一年間に1,000万人もの被害が発生しているというID詐欺。ひとことでID詐欺といっても実はさまざまな種類があり、被害の程度や問題処理の大変さもいろいろです。どんなものがあるのか見てみましょう。
ID詐欺の種類
ID詐欺には大きく分けて三つのタイプがあります。最初のひとつは既に開かれている口座を悪用されるタイプ、後のふたつはなりすましにより新しい口座を開かれるというタイプです。
既存の口座を悪用する: 他人のクレジットカードを使って買い物する、デビットカードで銀行口座のお金を盗むなどです。クレジットカードの悪用に関しては、消費者の被害負担は一件につき最高$50までと連邦法で定められており、大手クレジットカード会社はその$50さえも要求しないのがふつうで、消費者の被害はゼロであるのがほとんどです。クレジット会社自体も自社の被害を防ぐため、消費者の利用パターンを見張っていますので、比較的早い段階で発見できることが多いものです。新たなクレジットカード口座を開き、新番号をアサインされ、今までの履歴を新しいカード口座に引き継ぐだけですので、大きな被害には至らないケースがほとんどです。
公的機関でのなりすまし: 政府機関の書類で他人になりすます、警察に捕まったとき他人の情報を提供する、他人になりすましてタックス・クレジットを得るなどです。こちらは上記のクレジットカード詐欺のようにオンライン履歴や明細書をチェックしていれば、気づくことができるというものではありません。被害が起こり随分後になってから発覚することも多いものです。
新規で口座を開く: 他人になりすまして、クレジットカードをつくる、ローンを契約する、病院で医療サービスを受ける、アパートを借りるなど、他人の名前で新しく口座を開いたり、契約をするタイプの詐欺です。請求額は支払われないため、ID詐欺にあった人のクレジットレポートに、支払い遅延、回収業者の通知、貸し倒れ記録などが記録され、クレジットスコアは悪化します。もっとも問題解決が時間がかかるタイプのID詐欺です。
ID詐欺の種類によって簡単に問題解決ができるものもありますが、もっとも面倒なタイプの問題、とくにID詐欺により開かれた後支払いがまったくされていない口座を、被害者のクレジットレポートから削除するなどの処理には多くの時間と労力が必要です。
ID詐欺の原因
ID詐欺の原因もさまざまです。ID詐欺を恐れてインターネットでは買い物をしないという人もいますが、実はID詐欺の多くはインターネットとは無関係のところ、あるいは関係があってもオンラインショッピングをやめたくらいでは防止できない部分で発生しています。
<自分のまわりで>
- 家庭から出るごみをあさって、ダイレクトメールや口座ステイトメントなどから個人情報や財務情報を得る
- 家族、親戚、友人など本人の個人情報にアクセスできる人が、情報を盗む
- PC、携帯電話、メモリスティック、ハードドライブなどを盗む、あるいは捨てられていた物を拾うなどして、中に残っている個人情報を得る
- 財布やバッグを盗んだり、拾ったりする。クレジットカード、デビットカード、運転免許証、ソーシャルセキュリティ・カード、パスポートなどから個人情報を得る。
- 郵便箱から郵便物を盗み、銀行の口座番号や個人情報を盗む。郵便配達の人に持っていってもらうため郵便箱に入れておいた支払いの封筒や、郵便で送られてきた新しいチェックブックなどが盗まれています。
<オンライン>
- スパイウエアなどを使ってPCでタイプする個人情報を密かに読み取り盗む
- カウンティのタックス記録、不動産登記など、一般に公開されている公的データベースから個人情報を得る
- 金融機関などを装った電子メールを送り口座番号、パスワード、クレジットカード番号などの個人情報を入力させ詐取する(フィッシング詐欺)。職探しサイトを装い、レジュメをアップロードさせ、個人情報を盗む。
- 個人情報を蓄積した、オンライン店舗や企業のデータベースにハッキングし、個人情報を盗む
<店舗やレストラン>
- ガソリンスタンドなどで顧客が、クレジットカードやデビットカードを機械に読み取らせるとき、機械に仕込まれたスキマーというツールで磁気情報を読み取る。レストランや店舗で、店員が客に見えないようにスキマーを使って瞬時に磁気情報を読み取ることもある。
- 社員データベースにアクセスできる者が、社員の個人情報を盗用する
- 申込書や申請書などの個人情報を受け付けた会社の社員が、顧客の個人情報を不正に利用する
ID詐欺への対策
個人情報の載っている書類はシュレッダーする: 銀行や投資口座などのファイナンシャル関係の書類、Pre-approvedされたクレジットカードのダイレクトメール、医療関係の書類、パーソナルチェックのコピー、請求書、保険関連の書類、期限の切れたクレジットカードなどはそのままごみに捨てないのは基本です。どんな情報をシュレッドしなければならないかのプライオリティはこのようです:
- 低プライオリティ: 氏名、住所、電話番号
- 中プライオリティ: 生年月日、出生地、母の旧姓などパスワード変更のときに必要となるような情報
- 高プライオリティ: ソーシャルセキュリティ番号、運転免許証番号、口座番号、PINやパスワード
オプトアウトする: シュレッドする書類を削減する方法もあります。私たちが手にするクレジットカードのダイレクトメールは、クレジットカード会社がクレジットビュローから、自分たちのターゲットと合致する個人のリストを購入することで送られてくるものです。このリストからオプトアウトするということは、自分の名前と住所がリストに掲載されなくなり、結果的にクレジットカード会社やローン会社からそのようなダイレクトメールが来なくなるということです。
オプトアウトは、www.optoutprescreen.com から行います。このサイトはEquifax、Exprian、TransUnionらのジョイントベンチャーです。他にも有料でオプトアウトを受け付けるサイトはありますが、本家本元の上記サイトで無料で行うのがもっとも良い選択でしょう。
オンラインでは5年有効のオプトアウトをリクエストできます。サインを伴い申請書を郵送すれば永久的にオプトアウトも可能です。また、ローンをリファイナンスしたい、クレジットカードで有利なものに乗り換えたいなど、あえてダイレクトメールを受け取りたいとなれば、いつでもオプトイン(リストに名前をいれてもらう)が可能です。
ロック付のメールボックスを使う: 送られてきたものを開封すればシュレッダーにかけるかかけないかの判断ができますが、自分の手元に届く前に盗まれたというのでは始まりません。
送付物は郵便ポストに投函する: 上記と同様、郵便配達の人に持っていってもらおうとメールボックスに入れておいた封筒を盗まれるということもあります。とくにそれらは請求書とともにチェックが入っていたりします。また、口座を開くための申請書ということもあるでしょう。先方に届かねば非常に困るものは郵便局からCertified Mailで送ります。届かなかったとしてもなんとなかるが他人の目に触れて困るものは、郵便ポストに投函しにいきます。そのどちらでもない場合に、自宅のメールボックスを使うとよいでしょう。
口座番号など機密情報はロックできる場所に保管する: 泥棒が入って情報が盗まれるということは少ないかもしれませんが、家の改装、修理、維持などで人が出入りしたりするような場合、不用意な場所に個人情報が置かれていないよう用心が必要でしょう。
ソーシャルセキュリティ・カードは持ち歩かない: ソーシャルセキュリティ・オフィスから発行される番号カードを財布に入れている人がいます。このカードを提示しなければならないことはまずありえないですし、万が一財布をなくした、盗まれたとき、デビットカードやクレジットカード、運転免許証に加えソーシャルセキュリティ番号まで他人の目にさらすことになり、被害を拡大することになりかねません。番号はできる限り暗記して、ソーシャルセキュリティ・カードは安全な場所に保管しておきましょう。
ソーシャルセキュリティ番号をむやみに提供しない: ソーシャルセキュリティ番号を記入するようにいわれても、私たちに拒否する権利はあります。また、セキュリティやライヤビリティを真剣に考える組織であれば、本当に必要でない限りむやみに記入をお願いしたりもしないはずです。かえって管理に困るからです。通常、税金の諸手続きやパスポートをつくる場合などの政府関連の書類や、銀行や投資会社など金融機関、保険関連の処理などにはソーシャルセキュリティ番号が必要です。その他の場合はむやみに記入せず、なぜ必要なのかを聞いてみるといいでしょう。案外、「ブランクのままでかまいません」という返事が返ってきます。
会社の情報管理・シュレッドのポリシーを確認する: 大きな銀行などであればポリシーがオンラインで確認できたりもしますが、あまり取引のない会社や名の知れない組織で、どうしても個人情報や財務情報を提供せざるをえない場合、その会社や組織の情報管理や情報破棄のポリシーを確認するとよいでしょう。不安に思ったら、情報提供しないことです。
財布の中身のリストを完備しておく: 財布をなくしたとき、すぐに口座や証明書をキャンセルできるよう、財布の中のクレジットカード、デビットカード、運転免許証、保険証などのリストと口座番号、連絡先を安全なところに保管しておきましょう。一番確か早いのは、それぞれのカードの表裏のコピーをとっておくことです。
カード読み取り機が不自然な形でないか見る: ガソリンスタンドのカード読み取り機やレジのキャッシャーにスキマーという小型の装置をつけ、瞬時にカード情報を読み取り保存するという手口が増えています。目立たないようについていることもあり判別が難しいこともありますが、少なくとも読み取り機が不自然な形ではないかチェックします。
カードを持って店員が奥に行くときは注意する: クレジットカードを受け取った店員が奥に入っていって、服の下に隠し持っているスキマーでカード情報を読み取るという事件も発生しています。カードが自分の目の届く範囲外に行くときには、警戒が必要です。信頼のおけるレストランやホテルなどなら問題ないでしょうが(その場合でも、一人悪い人がいれば盗難にあうことになりますが)、あまり行ったことがない、怪しそうなお店ではあえて現金で支払いするのが安全かもしれません。
オンラインで個人情報を提供するときは、自分からそのサイトに行くこと: eメールのメッセージの中に入っているリンクをクリックしてたどり着いたページで、個人情報を提供しないことです。メッセージの中に、www.bankofamerica.comというリンクが表示されていても、そこをクリックしたときにwww.badguy.comというまったく関係ないサイトに飛ぶように設定することはとても簡単です。また、勝手にBank of Americaのロゴを使いいかにも本物のようなサイトをつくることも簡単です。個人情報を提供するときには、どこかから誘導されて行き着いたサイトではなく、自分でwww.bankofamerica.comとタイプして、トップページからたどっていったサイト(サイト内サーチを使ってもいいでしょう)であることと、URLのアドレスの前が、https://ではじまっていることを確認しましょう(httpsのsはセキュリティのsで、そのサイトがセキュリティ対応のプロトコルを使っていることを示しています。ただしこれも偽造できます。)
ソーシャルメディア・サイトには個人情報は載せない: Facebookなどのソーシャルメディアを使う場合は、誕生日などの個人情報は掲載しないほうがよいでしょう。どうしても載せたいのであれば、1日違いとか1年違いとかの間違った情報を載せるとよいでしょう。また、サイトの情報共有の選択は、常にプライバシーを守るセッティングにするべきです。
強力なパスワードを使う: パスワードは多くの人の頭痛の種です。複雑すぎると自分が覚えていられず、どこかにセーブしておいたり紙に書いておいたりなどで副次的なリスクを引き起こすことになりあす。誕生日や子どもの名前など個人情報が盗まれたときすぐに破られそうなパスワードは避けます。最近は、大文字、小文字を両方とりいれ、数字と特殊文字も入ったパスワードを要求するサイトも増えています。
良い方法は、フレーズをまず考えそこからパスワードを生成する方法です。たとえば、”It’s so hard to remember password!”というフレーズから、それぞれの単語の最初の文字をとり、Ishtrp という文字列をつくります。最初のIは似ている1という数字に置き換え、最後のpasswordは大文字でPWとし、最後にエクスクラメーションマークは特殊文字として追加すると、1shtrPW!という非常に強力なパスワードができあがり、しかも覚えておくのはそんなに難しくありません。お試しあれ。
