クレジットカードのセキュリティコード(CVV・CVC・CID)を入力するのは何のため?カードセキュリティのすべてを完全解説!

2019年10月の増税をきっかけに、2020年の東京オリンピックに向けて日本のキャッシュレス化は進んでいます。また、最近はインターネットショッピングをクレジットカードで利用する方も格段に増えてきました。PASMOやSuica、ICOCAなどのチャージもクレジットカードと連動してオートチャージ化すれば、格段に日々の生活が快適になります。
このように、私たちの生活に便利に活用できるクレジットカードですが、インターネット上ではハッカーによるサイバーアタックが日夜行われており、あなたのカード情報は常に狙われているといった状況です。もちろん、ショッピングサイトの決済はSSL(※)で守られ、あなたが使用するパソコンにもウィルス対策ソフトは入っているでしょう。それでも完全にサイバーアタックから身を守るのは不可能だと言われています。
サイバーアタックから身を守るには、私たち自身がカードセキュリティへのリテラシーを上げ、クレジットカード利用時に細心の注意を払うことが大事です。この記事ではカードセキュリティの第一歩として、クレジットカードのセキュリティコード(CVV・CVC・CID)について解説していきます。

※サイトのURLが https:// ではじまる、インターネット上でのデータの通信を暗号化し、盗聴や改ざんを防ぐ仕組み

クレジットカードのセキュリティコードとは

クレジットカードのセキュリティコードとは、カードの裏面に記載されている3ケタ、または4ケタの番号です。インターネット上でのクレジットカード決済処理の際にクレジットカード番号とは別にセキュリティコードを入力することで、クレジットカード情報の漏えいを防ぎ、不正利用へのリスクを軽減するためのものです。
セキュリティコードはカードの裏面に印刷されています。カードを実際に見る以外にその番号を知ることはできません。セキュリティコードは実際にクレジットカードを持っている会員のみが知ることのできる番号なのです。いわゆる「なりすまし利用」防止に効果があります。
どういった場合にセキュリティコードが有効なのか、という具体例をご紹介します。

[仮に海外旅行などで、あなたのクレジットカードにスキミング(※)がおこなわれ、磁気ストライプ(下記画像参照)に入っているカード情報が盗まれてしまったとします。
ziki1
窃盗団が、スキミングによって盗んだカード情報から生成された「不正カード」を手に入れ、インターネット上で不正利用しようとしました。しかし、磁気ストライプにはセキュリティコードの番号は入っていないため、セキュリティコード入力を要するECサイト上では使うことができませんでした。]
※スキミングとは

店舗やATMでのクレジットカード利用時、カード読み取り機械を細工し「スキマー」と呼ばれる機械で不正に磁気ストライプを読み取り、カード情報を抜き取る犯罪行為のこと

このように、セキュリティコードを入力するひと手間が増えることによって、ガードが二重になるため、不正利用を防ぐことができるのです。
逆に、セキュリティコードが不要なECサイトでは不正利用ができてしまうことになります。そのためこのような犯罪行為から顧客を守るべく、決済時にセキュリティコード利用を促すECサイトが増えてきている状況です。
また、セキュリティコードは、更新・再発行などによりカードが変わった際にも変更となります。

クレジットカードのセキュリティコードはどこに記載されている?種類別に解説

クレジットカードのセキュリティコードは「カード裏面に記載」と一般的に言われますが、お持ちのカードの種類によって異なります。ここでは、カードの種類別にセキュリティコードの種類と記載されている場所を説明していきます。

VISAカード

VISAカードのセキュリティコードは、CVV2(Card Verification Value)といいます。
クレジットカードの裏面、署名欄に記載されているクレジットカード番号のあとに記載された、右端3ケタの番号です。
ziki2

Mastercard

マスターカードのセキュリティコードは、CVC2(Card Validation Code)といいます。
クレジットカードの裏面、署名欄に記載されているクレジットカード番号のあとに記載された、右端3ケタの番号です。
ziki3

JCBカード

JCBカードのセキュリティコードは、クレジットカードの裏面、署名欄に記載されているクレジットカード番号のあとに記載された、右端3ケタの番号です。

ziki4

Dinersカード

ダイナーズカードのセキュリティコードは、クレジットカードの裏面、署名欄に記載されているクレジットカード番号のあとに記載された、右端3ケタの番号です。
ziki5

American Express

American Express、AMEXカードのセキュリティコードは、CID(Card Identification Number)といいます。
クレジットカードの表面、クレジットカード番号の右上に記載されている4ケタの番号です。(カードの左側に記載されている場合もあります)
ziki6

CVV・CVC・CIDは何が違う?

ひとことにセキュリティコードと言っても、CVV・CVC・CIDと呼び名はカード会社によって異なります。これは、開発したカード会社ごとに名前を設定しているためです。記号は違っても、目的と用途は同じものですので、すべて「セキュリティコード」と認識して問題はありません。
ただ、日本では「セキュリティコード」で呼び名は統一できますが、海外の通販サイトでは「CVV Number」「CVC Number」「CID Number」など呼び名が変わるので、戸惑うこともあるかもしれませんが、ここで紹介した位置にある番号を入力すれば、問題ありません。

CVV/CVV2、CVC/CVC2の違いは何?

同じ記号でも、CVV/CVV2やCVC/CVC2など、「2」がついている場合があります。
こちらについて解説しますと、

CVV/CVC→偽造カードを防止する技術のことを指す。磁気ストライプに入力されたデータから偽造かどうかを判断する仕組み。
CVV2/CVC2→カード裏面に記載された数字から、クレジットカードの持ち主であるかを確認する仕組み。

このように、厳密には「2」がつくかつかないかで、全く別の仕組みになってきます。今回お話ししているセキュリティコードはCVV2やCVC2ということになりますが、ショッピングサイトの入力画面では「2」が記載されていない場合もあります。

セキュリティコードの次は「3Dセキュア(本人認証サービス)」?

インターネット上でのなりすまし利用に効果のあるセキュリティコードですが、万能ではありません。近年はサイバーアタックにより、セキュリティコード番号も抜き取られる事案も発生している状況です。そんななか、クレジットカードによる決済をより安全に行うために、「3Dセキュア(本人認証サービス)」に対応したカードやECサイトが増えてきています。この3Dセキュア(本人認証サービス)ついて簡単に説明していきます。

3Dセキュアとは、本人認証サービスの総称です。その名称はカード会社ごとに呼び名が変わっています。現在VISAカード、Mastercard、JCBカード、American Express、Dinersカードの5社が3Dセキュアを採用しています。
カード会社ごとの呼び名は以下の通りです。

・VISAカード→Visa Secure
・Mastercard→Mastercard SecureCode
・JCBカード→J/Secure
・American Express→American Express SafeKey
・Dinersカード→Protect Buy

決済の流れとしては、ECサイトでのカード認証のあと、カード会社の3Dセキュアページに移動し、改めて自身が設定したパスワード入力させることで、カード会社の認証を行い、決済を完了させるという仕組みになっています。
3Dセキュアがこれまでと違うのは、「ECサイトをはなれ、カード会社が用意した認証ページに移動する」ということが大きな特徴となっています。これにより、ECサイト側に3Dセキュアのパスワードが漏れませんので、より安全にECサイトでお買い物をすることができます。
3Dセキュアを実際に利用する場合は、下記の2つのチェックポイントをご確認ください。

チェック1:手持ちのカードが3Dセキュア対応か確認する。
VISAカード、Mastercard、JCBカード、American Express、Dinersカード以外は3Dセキュアに対応していません。

チェック2:カード会社でパスワードの登録をする
カード会社の公式サイトで登録を受けつけていますので、各自で設定してください。パスワードを設定すればすぐに使えるようになりますので、ECサイトでいきなり入力を求められても安心ですね。
カード会社によっては固定のパスワードではなく、ワンタイムパスワードを採用しているところや、合言葉を設定する会社もありますので、その都度確認してください。

※手持ちのクレジットカードに3Dセキュアのパスワードを設定していても、ECサイトのほうで3Dセキュアを採用していなければ、入力は求められません

フィッシング詐欺に注意!クレジットカード番号を入力する際は改めて確認を

インターネットのECサイトやクレジットカード会社は、カードセキュリティに対して日々対策を講じていますが、ユーザに本物そっくりの「ニセのECサイト」にアクセスさせ、カード情報を自ら入力させて情報を奪う「フィッシングサイト被害」が後を絶ちません。
フィッシングとは、魚釣りの「Fishing」ではなく「Phishing」というスペルで表されます。ニセのECサイトに誘導してログインIDやパスワード、クレジットカード情報などを奪いますが、入力画面は本物と同じに作ってあることがほとんどで、なかなか見分けがつきません。
フィッシング詐欺の一般的な手口としては、標的にしたユーザに、送信元を偽造したメールを送信し、「アカウントがロックされました」「クレジットカードの期限が切れています」「カードの利用を停止しました」などと不安を煽り、メールに記載されたURLからユーザにニセの画面へ誘導、個人情報やクレジットカード番号などを入力させる…といったものが多いです。
また、TwitterやLINEなどのアカウントをハッキングし、そのアカウントと繋がっている友達に「お得な情報をGETしました!クリックしてね」などの誘導文とURLをバラまく…などのやり方もあります。
こういった手口に騙されるか騙されないかは、フィッシング詐欺に対する知識やリテラシーがあるかどうかにかかってきます。上記のようなメールやSNSに遭遇したら、まずは落ち着いてURLをクリックせず、友達や家族に画面を見せて確認するなど第三者に確認するようにしてください。
また、Yahoo! メールなどでは、なりすましメールの疑いのあるメールにはこのような表示がされる場合があります。

narisumasi
こういった表示にも注意しながら、真偽を見極めることが大事です。

クレジットカードが悪用されても、慌てずに対処すれば安心

もし、自分のカードが悪用されていたと知ったら、どうすれば良いのでしょうか?
自身で支払わなければならないのでしょうか、被害を受けても泣き寝入りなのでしょうか。
答えは「否」で、被害にあった場合は保険会社が補償してくれることがほとんどなのです。日本で発行されたクレジットカードには、ほぼ100%、「盗難保険」といわれる保険がついています。この保険のおかげで、不正利用などがあっても自身で負担をせずに済むので、安心してください。年会費無料のカードであっても保障は受けられます。
ただ、不正利用からあまりに日数が経ってしまうと保険適用されない場合があります。楽天銀行を例にとりますと、60日前までの損害が補償されるようです。
日ごろからカードの利用履歴をチェックし、身に覚えのないカード利用をチェックするクセをつけ、被害に備えることが必要ですね。
現金を紛失しても戻ってくることは少ないですが、カードはリスクがあるものの、補償がある点は現金より安心といえますね。

【あらゆる脅威から充分に用心することで、快適なカード生活を送ろう】
一般社団法人日本クレジット協会によると、クレジットカード不正利用による2018年の被害額は、2017年に続き200億円を突破しました。手口の内訳は以下の通りです。

手口被害額構成比
偽造カード11.1億円6.70%
クレジットカードの番号盗用131.8億円79.50%
その他不正利用22.8億円13.80%

2018年1月~9月の累計被害額による
手口は「クレジットカードの番号盗用」が最も多く、原因としては原因としてクレジットカードの情報を狙ったフィッシングサイトによる詐欺といった、サイバー犯罪の活発化が考えられるとのことです。
ハッカーや窃盗団との攻防は、今後も終わることはありませんが、私たち自身、インターネット上でクレジットカード番号を入力する際は十分に用心し、カード利用状況をマメにチェックすることやフィッシングメールなどにも対策をすることで、自身のカードセキュリティに対するリテラシーを上げていきましょう。こういったことで不正利用や悪用は防ぐことができます。対策がしっかりできていれば、カードは便利なものです。これからも正しく快適なカード生活を送っていきましょう。