要点
PiTaPa倶楽部に第三者が登録するのを防ぐため、以下の点は必ず守りましょう
- カード裏面に記載されている会員番号、カードID、有効期限は絶対に秘密にすること
- PiTaPa倶楽部には必ず登録し、毎日ログインすること
- カードを長期間利用しない場合は解約を検討すること
理由
PiTaPa倶楽部に登録するには
- 会員番号
- カードID
- 有効期限 (以上カード裏面記載)
- 生年月日
- 電話番号
が必要です。逆に言えば、これだけの情報があれば、誰でも会員になりすまして登録可能です。
PiTaPaで決裁した際のレシートにはカードIDが記載されている場合があるので必ず回収しましょう。また、会員番号やカードIDを入力するサービスは絶対に使用してはいけません。PiTaPaは、カード裏面の情報は秘密にしなければならない、本人しか知り得ないはずである、と説明しています。一方で、加盟店が独自にカードIDや会員番号を収集することを認めています。このように、PiTaPa自身も裏面情報の扱いについて曖昧な認識であることから、PiTaPaや加盟店において不用意な扱いがされていることは十分考えられます。もちろん、最初からカード情報の収集を目的としたサイトがある可能性もあります。
PiTaPa倶楽部は一度登録済みであっても、上記の情報があれば任意のID、パスワードで再登録が可能です。したがって、第三者が不正にPiTaPa倶楽部に登録してないか発見するためには、頻繁に自分のID/パスワードでログインできるか確認するしかないのです。
注意が必要なのは、不正に登録されることを防ぐことは出来ず、不正に登録されたことを発見することしか出来ないことです。自分のIDでログインできないということは第三者が不正に登録したと言うことであり、
- 利用履歴の漏洩
- 個人情報(住所氏名勤務先メールアドレス金融機関の支店名まで)の漏洩
- カードの詐取
の被害にあう/あったことになります。
利用履歴については、高木氏が指摘しているPASMOの問題と同じです。PiTaPaの場合はそれに加えて、会員情報が閲覧出来るため、個人情報漏洩になります。
問題はカードの詐取です。PiTaPa倶楽部では会員情報が閲覧出来るだけでなく、住所が変更できます。したがって、PiTaPa倶楽部に不正にログインされた場合、住所を変更した上で紛失の手続きを行えば、任意の住所にカードを送付できます。PiTaPaはこれについて、「住所を変更するにはカードIDを入力する必要があるから問題ない」と説明していますが、不正に登録できる攻撃者はカードIDを知っていますから何のチェックにもなっていません。
紛失手続きが伴いますので、カードを毎日利用している場合は利用停止になったことで気づくことが出来ます。しかし、カードを頻繁に利用しない場合、詐取されたカードが悪用された結果(利用履歴に載る、請求が来る)でしか判断できません。そして、PiTaPa倶楽部では利用履歴が確認出来るため、「利用頻度が低い人」を簡単に見分けることが出来ます。*1