先日、自動車を替えることになったので車の販売店から、保険会社に乗り換える旨連絡をした。すると、差額で5800円ほど追加が発生するという。支払方法はクレジットカードと銀行振込と選べる。

• 決済が早い
• 支払い金額によってポイントがもらえる
• 手数料がかからない

などの理由でクレジットカード払いを選択した。

電話の向こうの女性オペレーターが
  「それではクレジットカード番号をお知らせください。」
という。うーん、これには困った。電話でクレジットカード番号を話すほどセキュリティ音痴ではないつもり。これにはいくつかのリスクがある。

• オペレーターに自分のクレジットカード番号を公開することになる。
• 自分がクレジットカード番号を発声しているときに第三者が聞いてしまうかもしれない
• 自分が使用している電話機からオペーレーターまでの経路上で盗聴されていないという保証が無い

などである。この保険会社のオペレーターには二つ目と三つ目のリスクを説明したが、
  「うちの電話は安心です。責任もってお客様の情報を守ります。」
などといっていたが、いまいち理解が足りないようだ。きっと美人で可愛く頭もいいのだろう。それを感じさせる喋りではある。しかし、そのとき僕が利用している電話機から（電話機も含めて）この美人オペレーターまでの経路全てが、この損保会社の施設ならばこのオペレーターのセリフも説得力あるが、僕が利用している電話機は第三者の財産だし、経路はまた別な第三者である通信会社のものである。

日経BPのITProでは以前、店舗で使用しているクレジットカードの通信機･･･CATでの伝票についてセキュリティを述べていた。

• 最近のCATは設定によってフルに16桁の番号を印字しないように出来る。
  例）1234-5678-9012-3456というクレジットカードを利用したときに複写式の伝票には、1234-xxxx-xxxx-xxxxというような印字になる。
• 設定できないCAtを利用している店舗でセキュリティ対策をしているところは、印字された番号が見えないようにボールペンで上書きしてしまう

など、心がけている店舗が増えてきたということだ。

しかし、その日経BPでさえ、電話で書籍を購入したときに、支払いをクレジットカードにする旨伝えると、オペレーターが番号を訊いてきた。うーん、そんなもんかなあ。

もっとも、うるさいお客が他にもいるのだろう、セキュリティを気にかけるお客様には銀行振込という方法を薦めるのだろう。

ということは銀行振込という方法を用意しているところはまだいいほうで、某PCショップみたいにクレジットカードのみの対応なのに電話で番号を教えなければならないところもある。

インターネットでの買い物など、クレジットカード番号さえわかればカードそのものもが手元に無くても商品が購入できてしまうサイトがある。こんなことを考えると、クレジットカード番号を電話で教えるというのはとてもリスクが高い行為であることがわかる。

webならば、SSLという方法でパスワードやログインIDを第三者から隠して送信可能である。SSLを用いるとクレジットカード番号をwebページのテキストボックスに入力するのも第三者には判らない。電話の場合はどうにかならないものか？、と考えると、実は既に実用しているところがあった。例えばCitibankである。

Citibankは口座の暗証番号を電話機のボタンで送信できる。このときぴっ、ぽっ、ぱっ、ぽっ、とバックでプッシュトーンが鳴っている。この音が鳴っている間に暗証番号を入力するように事前にアナウンスも流れるし、オペレーターとリアルタイムに話している状況で暗証番号入力することになった場合でも、ぴっ、ぽっ、ぱっ、ぽっ、に切り替えてくれるので、バックのプッシュトーンがスクランブル信号の役目をしているので第三者による盗聴も成功し難いものとなる。当然、銀行側のオペレータはお客様がなんという番号を入力したのか知ることは出来ない。

この程度の仕組みを用意していただけると、電話でクレジットカード番号も入力してもいいかなっと。