署名欄右上に表示されている。
- JCBのセキュリティコード
- アメリカン・エキスプレスのセキュリティコード(CID)
(JCB公式サイトより引用)
クレジットカード番号の右上に表示されている4桁の番号
セキュリティコードがある意味
セキュリティコードは、クレジットカードの不正利用を防ぐための3桁または4桁の番号のことだ。
カードの磁気情報や、ICチップの情報には含まれておらず、カードの裏面もしくは表面に印刷されている。
クレジットカードを手元に持っている所有者本人しか確認することができないため、遠隔のカード利用、特に現代ではインターネットショッピングにおいて、第三者によるカードの不正利用を防ぐ目的として導入されている。
裏を返せば、クレジットカードが手元にある前提の実店舗などにおける「対面」でのカード利用の場合はセキュリティコードの意味はあまりない。
日本国内で、対面の実店舗でのクレジットカード決済において、セキュリティコードを求められることはまずないと言える。
ただし、アメリカでは対面型の実店舗でもセキュリティコードを示すよう求められることもあるようだ。
また、日本では、セキュリティコードの入力が徹底されているわけではなく、インターネットショッピングで、セキュリティコードの入力を求められないサイトもある。
店舗にとっては、セキュリティコードにより取り扱う個人情報が増えることで、業務量やリスクが増えることはデメリットではある。
しかし、アメリカやヨーロッパでは、インターネットショッピングではほぼ全ての場合、セキュリティコードの入力を求められる。
なお、2018年現在、日本では2020年の東京オリンピック・パラリンピック開催に向けて、クレジットカード情報の取り扱いについて世界基準に準ずる動きが進められている。
3Dセキュアなど、セキュリティコード以外のカードの不正利用を防止するための対策の強化も推奨されている。
国際ブランドによる違い
セキュリティコードは、クレジットカードの国際ブランドによって、正式な名称と印刷場所、番号の桁数が異なっている。
VISA、マスターカード、JCB、アメリカン・エキスプレス、ダイナースクラブの5大国際ブランドそれぞれの、セキュリティコードの名称と印刷場所は以下の通りだ。
基本的には、カード裏面の署名欄やその右、3桁の数字という場合が多いが、アメリカン・エキスプレスのみカード表面の4桁の数字となっている。
新たにカードの申込を行った場合や、カードの更新・再発行の際には、手元に届いたカードのセキュリティコードも一度確認しておこう。
また、署名欄内にセキュリティコードが印刷されている場合は、カードに署名する際にセキュリティコードに被らないように注意したい。
VISA
正式名称:CVV2(Card Verification Value)
印刷場所:カード裏面署名欄
※カードによって署名欄内に印刷されている場合と、署名欄外右に分かれて印刷されて場合がある。
※バーチャルカードはカード表面
桁数:3桁
マスターカード
正式名称:CVC2(Card Validation Code)
※カードによって署名欄内に印刷されている場合と、署名欄外右に分かれて印刷されて場合がある。
印刷場所:カード裏面署名欄
桁数:3桁
JCB
正式名称:特になし(セキュリティコード)
印刷場所:カード裏面署名欄
桁数:3桁
アメリカン・エキスプレス
正式名称:CID(Card Identification Number)
印刷場所:カード表面カード番号右上
桁数:4桁
ダイナースクラブ
正式名称:特になし(セキュリティコード)
印刷場所:カード裏面署名欄
桁数:3桁
セキュリティコード以外の本人確認
セキュリティコード以外にも、クレジットカード所有者の本人確認の方法がある。
インターネットショッピングでは「3Dセキュア」、実店舗では「PINコード(暗証番号)」もよくつかわれる方法だ。
3Dセキュアとの違い
セキュリティコードと混同されやすいのが、「3Dセキュア」だ。
3Dセキュアも、インターネットショッピングにおけるクレジットカード決済の不正利用を防ぐことを目的とした本人認証のためのサービスだ。
ただし、方法がセキュリティコードとは異なる。
3Dセキュアに対応しているクレジットカードでは、あらかじめカード会員本人が、3Dセキュア用のパスワードを設定しておく。
そして、3D対応している加盟店のショッピングサイトでそのクレジットカード情報が入力されると、設定しておいたパスワード入力が要求され、正しいパスワードが入力されないと決済を行うことができない。
場合によっては、パスワードと共に、たとえば「好きな食べ物」などの「パーソナルメッセージ」を設定することもあり、パスワード入力時にこのメッセージも表示されるようになっている。
PINコード(暗証番号)との違い
実店舗において、専用の端末に入力するのがPINコード(暗証番号)だ。
インターネットショッピングにおいて入力を求められることはまずない。
また、PINコードは、最初から決まっているセキュリティコードとは違い、クレジットカード申込時に自身で番号を設定する。
ICチップ搭載のクレジットカードをIC対応端末設置店舗で利用する場合、売上伝票にサインをする代わりに、端末にPINコードを入力する。
PINコードは、店舗や端末にも残らず、原則としてカード所有者本人しか知り得ない情報なので、実店舗でのカード所有者の本人確認として有効だ。
注意点
絶対に誰にも教えない
セキュリティコードはインターネットショッピングにおける不正利用防止の要だ。
もし、セキュリティコードを自分以外に知られてしまったら、不正利用の危険が格段に大きくなってしまう。
どういったきっかけで漏れるか分からないので、たとえ家族であっても、セキュリティコードを誰かに教えるのは避けるのが望ましい。
また、セキュリティコードをどこかにメモしたり、画像として保存したりするのも避けよう。
クレジットカードの番号と同じく、セキュリティコードの流出も、本人の過失が大きい場合は、不正利用された時に補償の対象外となってしまう恐れがある。
印刷されていないカードもある
クレジットカードの種類や発行時期によっては、セキュリティコードが印刷されていないカードも存在する。
そういったカードでインターネットショッピングをしていて、セキュリティコードの入力を求められた場合は、カードの発行会社に問い合わせをしよう。
また、基本的にセキュリティコードはかすれるなどしないよう印刷されているが、もしかすれて確認できなくなった場合も、カード会社に連絡が必要だ。
更新、再発行で番号が変わる
多くの場合、セキュリティコードはクレジットカードの更新・再発行により変更される。
ただし、セキュリティコードはクレジットカードの番号等と違い店舗等で保存してはいけないことになっており、原則として都度入力するので登録の変更などの必要はない。
フィッシング詐欺に要注意
近年、クレジットカード番号やセキュリティコードなどが流出する大きな原因となっているのが、フィッシング詐欺だ。
フィッシング詐欺とは、偽の電子メールなどで偽のウェブサイトに誘導し、クレジットカード情報など個人情報を入力させ、それらを盗み出す行為のこと。
大手企業や金融機関を装ったものや、ウイルス感染などを警告する電子メールなど、手口は巧妙化している。
インターネットショッピングにおけるクレジットカードの不正利用防止のために作られたセキュリティコードだが、セキュリティコードまで盗んでしまえば不正利用がしやすいということ。
フィッシング詐欺では、多くの場合偽サイトにセキュリティコードまで入力するようになっており、セキュリティコードがあるから安心という状況ではなくなっている。
フィッシング詐欺の被害を防ぐために、セキュリティコードを始めとしたカード情報を不正利用されないために、次のような点に気を付けよう。
不審なメール、リンクをクリックしない
フィッシング詐欺は、電子メールなどの偽リンクから偽サイトに誘導することが第一段階だ。
少しでも不審な点のあるメールはそもそも開かない、そして不審なリンクはクリックしないことが重要だ。
少し前までは、そういった偽メールは文章が少し変だったり、URLが明らかに不審なものであったり、多少なりとも見抜くポイントがあった。
しかし最近は手口が巧妙化しており、普通に見ただけでは本物に見える大手企業や金融機関を装ったメール・サイトや、ウイルス感染の警告など思わずクリックしてしまうような煽り文句のポップアップが増えている。
セキュリティソフトのフィッシング防止機能を利用
セキュリティソフトのフィッシング防止機能には、そのウェブサイトが安全なサイトであるかどうか教えてくれたり、フィッシング詐欺の電子メールをブロックしてくれたりする機能がある。
ソフトによっても利用できる機能やレベルが違うので、自身のインターネット利用状況に合わせて選ぼう。
特にPCに関しては、何らかのセキュリティ対策は必須だ。
フィッシング対策協議会の情報などをチェック
フィッシング詐欺に関する事例情報、技術情報の収集及び提供を行っているフィッシング対策協議会のサイトでは、フィッシング詐欺に関する情報が多く公開されている。
不審なメールや、クレジットカード情報の入力に少しでも疑問があれば、フィッシング対策協議会のサイトで似た事例がないか確認してみよう。
また、送信元の名前やメールアドレス、サイト名、URLなどで検索をかけるだけでも、フィッシング詐欺の事例が出て来ることもある。
企業公式サイトや直接連絡で確認
有名企業や金融機関の名前をかたったフィッシング詐欺の場合、送られてきた電子メールなどからその企業のページに行かず、別に検索するなどしてその企業の公式サイトを確認してみよう。
フィッシング詐欺が頻発している場合は、トップページに注意勧告や詳細な情報が掲載されていることがある。
また、メールや電話でその企業に直接問い合わせをしてみるのも有効だ。
送られてきた電子メールに記載されている情報ではなく、きちんと自分で確認した連絡先に問い合わせをしよう。
安全なサイトを見分ける方法
フィッシング詐欺以外にも、サイトのセキュリティ対策に不備がありクレジットカード情報が流出するというケースもある。
インターネット上でカード情報を入力する時は、どんなサイトであっても安全性を確かめる必要がある。
安全なサイトを判断するポイントは、個人情報を入力する画面が「SSLで暗号化された」画面であるかということだ。
SSLとは、「Secure Socket Layer」の略で、情報を暗号化して送る通信技術のこと。
SSLで暗号化されたサイトは、アドレスバーに表示されるURLが「https://」となっているが、暗号化されていないサイトは「http://」となる。「s」一つの違いだが、大きな違いだ。
また、暗号化されたサイトでは、ブラウザに鍵マークも表示さる(ただし、ステータスバーが非表示に設定されている場合は、鍵マークが表示されない)。
それ以外にも、電子メールでカード情報を送ることも危険だ。
インターネット上でカード情報を入力して良いのは、「SSLで暗号化された」ページのみ、ということを徹底させよう。
セキュリティコードの扱いは慎重に
以上、セキュリティコードについて、またその扱いの注意点についてまとめた。
クレジットカード番号に比べ、存在感の薄いところもあるセキュリティコードだが、不正利用防止のために重要な番号であることを、今一度認識いただきたい。
特に、インターネットショッピングが盛んになり、クレジットカードの利用率が伸びている今、セキュリティコードの役割をきちんと理解し、カード番号と共に正しく取り扱うことが、カードを便利かつ安全に使い続けるためにとても重要だ。
