QRコード決済のPayPayが始めた大々的な利用促進キャンペーンが、大盛況であっという間に原資がなくなって10日間で終了した。支払った額の20％相当のポイントが戻ってくるとか、運が良ければ全額相当のポイントが戻ってくるチャンスもあるといった派手な仕組みで、あわててアプリをダウンロードして買い物に走った人も結構いるだろう。

ところが、終了後に思わぬケチがついた。インターネットのダークウェブ（闇サイトのようなもの）などで売買されていたと思われる他人のクレジットカード番号をPayPayに登録し、それを使って高額の買い物をされてしまった例が出ているようなのである。

クレジットカード情報の流出そのものはPayPay側の問題ではないのだが、まずかったのはクレジットカードを登録する際のセキュリティチェックの甘さだ。登録時に入力するセキュリティコードを何回間違えても登録がブロックされなかった（現在は改修済み）とのことで、不正利用した人間はセキュリティコードがわからなくても何度でも試して（三桁なので総当たりで）登録できたのではないか、と指摘されている。また、３Dセキュアと呼ばれる、クレジットカード利用者の本人確認のための仕組みも採用されていなかった。

カードの不正利用そのものはそれを行う人間の犯罪であり、事業者は被害者なのだが、こうした犯罪が起こりにくくする仕組みをしっかり作らないと、利用者からは事業者の責任だ、と言われてしまうことにもなる。そして、非常にもったいないのが、官民挙げてキャッシュレス決済を推進しようとしている中で、こうしたセキュリティ上のリスクが大きく報道されると、キャッシュレス決済そのものが安全ではない、という印象を持たれてしまうことだ。

金融サービスで一番大事なのは、安心して使える安全なサービスであるのは間違いない。一番大事なものをおろそかにすると、結果的に大きな痛手を負うことになる。

（QRコードは(株)デンソーウェーブの登録商標です。）