QRコード決済は、QRコードをスキャンして完結する便利な決済方法です。店舗にとっては「初期費用を抑えて導入できる」、利用者にとっては「ポイントやキャンペーンを利用してお得に買い物できる」などのメリットがあり、近年、導入店舗や利用者が増加傾向にあります。
株式会社インフキュリオンが男女2万人を対象に行った「決済動向2022年4月調査」によるとQRコード決済の利用率は2022年4月で約6割にも上っています。前年と比較しても「QRコード決済の利用が増えた」の解答が60%と半数以上占めています。この現状を踏まえてQRコード決済の導入を検討する店舗運営者も少なくはありません。
便利でお得な決済方法として普及が進む一方、安全性を懸念する声もあります。QRコード決済の利用にどのようなリスクが伴い、どういった対策を取れば安心して利用できるのでしょうか。この記事では、QRコード決済が伴うリスク、各社が導入しているセキュリティー対策、利用者と店舗ができる対策を紹介します。
目次
- QRコード決済に伴うリスク
・利用者に関連するリスク
-QRコード決済の不正アクセス
-フィッシング詐欺
-QRコードの盗撮
・店舗に関連するリスク
-QRコードの偽造 - QRコード決済サービスが導入しているセキュリティー対策
・本人認証サービス(3Dセキュア)
・端末認証
・上限金額の設定 - QRコード決済サービスの 不正利用時の補償制度
- 利用者ができるセキュリティー対策
・IDやパスワードを使いまわさない
・メールやSNSのリンクなどを不用意に開かない
・決済履歴を定期的にチェック
・スマートフォンにロックをかける - 店舗ができるセキュリティー対策
・QRコードを見える場所に置く
・動的QRコードを導入する
・セキュリティー対策が万全な決済端末を導入する
・無料のWi-Fiは使わない
・利用者の操作を確認する
QRコード決済に伴うリスク
QRコード決済の利用において、どのようなリスクがあるのか理解しておきましょう。それぞれのリスクに対するセキュリティー対策は後述します。
利用者に関連するリスク
QRコード決済の不正アクセス
利用者になりすましてログインする不正アクセスは、利用者が最も心配するリスクだといえます。QRコード決済は銀行口座やクレジットカードに紐付けて支払うことも多く、金融機関情報やカード情報の漏洩が懸念されます。
フィッシング詐欺
フィッシング詐欺は、QRコード決済サービスを装い利用者にメールやSMSを送り、利用者を偽サイトに誘導し、個人情報を盗む行為です。「不正なアクセスがありました」「お客様の口座から送金が確認されました」「第三者による不正利用の疑いがあるため、口座を一時利用停止しました」といった内容と共に偽サイトに誘導するURLが送られてくることが多く、URLにアクセスすると、IDやパスワードといった個人情報を入力するよう求められます。入力してしまうと、個人情報の不正利用被害に遭う可能性があります。
QRコードの盗撮
利用者が提示したQRコードを店舗側で読み取る「ストアスキャン方式」で懸念されるリスクです。利用者がスマートフォンにQRコードを表示したままレジで並んでいるときに、後ろからQRコードを盗撮し、そのQRコードを支払いに利用する手口です。
店舗に関連するリスク
QRコードの偽造
QRコード決済の方法には、店舗が提示するQRコードを利用者がスマートフォンで読み取る「ユーザースキャン方式」と、利用者が提示するQRコードを店舗が読み取る「ストアスキャン方式」の主に二つのやり方があります。QRコードが偽造されるリスクがあるのは「ユーザースキャン方式」を導入している店舗で、レジ横などで提示しているQRコードの上に偽のQRコードを貼り付けたり、すり替えたりして店舗の売上金を盗む手口です。
QRコード決済サービスが導入しているセキュリティー対策
安全に利用できるよう各QRコード決済サービスや決済代行サービスではセキュリティー対策を実施しています。どのような対策がとられているか説明します。
本人認証サービス(3Dセキュア)
本人認証サービス(3Dセキュア)とは、インターネット上で安全にクレジットカードを利用するための仕組みです。この仕組みでは、クレジットカード番号や有効期限などの情報の他に、事前に登録した認証パスワードの入力が求められます。認証パスワードは本人しか知り得ない情報で、クレジットカード情報の漏洩によるなりすまし被害を未然に防止することができます。
QRコード決済のアカウントにクレジットカードを登録している利用者も多いでしょう。多くの決済事業者では、セキュリティー対策としてクレジットカードを登録する際に認証パスワードの入力を求めています。
認証パスワードは、店舗でクレジットカード決済をする時に入力する4桁の暗証番号や、クレジットカード裏面などにあるセキュリティコードとは異なるものです。また、クレジットカードによっては本人認証サービス(3Dセキュア)に対応していないものもあります。利用するには、本人認証サービス(3Dセキュア)対応のクレジットカードと、事前のパスワード登録が必要です。
端末認証
スマートフォンでQRコード決済アプリを立ち上げる際、アプリに登録している端末かどうかを認証する方法です。認証方法にはパスコード認証、指紋認証、顔認証などがあり、未登録の端末からはログインできません。端末認証は、各QRコード決済アプリ内で設定します。
上限金額の設定
万が一、不正アクセスやQRコードの盗撮など被害に遭い不正利用されても、利用上限金額を設定しておくことで被害を最小限に抑えることができます。各QRコード決済サービスで、支払い方法などにより利用上限金額は異なるので事前に確認しておきましょう。
QRコード決済サービスの 不正利用時の補償制度
万が一、不正利用された場合どのような補償制度があるのでしょう。主要なQRコード決済サービス4社の補償金額、補償条件の一部を以下にまとめてみました。QRコード決済サービスごとに補償条件は異なります。QRコード決済の使い方を考慮し、条件と照らし合わせてみましょう。たとえば、クレジットカード支払いを利用している場合、利用額の引き落としはほとんどの場合、利用から約1カ月後となります。もし被害が発生した場合、申請期間に十分な期日が設けられていれば落ち着いて申請を行うことができます。
| 補償金額 | 補償条件 | |
|---|---|---|
| PayPay | 全額 | ・損害発生日から60日以内の申請であること ・初回の申請、もしくは前回の申請から1年以上経過していること ・家族や同居人などの利用でないこと ・警察へ被害の届出を出すこと 参考:補償申請について(PayPay) |
| 楽天ペイ | 補償あり (金額は要問い合わせ) |
・損害発生日から60日以内に楽天ペイメント株式会社および警察に届け出ること ・利用者の家族、同居人またはその代理人の使用による損害でないこと ・申告した盗難、被害状況に虚偽がないこと 参考:楽天ペイ不正利用時の補償に関する特約(楽天ペイ) |
| d払い | 全額 | ・不正利用による損害を確認した日から30 日以内にドコモ所定の書類提出 ・家族、同居人などの使用による損害でないこと ・ドコモに申告がなされた日から遡って90日より前の不正利用に起因する損害でないこと 参考:d払い等の不正被害の補償について(d払い) |
| au Pay | 全額 | ・不正利用による損害を知った日から30日以内にKDDIに書類を提出すること ・損害が、KDDIに対する申告がなされた日から遡って90日より前の不正利用に起因する損害でないこと ・KDDIが「第三者により不正に利用された」と判断した場合 参考:au PAY サービス利用規約(au PAY) |
利用者ができるセキュリティー対策
IDやパスワードを使いまわさない
複数のQRコード決済を利用している場合、同じIDやパスワードを使いまわすのは危険です。一部のQRコード決済に不正アクセスされた場合、漏洩した情報を他サービスのQRコード決済でも悪用されてしまいます。IDやパスワードは複数になるとなかなか覚えられず統一しがちですが、不正アクセスの被害に遭わないためにも、使いまわしは避けましょう。
メールやSNSのリンクなどを不用意に開かない
フィッシング詐欺にあわないための対策です。差出人が普段利用しているQRコード決済サービス名でも、フィッシングメールの可能性があります。前述にもあるように、フィッシング詐欺の手口は利用者を偽サイトに誘導し、個人情報や金融機関情報を盗みます。メールやSNSに添付されたリンクはクリックせず、公式サイトやアプリからログインしましょう。また「緊急」を装うメールやSNSもフィッシングの可能性があります。慌てて本文に添付されたリンクをクリックせず、まず、公式サイト・アプリで情報の真偽を確認しましょう。
決済履歴を定期的にチェック
QRコード決済アプリには、「いつ」「どこで」「いくら支払った」などの決済情報が残ります。定期的に決済履歴を確認することで、万が一、不正利用されていたとしても気づくことができます。溜めていたポイントがなくなっている、身に覚えのない決済がある、といった場合、早急にQRコード決済サービスに報告し、登録しているクレジットカード会社や銀行に連絡しましょう。
スマートフォンにロックをかける
QRコード決済を利用しているスマートフォンには、顔認証、指紋認証、パスコードなどでロックをかけておきましょう。スマートフォンを紛失したり、盗難に合ったりしても不正利用されるリスクを回避できます。顔認証や指紋認証といった生体認証は本人でしかロック解除できないため、セキュリティー対策として有効です。
店舗ができるセキュリティー対策
QRコードを見える場所に置く
「ユーザースキャン方式」でQRコード決済を導入している場合、印刷したQRコードをレジ横などに設置していることが多いでしょう。偽造されるリスクを回避するためにも、店舗スタッフから常に見える場所に設置しましょう。店舗スタッフの視覚に入らないところに設置してあると、QRコードのすり替えや貼り替えをされても気づくことができません。
QRコードには「静的QRコード」と「動的QRコード」があります。印刷されたQRコードは「静的QRコード」に分類されます。一方で、スマートフォンやタブレットなどに表示されるQRコードは「動的QRコード」に分類されます。「動的QRコード」はその都度生成され、1度表示されたQRコードは数分おきに更新される仕組みになっています。セキュリティーの面から見ても、「動的QRコード」の方が安全性は高いといえます。
動的QRコードを導入する
前述の「動的QRコード」を導入するも一つのセキュリティー対策です。動的QRコードはダイナミックQRコードとも呼ばれており、決済毎に生成されます。たとえば、キャッシュレス決済サービスSquareが提供しているQRコード決済では、決済の度に固有のQRコードが作成され、POSレジの画面に表示されます。表示されたQRコードをお客様がスマートフォンで読み取ると、決済金額がお客様のQRコード決済アプリに自動で入力されます。お客様による金額入力が不要なのも便利な点です。
セキュリティー対策が万全な決済端末を導入する
利用者がスマートフォンに提示したQRコードを店舗が読み取る「ストアスキャン方式」の場合、決済端末はセキュリティー対策が万全なものを選びましょう。QRコードの読み取りは手持ちのスマートフォンやタブレットでも可能ですが、データの暗号化など高いセキュリティー技術が搭載された端末を選ぶことでより安全性が高まります。
無料のWi-Fiは使わない
決済はインターネット通信を介して行われます。通信が暗号化されていない無料Wi-Fiを利用してしまうと、外部からのハッキングや、盗聴・のぞき見の原因になります。QRコード決済は取引情報が暗号化されているため、利用者の個人情報などが漏洩する可能性は低いといえますが、専用のWi-Fi回線を用意するなど万全のセキュリティー対策で安全性を高めましょう。
利用者の操作を確認する
「ユーザースキャン方式」では、店舗の提示するQRコードを利用者が読み取った後、利用者自身で購入金額の入力を行います。実際とは異なる購入金額を入力していないか、不正利用を防ぐために店舗スタッフは入力金額の確認を怠らないようにしましょう。
本記事で紹介したQRコード決済に伴うリスクは、店舗、利用者ともに意識して対策を講じることで回避できます。また被害にあった時の対処法を理解しておくことで万が一のことがあっても迅速に対応することができます。リスクに対する正しい知識と対策でQRコード決済を安全に、安心して利用しましょう。
Squareなら、PayPay決済も最短翌営業日入金
SquareのPayPay決済は、お店が表示したQRコードをお客さまがスマートフォンで読み込むだけで完了。クレジットカードでも交通系電子マネーでも、PayPayでも、売上金の入金タイミングはすべて同じ、最短翌営業日。キャッシュフローも安心です。
Squareのブログでは、起業したい、自分のビジネスをさらに発展させたい、と考える人に向けて情報を発信しています。お届けするのは集客に使えるアイデア、資金運用や税金の知識、最新のキャッシュレス事情など。また、Square加盟店の取材記事では、日々経営に向き合う人たちの試行錯誤の様子や、乗り越えてきた壁を垣間見ることができます。Squareブログ編集チームでは、記事を通してビジネスの立ち上げから日々の運営、成長をサポートします。
執筆は2022年6月14日時点の情報を参照しています。2022年8月9日に記事の一部情報を更新しました。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。Photography provided by, Unsplash