PayPayは12月27日、同社のキャッシュレス決済サービス「PayPay」においてクレジットカードの不正利用対策と、被害にあった人への補償について発表した。

PayPayは12月18日、クレジットカード不正利用対策の1つとして、PayPay登録時におけるクレジットカード情報(セキュリティコード含む)の入力回数に制限を設けた。しかしPayPayのサービス開始以来、クレジットカード登録時にセキュリティコードを20回以上入力し、登録に成功したのは13件で、入力回数を制限するだけでは根本的な対策にならないと判断したという。ちなみに13件のうち、PayPayで実際の利用があったのは9件で、いずれも本人による登録、および使用だったとしている。

  • PayPay

    PayPay。クレジットカード登録に必要なのは、16ケタのカード番号と有効期限、カード裏面に記載された3ケタのセキュリティコードだけ。カード番号とセキュリティコードはサービス開始当初、何度間違えても入力可能となっており、セキュリティの脆弱さが指摘されていた

PayPayは、クレジットカード情報を20回以上入力して登録に成功した13件以外にも、セキュリティコードを一定回数以上入力して登録に至ったクレジットカードのなかで、PayPayでの利用があったカードについては、カード会社と連携して調査を行う。これらのカードのなかで、カード会社で不正利用の疑いが確認された場合はカード会社がユーザーに連絡し、クレジットカードの請求停止や返金などの手続きを行うよう要請している。返金についてはPayPayが全額を負担。ユーザーの申告によって、カード会社にてPayPayにおける不正利用が認められた場合も、PayPayが全額をユーザーに返金する。

PayPayは、カード会社の会員サイトなどで利用明細を確認し、PayPayで身に覚えのないクレジットカード利用があった場合、すぐにカード会社に連絡するよう呼びかけている。

PayPayによると、不正利用の主な原因は、第三者がなんらかの方法で外部からセキュリティコードを含むクレジットカード情報を入手したことに起因する可能性が高いという。

クレジットカード不正利用の対策として、PayPayは2019年1月に「3Dセキュア」を導入する。3Dセキュアとは、事前にカード会社に登録したパスワードをPayPay決済時に入力して本人認証を行い、不正利用を防ぐ仕組みのこと(決済のたびに入力する必要はない)。3Dセキュアを導入するには、ユーザーが事前にカード会社でパスワードを登録する必要がある。PayPayは12月21日に、クレジットカード利用時の上限金額を設定。3Dセキュアを導入したユーザーと、導入していないユーザーでは、PayPayでのクレジットカード利用限度額が異なる。