第28回電子決済の安全性は？

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

ドイツと日本では現金払い主義がまだまだ根強いが、現金が支持されるのにはそれなりの理由がある。現金を使えば、電気がない環境でも、何よりサードパーティー（銀行、クレジットカード会社や電子決済等代行業者など、キャッシュレス決済を承認し、ユーザーの購買行動をのぞき見ることができる第三者）を介さずとも、すぐに支払うことができる。つまり、現金は個人データの保護に適しているのだ。

セブンペイで起きた不正アクセス

インターネットで買い物をする場合など、電子決済が便利な場面もある。とはいえ、こうした電子決済の安全性と信頼性について不信感を抱いている人も多いだろうし、その感覚はある意味正しいと言える。実際に、日本のセブン＆アイは7月初めに「7pay（セブンペイ）」というスマホ決済サービスを開始したが、犯罪組織が1574ものアカウントに不正アクセスして合計約3240万円を盗み取ったため（7月16日時点）、開始から数日でサービスが停止された。

このケースでは、ITの専門知識がない人でも他人のアカウントにアクセスできるほどセキュリティが甘く、さらに「パスワードの再設定」という機能を使って他ユーザーのパスワードをリセットし、任意のメールアドレスにパスワード再設定のメールを送信することもできた。セブン＆アイは、被害額は返金すると発表したが、被害に遭ったユーザーは個人データも侵害されており、その損害は金銭的な損失だけにとどまらない。セブン＆アイが顧客の信頼を回復するのは容易ではないだろう。

新しいサービスはひとまず様子見を

ドイツでは、EU一般データ保護規則（GDPR）に従って、決済サービスを提供するためには必ず「データ保護影響評価（Data Protection Impact Assessment：DPIA）」を行う必要がある。このような決済サービスを導入する企業はそのリスクや問題について、情報を管理・監督するデータ保護オフィサー（DPO）に相談しなければならない。遅くともこの過程において、セブンペイのような重大なセキュリティホールは発見されるはずなので、今回のようなデータ侵害はまず起こらないと考えていいだろう。

いずれにせよ、新しい決済サービスについては、そのサービスが「初期不良」を克服して市場に定着するまで、しばらく様子を見ることをおすすめする。また、リスク分散のために複数のメールアドレスを持っておくのも一案。これは、実際にメールアドレスの1つが流出してしまった場合に非常に有効だ。

セブンペイのようなスマホ決済は近年ドイツでも利用されているが、普及にはまだ時間がかかりそうだ