ネットでの残高照会利用のための本人確認はカードに記載情報+無記載情報じゃないと意味ない

私自身もたまに混乱するし、卒論生はしょっちゅう混乱しているけど本人確認を行うためには本人しか知らない情報 or 本人しか持っていない情報を使わないと本人確認の意味がない。多くのサービスのログイン処理(認証処理)でパスワードを利用するのは、パスワードが本人しか知らない情報だから。ログインID(利用者に割り振られたそのサービスにおいてユニークなID)を入力させるだけの処理は、ちゃんとした認証(資源にアクセスしようとしている人間が名乗っているとおりの人間かどうかを確認する)にならないことが多い。なぜならば、ログインIDは本人しか知らない情報 or 本人しか持っていない情報ではないことが多いため。

前振りが長くなったけど、Togetter:出光のガソリンスタンドで給油したら、チャージ済のプリペイドカードが、いつのまにか残高0円新品カードにすり替えられていたで登場している出光のプリペイドカードの残高照会のサービスは仕組みとしてよろしくないのではないかと思う。なぜならば、カードの表と裏をデジカメ・携帯カメラで撮る機会があれば、簡単になりすましができるから。

カード番号はカードに記載されている情報で、PIN番号が本人しか知らない情報なのかが重要。どうやら、このPIN番号もカードに記載されているっぽい。

1. お手元に出光キャッシュプリカ(カード)を用意します。
-- ※お持ちでない方は、下記のオンライン申込(入会無料)または「CashPreca」マークのある出光SSにて入手の上、再度、本サイトへアクセスしてください。
2. 出光キャッシュプリカオンライン申込
    約款に同意の上、入力画面で以下の(1)〜(3)を入力し、登録します。
        (1) 出光ネットギフトIDを入力
        (2) 出光キャッシュプリカ表面のカード番号を入力
        (3) 出光キャッシュプリカ裏面のPIN番号を入力 
3. 登録完了 
http://www.idmtnetgift.jp/ingc/qa/qa2.html/ 出光ネットギフトID登録:Q2「出光ネットギフト」の登録手順は? より

残高照会で表示されるのが残高だけならば、目くじら立てる必要はないけど直近X件の利用履歴がでる場合は少し嫌な人が多いと思う(SUICAの利用履歴に比べれば行動追跡に使える貢献度は低いと思うけど)。出光キャッシュプリカご利用約款を見る限り、第三者が残高照会サービスを利用して、残高や利用履歴がもれることに関する免責事項はかかられていない(まあ、当たり前だけど)。

自分が利用しているWebサービスのログイン処理で本人しか知らない情報 or 本人しか持っていない情報が求められていない場合には、残高照会・利用履歴照会の内容に応じてサービス提供元に意見メールをした方が良いと思う。