あなたがお店でクレジットカードを使って買い物をする時になんとなく行なっているサインや暗証番号の入力。サインだといちいちペンで書かないといけないし、暗証番号も4桁ポチポチ入力しないといけない。しかしながら、面倒だからといって侮ってはいけません。
意外と奥が深いサインと暗証番号について今回は説明します。
概要
サイン、暗証番号(本人確認)の必要性
あなたが店員さんだとしてお店で買い物をする時に、クレジットカードを使いたいと言われたとします。そのカードは、店の前の道端で拾ったのかもしれないし、どこかから入手したカード番号を磁気ストライプに埋め込んだ偽造カードかもしれません。
もしも偽造カードによる買い物で許してしまった場合、その代金はカード会社からお店へは入金されません。なぜなら、カード会社もその代金を正規の会員(カード本来の持ち主)へ請求できないからです。
では、どうすればよいのか。店員はカードを受け取った時、そのカードが本当に目の前のお客さんのものなのかどうかをしっかりと確認する、すなわち本人確認をする必要があります。
この際に重要になるのが暗証番号やサインなのです。
サインについて
店員は、あなたがレシートに書いたサインと、予めカードの裏面に書かれているサインが同一のものであると確認をしないといけません。中には裏面にサインをしないままカードを使っている人もいますが、お店側はそんなカードは怖くて受け付けられません。
逆に言えば、サインが漢字、ひらがな、アルファベットで書かれていようが、同一であることさえ確認できれば、本人確認はオッケーです。もっと言うと、あなたの本名と異なっていても、カード裏面と同じサインがされれば、それで問題ないのです。カードを新たに使い始めるときには、必ずカード裏面にサインをするようにしましょう。
ただし、昨今はエポスカード、三井住友カード、ブランドプリペイドのMIXI Mなど、サイン欄自体が存在していないカードも存在しています。これらのカードはカード側が正式に「署名は必要ありません」と言っているのでサインはなくても大丈夫です(サインを求められたらその場で書けば大丈夫)。
暗証番号(PIN)について
カードを新たに申し込む際、4桁の数字を設定したのを覚えていますか? これがカードの暗証番号です。まさにあなたしか知らない数字なので、これを正しく入力することで、本人確認としているわけです。
この暗証番号、カードのICチップに埋め込まれています。
あなたがそのカードの暗証番号を入力したことがあるのであれば、そのカードはICカードのはずです。また、ICチップは磁気ストライプよりもはるかに偽造が難しいため、ICカードでの取引の方が安全です。この安全とは、お店にとって、という意味合いが大きいです。
安全な取引が行えるICカードですが、日本ではまだ使える環境が充分には整備されていないのが実情です(磁気のみのカードも未だに流通しています)。
そのため、暗証番号を入力する機会が少なく、暗証番号を忘れてしまう人もいるでしょう。現状だと、暗証番号を入力せずに、PINパッドの確定ボタンを押すと(端末によって操作方法は異なりますが)、暗証番号を入力せず、かわりにサインをすることで、本人確認を代替することができます(できてしまいます)。
カードの暗証番号はよくPINと略されますが、そのPINをすっ飛ばすという意味で、「PINスキップ」「PINバイパス」と呼ばれています。
しかし、暗証番号を知らなくてもカードを使えることを考えると、PINスキップ(PINバイパス)は非常に危険な機能であるとも言えます。
実際、海外ではPINスキップ(PINバイパス)が使えないことがほとんどです。日本だと店員さんがめんどくさいからといって同意を求めることもなく勝手にPINスキップしたりする場面がたまにありますが、やめましょう・・・。
2025年3月にはPINスキップは完全廃止されることが経済産業省が出しているクレジットカード・セキュリティガイドラインに記載されていますが、現状だとまだ使えてしまう場所が多いです。まさに昨今、各社がPINバイパス不可になるように設定を変更している最中になります。
ちなみに、暗証番号を続けて間違えてしまうと、ICチップにロックがかかってしまいます。不正利用を防止するための仕組みです(「PINブロック」といいます)。万一ロックがかかってしまった場合には、カード会社に連絡の上、新しいカードを送ってもらうようにしましょう。
日本では改正割賦販売法によって、端末でICチップカード(PIN入力)への対応が義務付けられています。
ICカードのサインレス取引について
カード加盟店の中には、取引時にサインを求められないこともあります。いわゆる「サインレス」取引です。短時間での取引完了が求められるスーパーマーケット等に導入されています。サインレス取引は、加盟店とカード会社がサインレス用の契約を結んだ上で行われています。
一見すると非常に便利なサインレス取引ですが、本人確認が行われないわけですから、道端で拾ったカードとの区別が一切つかないということになります。
非常にリスクの大きい取引です。万一実際に不正なカードが使われた場合には、カード会社から加盟店に対しては入金が行われません。加盟店は、そのようなリスクの承知の上、ユーザーにとって便利なサインレス取引を採用しているわけです。
少し面倒にも思える本人確認ですが、実はさまざまな背景があるのです。
タッチ決済(コンタクトレス決済)の暗証番号入力なし(PINレス・サインレス)の仕組み
現在はクレジットカードの支払いでわざわざカードをわす必要はなく、タッチするだけで決済する仕組み、タッチ決済(コンタクトレス決済)も認知されて多くの場所で利用されるようになってきています。
このタッチ決済(コンタクトレス決済)は世界中で使われている決済手段ですが、もしタッチ決済で少額決済にも関わらずいちいち暗証番号を入力していた場合、最大のメリットである利便性が損なわれてしまいます。
なので、タッチ決済に関しては世界中で「定められた一定額まで」タッチだけで暗証番号やサインなしで利用できるようにタッチで決済できる上限額が定められているのです。上限金額を超えたらICカードを差し込んで、PINを入力して取引をします。また、Apple PayやGoogle Payでは、CDCVMという顔認証や指紋認証などの生体認証を行うことで、定められた上限以上の決済も可能です。
国ごとの上限額の違いや国内の上限金額事情は↓の記事をご参照ください。
余談ですが、コロナ渦において、各国で非接触が重要とされ、タッチ決済の上限額が引き上げられたりもしました。
まとめ
- PINスキップは悪。
以上です。
