QRコード決済を安心して利用するためのセキュリティー対策

QRコード決済は、QRコードをスキャンして完結する便利な決済方法です。決済時にスマートフォンを使うことから、スマホ決済と呼ばれることもあります。店舗にとっては「初期費用を抑えて導入できる」、利用者にとっては「ポイントやキャンペーンを利用してお得に買い物できる」などのメリットがあり、近年、導入店舗や利用者が増加傾向にあります。

便利でお得な決済方法として普及が進む一方、安全性を懸念する声もあります。QRコード決済(スマホ決済)の利用にどのようなリスクが伴い、どういった対策を取れば安心して利用できるのでしょうか。この記事では、QRコード決済やスマホ決済のリスク、各社が導入しているセキュリティー対策、利用者と店舗ができる対策を紹介します。

目次



QRコード決済に伴うリスク〜利用者編〜

QRコード決済を含むスマホ決済のセキュリティーは日々進化しています。ただし、安全に利用するには、利用者側がリスクと安全対策を知っておくことが大事です。QRコード決済(スマホ決済)の利用において、どのようなリスクがあるのか理解しておきましょう。

不正アクセス

利用者になりすましてログインする不正アクセスは、利用者が最も心配するリスクだといえます。QRコード決済やスマホ決済は銀行口座やクレジットカードに紐付けて支払うことも多く、金融機関情報やカード情報の漏洩が懸念されます。

フィッシング詐欺

フィッシング詐欺は、QRコード決済サービスを装い利用者にメールやSMSを送り、利用者を偽サイトに誘導し、個人情報を盗む行為です。「不正なアクセスがありました」「お客さまの口座から送金が確認されました」「第三者による不正利用の疑いがあるため、口座を一時利用停止しました」といった内容と共に偽サイトに誘導するURLが送られてくることが多く、URLにアクセスすると、IDやパスワードといった個人情報を入力するよう求められます。入力してしまうと、個人情報の不正利用被害に遭う可能性があります。

QRコードの盗撮

利用者が提示したQRコードを店舗側で読み取る「ストアスキャン方式」で懸念されるリスクです。利用者がスマートフォンにQRコードを表示したままレジで並んでいるときに、後ろからQRコードを盗撮し、そのQRコードを支払いに利用する手口です。

利用者ができるセキュリティー対策

QRコード決済(スマホ決済)を利用するうえでどのような安全対策ができるのでしょうか。

IDやパスワードを使いまわさない

複数のQRコード決済(スマホ決済)を利用している場合、同じIDやパスワードを使いまわすのは危険です。一部のQRコード決済に不正アクセスされた場合、漏洩した情報を他サービスのQRコード決済でも悪用されてしまいます。IDやパスワードは複数になるとなかなか覚えられず統一しがちですが、不正アクセスの被害に遭わないためにも、使いまわしは避けましょう。

メールやSNSのリンクなどを不用意に開かない

フィッシング詐欺にあわないための対策です。差出人が普段利用しているQRコード決済サービス名でも、フィッシングメールの可能性があります。前述にもあるように、フィッシング詐欺の手口は利用者を偽サイトに誘導し、個人情報や金融機関情報を盗みます。メールやSNSに添付されたリンクはクリックせず、公式サイトやアプリからログインしましょう。また「緊急」を装うメールやSNSもフィッシングの可能性があります。慌てて本文に添付されたリンクをクリックせず、まず、公式サイト・アプリで情報の真偽を確認しましょう。

決済履歴を定期的にチェック

QRコード決済アプリやスマホ決済アプリには、「いつ」「どこで」「いくら支払った」などの決済情報が残ります。定期的に決済履歴を確認することで、万が一、不正利用されていたとしても気づくことができます。溜めていたポイントがなくなっている、身に覚えのない決済がある、といった場合、早急に決済サービスに報告し、登録しているクレジットカード会社や銀行に連絡しましょう。

スマートフォンにロックをかける

QRコード決済やスマホ決済を利用しているスマートフォンには、顔認証、指紋認証、パスコードなどでロックをかけておきましょう。スマートフォンを紛失したり、盗難に合ったりしても不正利用されるリスクを回避できます。顔認証や指紋認証といった生体認証は本人でしかロック解除できないため、セキュリティー対策として有効です。

QRコード決済に伴うリスク〜店舗編〜

QRコード決済(スマホ決済)を導入するにあたって、どのような危険性があるのかを理解しておきましょう。

QRコードの偽造

QRコード決済の方法には、店舗が提示するQRコードを利用者がスマートフォンで読み取る「ユーザースキャン方式」と、利用者が提示するQRコードを店舗が読み取る「ストアスキャン方式」の主に二つのやり方があります。QRコードが偽造されるリスクがあるのは「ユーザースキャン方式」を導入している店舗で、レジ横などで提示しているQRコードの上に偽のQRコードを貼り付けたり、すり替えたりして店舗の売上金を盗む手口です。

security-for-qr-code-payment-3

店舗ができるセキュリティー対策

QRコードの偽造を防止するためにできることを紹介します。

QRコードを見える場所に置く

「ユーザースキャン方式」でQRコード決済を導入している場合、印刷したQRコードをレジ横などに設置していることが多いでしょう。偽造されるリスクを回避するためにも、店舗スタッフから常に見える場所に設置しましょう。店舗スタッフの視覚に入らないところに設置してあると、QRコードのすり替えや貼り替えをされても気づくことができません。

QRコードには「静的QRコード」と「動的QRコード」があります。印刷されたQRコードは「静的QRコード」に分類されます。一方で、スマートフォンやタブレットなどに表示されるQRコードは「動的QRコード」に分類されます。「動的QRコード」はその都度生成され、1度表示されたQRコードは数分おきに更新される仕組みになっています。セキュリティーの面から見ても、「動的QRコード」の方が安全性は高いといえます。

動的QRコードを導入する

前述の「動的QRコード」を導入することも一つのセキュリティー対策です。動的QRコードはダイナミックQRコードとも呼ばれており、決済毎に生成されます。たとえば、キャッシュレス決済サービスSquareが提供しているQRコード決済では、決済の度に固有のQRコードが作成され、POSレジの画面に表示されます。表示されたQRコードをお客さまがスマートフォンで読み取ると、決済金額がお客さまのQRコード決済アプリに自動で入力されます。お客さまによる金額入力が不要なのも便利な点です。

jp-blog-paypay-qsr

セキュリティー対策が万全な決済端末を導入する

利用者がスマートフォンに提示したQRコードを店舗が読み取る「ストアスキャン方式」の場合、決済端末はセキュリティー対策が万全なものを選びましょう。QRコードの読み取りは手持ちのスマートフォンやタブレットでも可能ですが、データの暗号化など高いセキュリティー技術が搭載された端末を選ぶことでより安全性が高まります。

無料のWi-Fiは使わない

決済はインターネット通信を介して行われます。通信が暗号化されていない無料Wi-Fiを利用してしまうと、外部からのハッキングや、盗聴・のぞき見の原因になります。QRコード決済は取引情報が暗号化されているため、利用者の個人情報などが漏洩する可能性は低いといえますが、専用のWi-Fi回線を用意するなど万全のセキュリティー対策で安全性を高めましょう。

利用者の操作を確認する

「ユーザースキャン方式」では、店舗の提示するQRコードを利用者が読み取った後、利用者自身で購入金額の入力を行います。実際とは異なる購入金額を入力していないか、不正利用を防ぐために店舗スタッフは入力金額の確認を怠らないようにしましょう。

QRコード決済サービスが導入しているセキュリティー対策

安全に利用できるよう各QRコード決済サービスや決済代行サービスではセキュリティー対策を実施しています。どのような対策がとられているか説明します。

本人認証サービス(3Dセキュア)

本人認証サービス(3Dセキュア)とは、インターネット上で安全にクレジットカードを利用するための仕組みです。この仕組みでは、クレジットカード番号や有効期限などの情報の他に、ワンタイムパスワードなどの入力が求められます。ワンタイムパスワードは本人しか知り得ない情報で、クレジットカード情報の漏洩によるなりすまし被害を未然に防止することができます。

QRコード決済(スマホ決済)のアカウントにクレジットカードを登録している利用者も多いでしょう。多くの決済事業者では、セキュリティー対策としてクレジットカードを登録する際にワンタイムパスワードの入力を求めています。

ワンタイムパスワードは、店舗でクレジットカード決済をする時に入力する4桁の暗証番号や、クレジットカード裏面などにあるセキュリティコードとは異なるものです。また、クレジットカードによっては本人認証サービス(3Dセキュア)に対応していないものもあります。利用するには、本人認証サービス(3Dセキュア)対応のクレジットカードが必要です。

端末認証

スマートフォンでQRコード決済アプリを立ち上げる際、アプリに登録している端末かどうかを認証する方法です。認証方法にはパスコード認証、指紋認証、顔認証などがあり、未登録の端末からはログインできません。端末認証は、各QRコード決済アプリ内で設定します。

上限金額の設定

万が一、不正アクセスやQRコードの盗撮など被害に遭い不正利用されても、利用上限金額を設定しておくことで被害を最小限に抑えることができます。各QRコード決済サービスで、支払い方法などにより利用上限金額は異なるので事前に確認しておきましょう。

24時間365日体制で不正検知

不正利用がないかどうか、24時間365日体制で監視し、不正利用が検出されたアカウントには利用制限をかけるなど、多くのQRコード決済サービスでは不正利用をいち早く阻止する取り組みを行っています。

QRコード決済サービスの 不正利用時の補償制度

万が一、不正利用された場合どのような補償制度があるのでしょう。主要なQRコード決済サービス4社の補償金額、補償条件の一部を以下にまとめてみました。QRコード決済サービスごとに補償条件は異なります。QRコード決済の使い方を考慮し、条件と照らし合わせてみましょう。たとえば、クレジットカード支払いを利用している場合、利用額の引き落としはほとんどの場合、利用から約1カ月後となります。もし被害が発生した場合、申請期間に十分な期日が設けられていれば落ち着いて申請を行うことができます。

                   補償金額 補償条件
PayPay 全額 ・損害発生日から60日以内の申請であること
・初回の申請、もしくは前回の申請から1年を超えていること
・家族や同居人などの利用でないこと
・警察へ被害の届出を出すこと
・所定の審査条件を満たしていること
参考:補償申請について(PayPay)
楽天ペイ 補償あり
(金額は要問い合わせ)
・損害発生日から60日以内に楽天ペイメント株式会社および警察に届け出ること
・利用者の家族、同居人またはその代理人の使用による損害でないこと
・申告した盗難、被害状況に虚偽がないこと
参考:楽天ペイ不正利用時の補償に関する特約(楽天ペイ)
d払い 全額 ・不正利用による損害を確認した日から30 日以内にドコモ所定の書類を提出
・家族、同居人などの使用による損害でないこと
・ドコモに申告がなされた日から遡って90日より前の不正利用に起因する損害でないこと
参考:d払い等の不正被害の補償について(d払い)
au Pay 全額 ・不正利用による損害を知った日から30日以内にKDDIに書類を提出すること
・ドコモに対する申告がなされた日から遡って90日より前の不正利用に起因する損害でないこと
・申告内容に虚偽がないこと
参考:au PAY サービス利用規約(au PAY)

security-for-qr-code-payment-2

本記事で紹介したQRコード決済(スマホ決済)に伴うリスクは、店舗、利用者ともに意識して対策を講じることで回避できます。また被害にあった時の対処法を理解しておくことで万が一のことがあっても迅速に対応することができます。リスクに対する正しい知識と対策でQRコード決済(スマホ決済)を安全に、安心して利用しましょう。

Squareなら、QRコード決済も最短翌営業日入金

SquareのQRコード決済は、お店が表示したQRコードをお客さまがスマートフォンで読み込むだけで完了。クレジットカードでも交通系電子マネーでも、QRコードでも、売上金の入金タイミングはすべて同じ、最短翌営業日。キャッシュフローも安心です。


Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。

執筆は2022年6月14日時点の情報を参照しています。2024年9月25日に記事の一部情報を更新しました。当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いませんPhotography provided by, Unsplash