バーチャルクレジットカードというアイデア

グレン @Light_o_River

クレカ会社から「不正使用の可能性がある取引」の確認電話があった。夜、WEB通販でこれこれの購入をしたかということだった。確認してみたら該当する購入は行っていない。

グレン @Light_o_River

ググってみたら、この通販サイト(超大手電機店)は不正使用の温床らしく、いくつも「カードの不正利用に会った」というブログなどが見つかった。

グレン @Light_o_River

担当の方のアドバイスにより、カードの再発行(番号や有効期限が変わる)を行ってもらうことになったのだが、携帯電話料金など毎月引落しのものがあるので、それらの変更をしなければならない。自社のミスでクレヒスを毀損したことがあるSBMの引落も含まれているので注意深く別クレカに急いで変更。

グレン @Light_o_River

クレカのオンライン利用は、カード番号、有効期限だけあれば基本的に利用できてしまうし、これらの情報は通常のオンラインサイト利用でいくらでも洩れてしまう可能性があるものだ。裏面記載のセキュリティナンバーは大丈夫だと思っていたのだが、2ch漏洩事件で明らかになったとおり、これも駄目。

グレン @Light_o_River

クレカ会社は、各取引を都度監視していて、その利用者らしからぬ利用があった場合には、はじく処理を行っているということだが、これだって万全では無いだろう。今回、私が問題のWEB通販の利用歴があったなら、不正取引が疑われることも無かったかもしれない。

グレン @Light_o_River

一番の安全策は、定期的にクレカの再発行をしてもらうことだが、二つ困ることがある。一つは、再発行完了までそのクレカが利用できないこと。もう一つは、携帯電話利用料など定期取引のものの変更を間に合うようにしなければならないこと。

グレン @Light_o_River

で、思いついたアイデア。定期的な引落のあるものは、それ専用のカードを一つ用意してしまい、これは絶対にリアル店舗やオンライン取引では使わないこと。これで不正が起きにくくなるし、不正があっても明細を見ればすぐに自分で気がつくはずだ。その上で通常使うカードは定期的に再発行してもらう。

グレン @Light_o_River

利用者都合の再発行は、手数料を取られるかもしれないが、それにしても不正使用防止のための保険料だと思えば安い。再発行の間、そのカードが利用できないことは困るが、これも一年か二年に一定期間は許容すれば済む。

グレン @Light_o_River

もう一つ不正利用防止の良い方法思いついた。リアルカードの下に、オンライン専用のカード番号を発行する。これは家族カードみたいなものね。そしてその番号はオンライン取引でしか利用できない(リアルカードが無いので当然)ものとする。その上で、このバーチャルカードの番号はいつでも変更可能。

グレン @Light_o_River

既にプリペイド型とか、即座に銀行引落型のバーチャルカードというサービスは提供されているが、今回の私のアイデアは、通常のリアルカードの子番号として、バーチャルカードを発行するというもので、かつ、その番号は利用者からの申請で任意の時点で、変更可能にできるということ。

グレン @Light_o_River

これならリアルカードを付与することで、利用者の身元確認もしっかりできるし、子番号式にすることで、親カードとのリンクも切れず、回収上も問題ない。既存システムを大きくいじる必要も小さいので、コストも抑えられる。もちろん、リアル店舗経由の不正利用は防止できないが。

グレン @Light_o_River

恐らくカード情報(番号、有効期限、セキュリティコード)の流出はオンライン店舗経由ということの方が多いだろうから、この「リアルカードの子カードとしてのバーチャルカード」というアイデアは案外良いポイントをついているように思う。どこかのカード会社さんで採用して欲しい。

グレン @Light_o_River

ということで、「毎月の定期引落はそれ専用のカードにまとめる」ってのは早速やってみよう。どこのカード会社が使いやすいか調査に入る。

グレン @Light_o_River

三井住友の バーチャルカード http://t.co/qIUysjHRmF この仕様じゃ駄目だと思う。 オンライン専用、保証付きは良いが利用枠10万じゃ、普通に買い物で使えない。カード不正利用の最大の問題である、「カード番号などの決済情報の流出」に対抗出来ない。

グレン @Light_o_River

私のアイデアの「リアルカードの子カードとしてバーチャルカードを発行し、利用者側からの操作でいつでも番号変更可能」式なら、与信枠は親カードの一部でよいし、回収は親カードと一体。利用先毎にバーチャルカードを使い分ければ万が一の流出の時も流出元の特定が簡単。

グレン @Light_o_River

海外サイトやエロサイトなど利用に不安が伴う利用先には専用のバーチャルカードナンバーで使い分けることも可能。うーん、なんか良いことしか見つからないな。問題があるとしたら付与するカード番号の枯渇問題と、バーチャルカード発行システムの構築、そのサイト自体のセキュリティの確保か。

グレン @Light_o_River

というわけで、VISA MASTER AMEX JCB 楽天 などなどの関係者の方に私のアイデアが届くといいなと思う。大体が番号、有効期限、氏名などが漏れちゃうだけで、不正利用ができてしまうって言う甘々なシステムがそもそも欠陥システムだよね。最大の防衛策は番号を変更すること。

グレン @Light_o_River

逆にオンライン取引では一切利用不可能って言う属性をクレカ番号に付加出来るようになると良い。番号等の情報と共に、そのカード特有の情報が決済端末経由で送信される事とし、その付加情報付きで無い決済請求は受け付け無い事とする。つまりオンラインや定期取引では一切利用出来ない。

グレン @Light_o_River

リアルカードで直接決済処理をしないと、一切の利用を不可とする。これには電子マネー技術を流用しても良いし。となんだか色々とアイデアが浮かぶなあ。まあそんなに革新的なアイデアが含まれてるわけじゃないので既に誰かが考えた事だろうが。

グレン @Light_o_River

クレカ関連ではもう一つ言いたい事があった。住所と生年月日と電話番号言わせて「ご本人様確認が出来ました。」ってのいい加減やめろって。この三点セットなんてオンライン通販経由でカード情報流出してたなら、一緒に流出してるだろ。携帯へのSMSでワンタイムの合言葉送るなどやれる事はあるはず。

グレン @Light_o_River

店頭でのクレカ利用時で、ICカードの場合の暗証番号利用しての決済が最近は急に増えた。しかし、約款上はあれは利用者にとってとても不利な条件が付されている。「暗証番号を利用した取引の場合例え不正使用であっても保証されない」とされていることがほとんどなのだ。

グレン @Light_o_River

つまり、暗証番号はカード利用者が自分の責任において管理するものであって、それが流出した場合にはクレカ会社は一切面倒みないよということ。しかし、店頭の端末での番号入力操作は、ATM利用時のそれと比べても、十分に保護されているとは言えない状態だ。

グレン @Light_o_River

また、ICカードの暗証番号は一旦決めてしまったら、変更するためには、カード自体の再発行が必要になる。そもそも、銀行のキャッシュカードと同じ数字4桁なんていうだけのもので十分なセキュリティが確保できるわけも無い。暗証番号は利用者が任意に変更できるべきだし、桁数もせめて6桁が必要。

グレン @Light_o_River

ICカードの処理端末なんて、形も統一されてないし、レジ周りでケーブル一本でふらふらしたものだし、加盟店(の店員)がグルになって、スキミング用の端末しかけられたら、一発で漏洩してしまうじゃないか。いつも利用しているクレジットカードというシステムは結構穴だらけなことが分かる。

グレン @Light_o_River

Yahoo とか楽天とかが、既存のクレジットカードシステムに準拠しつつ、オンライン及び実カード利用取引の安全性を格段に高めたシステムを作ることができれば、セキュリティ意識の高く、利用頻度の多い顧客を獲得することはできるんじゃないかな。@hmikitani @masason