株式会社NTTドコモは、dポイントの安全性向上を目的に、dポイントクラブアプリ等における「アプリ専用番号」への切替と、アプリ起動を起点に一定時間のみポイント利用を許可する「ポイント利用活性化方式」を2026年7月1日から提供開始すると発表しました。2015年12月のサービス開始以降、2019年の利用上限設定機能、2023年の一律の利用上限設定といった対策を重ね、不正利用の監視や検知を強化してきた流れをさらに前進させる内容です。狙いは、第三者が入手したバーコード等を用いた不正利用のリスクを抑止しつつ、利用者の利便性を維持することにあります。今回の施策は、アプリとプラスチックカードの利用経路を明確に切り分け、保護対象を限定して厳格化することに特徴があります。ポイント経済圏における情報セキュリティの実装として、実運用に即した現実解といえます。
アプリ専用番号への切替で利用経路を分離し、監視を精緻化
これまで多くの利用者は、プラスチックカードと各種アプリで同一のdポイントカード番号を表示していました。今回、dポイントやd払いの公式アプリに表示される番号を「アプリ専用のカード番号」に変更します。これにより、アプリ経由の利用に対して個別のセキュリティ制御を適用できるようになります。番号切替はシステム上で自動的に行われ、利用者の手続きは不要です。プラスチックカードは引き続き利用可能であり、物理カードとアプリの利用を識別できることで、アプリ利用に特化したキャンペーンや施策の柔軟な展開も可能になります。経路分離は、異常検知やリスクベースの対策を適用しやすくする効果が期待されます。また、番号の用途を限定することで、漏えい時の影響範囲を局所化し、事後対応の迅速化にもつながります。
5分間の「ポイント利用活性化方式」で不正利用の時間的リスクを最小化
ドコモ公式アプリでは、アプリ起動や画面タップなどをトリガーに、dポイントの「つかう」が5分間のみ可能となります。5分を過ぎると自動で利用不可となるため、第三者が不正に入手したバーコード等からのポイント利用を困難にします。常時有効な状態を排し、利用者の操作が入った短時間のみ権限を開放することで、攻撃者の機会を限定し、不正利用の成功確率を大幅に下げる狙いがあります。一方で、ポイントの「ためる」は常時利用可能であり、利便性を維持しつつ、リスクの高い「利用」だけを時間制御で保護する設計です。なお、本方式の対象はドコモ公式アプリに表示される番号を用いた利用であり、プラスチックカードでの利用やネット決済は対象外です。適用範囲を明確化し、想定される攻撃経路に対する対策を重点化しています。
段階的なセキュリティ強化と実務上のポイント
2019年の利用上限設定機能、2023年の一律上限設定に続く今回の取り組みは、監視と検知の強化に加え、利用経路の分離と時間的制約という多層防御を組み合わせるものです。提供開始は2026年7月1日を予定しており、番号切替は自動で進むため、利用者側の事前手続きは不要です。アプリでポイントを利用する際は、会計直前にアプリを起動し、5分の有効時間内に手続きを完了させる運用が求められます。プラスチックカードは従来どおり利用可能で、ネット決済は本方式の対象外である点を把握しておくとスムーズです。不正対策は今後も強化が継続される方針であり、サービスの安全性向上に向けた取り組みが段階的に進む見込みです。安心してdポイントを活用できる環境整備に向け、今回の施策は重要な一歩といえます。
詳しくは株式会社NTTドコモの公式ページまで。レポート/DXマガジン編集部
