ポイントサイトを利用したポイ活の始め方について初心者ガイドとして順を追って紹介していきます。
前回は、「初心者ガイド① 事前に準備するもの」を紹介しました。
今回は、ポイントサイトでのポイ活初心者の方には、最も気がかりなポイントサイトの安全性について解説していきたいと思います。
不正アクセスや個人情報の漏洩などなど、被害には会いたくないですね。
特にポイントサイトサイトは、
- お金(現金化できる)を扱うサイトである
- 比較的中小規模の企業が運営していることが多い
ことから、狙われやすいと言われており、実際に過去に被害も発生しています。
そのため、登録時やポイント交換時にワンタイムの個人認証や秘密の質問など、安全性に対する対策が厳しくなる傾向にあります。
ここではポイントサイトでどのような安全性対策が取られているかと、そもそも、ポイントサイトに登録が必要な個人情報はどんなものなのかを徹底解説したいと思います。
登録時に必要な個人情報
ポイントサイトへ登録する際、ある程度の個人情報の入力が必要になります。
登録時に必要となる個人情報の種類はサイトにより様々です。参考に、主要ポイントサイトの登録時に必要な情報を調べてみました。個人情報となりそうなものだけ取り上げています。これ以外にもサイトによって入力が求められる項目はあります。
| ポイントサイト | 必要な個人情報 |
|---|---|
| ポイントタウン | ・メールアドレス ・電話番号 ・生年月日 ・都道府県 ・性別 |
| ハピタス | ・メールアドレス ・電話番号 ・生年月日 ・都道府県 ・性別 ・職業 |
| モッピー | ・メールアドレス ・生年月日 ・都道府県 ・性別 |
ポイントインカム | ・メールアドレス ・電話番号 ・生年月日 ・都道府県 ・性別 |
見ていただければ分かるように、どのポイントサイトでも多かれ少なかれ個人情報の入力が必要となります。お金を扱うことになるので、サイト側も個人認証に不正が無いように、より厳しくなる傾向にあります。
メールアドレス
メールアドレスはどのサイトもgmailやyahooメールなどのフリーメールと携帯電話キャリアのアドレスどちらでも登録可能です。
時代の流れで、キャリアアドレスの縛りはなくなりました。どのサイトもフリーメールで登録可能です。
氏名
氏名の登録が必要なサイトがいくつかあります。
なぜ氏名の登録が必要かというと、銀行口座にポイントを交換する際に本人の口座以外への交換に制限を設けているためと思われます。
適当な名前にしていると、ポイント交換の際に面倒なことになるので注意しましょう。
登録した氏名は、SNSのように外部に公開されることはありません。ポイントサイトにSNS機能はありませんのでご安心ください。
郵便番号、住所
郵便番号と住所(都道府県レベル)の登録が必要なサイトがあります。
サイト側が統計情報を得るためと思われ、所在確認をされることはありません。
実際に私も登録していた住所はだいぶ前に住んでいた住所のままになっていましたが、不都合は全くありませんでした。
電話番号
電話番号は多くのサイトで入力を求められます。
用途は、登録時やポイント交換時のSMS認証による本人確認を行うためです。
認証方法は後述しますが、ワンタイムの本人確認に用いているのでサイトに登録はされていないと思われます。
※電話発信認証をするサイトは登録が必要
生年月日
生年月日は、年齢確認と本人確認用途で使われます。
サイトによって年齢制限を設けているため、登録時にそれを確認するためです。
また、ポイント交換の際など、秘密の質問の代わりの本人確認として入力を求められるサイトがあります。
間違った生年月日でも登録は可能ですが、登録内容を忘れるとポイント交換ができなくなるなでご注意ください。
ポイントサイトの安全性
ポイ活初心者に限らず、個人情報が漏れないか不安を感じると思います。私も現在複数のポイントサイトに登録していますが、一番最初に登録した時は迷惑メールが来ないか、変な電話が掛かってこないか不安がありました。
そこで、ポイントサイトでどのような対策が取られているか、個人でできる防衛策についてまとめてみました。
この10年で本人確認や個人認証は格段に厳しくなった印象です。
本人確認の認証方法
アカウントの不正ログイン、なりすましの防止や不正なアカウント作成の防止に、ポイントサイトではさまざまな本人確認や認証がなされます。
どのような対策が取られているか、参考に主要ポイントサイトの認証方法をまとめてみました。
| ポイントサイト | 認証方法 |
|---|---|
| ポイントタウン | ログイン:ID + パスワード ※reCAPTCHA 登録時:メール + 電話認証 交換時:秘密の質問 + パスワード |
| ハピタス | ログイン:ID + パスワード ※reCAPTCHA 登録時:メール + 電話/SMS認証 交換時:秘密の質問 |
| モッピー | ログイン:ID + パスワード 登録時:メール認証 交換時:秘密の質問 + メール認証 |
| ポイントインカム | ログイン:ID + パスワード 登録時:メール + 電話/SMS認証 交換時:秘密の質問 |
本人確認や認証が増えるとユーザの利便性は下がります。
不正アクセスを許してしまうと、ポイントが搾取されユーザ自身に被害が出てしまいます。また、サイト運営側にも被害保証や風評被害で今後の運営が危ぶまれることになりかねません。
そうならないためにも、認証が厳しくなるのは致し方ないと思います。それでも不正アクセス被害は後を絶ちません。
「reCAPTCHA」という、ログイン時に不正アクセスを防止するため画像認証(機械には解読不可な文字列や特定の画像を選択する)を行うサイトが多くありました。
最近見なくなったなと思いましたが、「reCAPTCHA v3」では、機械学習によりログイン操作を自動で通常ログインか不正アクセスかを判別しているそうです。ログインページに「reCAPTCHA」のマークがあるサイトは、この機能で保護されているサイトということになります。
SMS(ショートメッセージ)認証
最近の主流としてSMS(ショートメッセージ)認証があります。これは、アカウントのなりすましやアカウント乗っ取り対策のための本人確認です。
- 登録時やポイント交換時に電話番号わ入力
- 入力した電話番号にSMSで認証コードが送付(ワンタイム)
- 送られてきたSMSの認証コードをポイントサイトに再度入力
- 本人確認完了
電話番号を入力することに抵抗を感じる方もいるかもしれませんが、ポイントサイト以外のGoogleやツイッター、LINEなど大手サイトも一般的に取り入れている方法です。
自分以外の第三者に不正ログインやポイント交換されてしまうことがないようにする防衛手段です。
電話発信認証
電話発信認証は、SMS認証とは異なりユーザが指定の番号に発信し本人確認をする方法です。
- ポイントサイトに自分の電話番号を登録
- ポイント交換時などにサイト指定の連絡先に登録した番号から発信
- 登録している電話番号からの受信で本人確認
発信して誰かオペレータなどと会話するわけではありません。自動音声で確認しましたと言われるだけです。
メール認証
登録しているメールアドレスに、ワンタイムのURLリンクが送られてきて、そのリンクをクリックすることで認証する方法です。
- 登録時やポイント交換時に登録メールアドレスにメール送付
- 送付されてきたメールに記載のURL(ワンタイム)をクリック
- クリックされると本人確認
秘密の質問
秘密の質問とは、本人しか知り得ない情報の質問と答えをセットで登録し、ポイント交換や登録情報の変更の際の本人確認に用いられます。
- 最初の恋人の苗字は?
- 嫌いな食べ物は?
- 母親の旧制は?
などなど
質問は選択式で、それに対する答えを登録しておく感じです。答えは漢字、ひらがなも正確に一致しないと認証されないので忘れないようにしましょう。
プライバシーマークとISMS
ポイントサイトの安全性を測る基準の1つに、プライバシーマークなどの個人情報の保護が適切に行われているかを第三者により判断されているか、というものがあります。
プライバシーマークとは、
「プライバシーマーク制度」とは、事業者が「個人情報」を「基準」に沿って適切に取り扱っているかを評価し、適合と判断した事業者にプライバシーマークの使用を認める制度です。
一般財団法人日本情報経済社会推進協会 (JIPDEC)
その「基準」は、日本産業規格(JIS)の「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に基づいています。
| ポイントサイト | 個人情報保護方針 |
|---|---|
| ポイントタウン | ISMS取得 |
| ハピタス | プライバシーマーク |
| モッピー | プライバシーマーク |
| colleee(コリー) | プライバシーマーク |
| げっとま(GetMoney) | プライバシーマーク |
| ポイントインカム | プライバシーマーク |
| ポイぷる | JAPHICマーク |
多くのサイトがプライバシーマークを取得していますが、ポイントタウンはISMSの取得、ポイぷるはJAPHICマークの取得となっています。
第三者機関である認定個人情報保護団体は、多数存在しており、官公庁の入札案件などでは、取得が必須条件となっていることが多くあります。
プライバシーマークとISMSの違いは、プライバシーマークは日本国内の規格であるのに対し、ISMSは国際的な標準規格という違いもあります。JAPHICマークは、近年で認定された団体でプライバシーマークよりも取得が容易ということで、中小企業向けに今後増えてくると思われます。
また、対象となる保護範囲にも違いがあります。
| ISMS | ・国際標準規格 ・保護範囲は個人情報を含む情報資産全て ・事業や部門単位で取得可能 |
| プライバシーマーク | ・日本工業規格 ・保護範囲は個人情報 ・会社として取得 |
| JAPHICマーク | ・経済産業省のガイドラインに準拠 ・平成18年に認定個人情報保護団体に認定 ・中小企業向け |
どちらが良い優れているという話ではなく、会社の事業や方針によります。
- グローバル展開を視野に入れている→ISMS
- 複数の異なる事業を行なっている→ISMS(プライバシーマークは会社として取得することになるので、行なっている全ての事業をプライバシーマークに準拠させる必要性がある)
- 中小企業向け→JAPHICマーク
どちらにせよ、第三者機関により個人情報が適切に管理されていることが証明されたポイントサイトということになります。
HTTPS対応
Webの通信には、HTTPとHTTPSの2種類があります。何が違うかというと、通信が暗号化されているかどうか、という点です。
| HTTP | 非暗号化 |
| HTTPS | 暗号化 |
HTTP通信の場合、第三者が通信を傍受した場合、通信の中身が丸見えの状態となります。
例えば、Webサイトに入力したIDやパスワード情報、どこのサイトにアクセスしたか、などの情報が分かってしまいます。
特に最近は、カフェなどで公衆無線WiFiサービスが提供されていることが多くあり、やろうと思えば簡単に通信の傍受ができてしまいます。
そのため、IDやパスワードなど個人情報の入力があるWebサイトでは、HTTPS対応されているサイトの方が安全性は高くなります。
見分けるポイントは、サイトのURL。「https://」で始まっている場合は、サイトがHTTPS化しています。
iPhoneの場合はSafariのURLに鍵マークが付きます。
ここで紹介しているポイントサイトは、一部または全部がHTTPS化されています。一部というのは、ログインページやポイント交換ページなど個人情報の入力が必要なページのみHTTPS化されています。
怖いのは脆弱なパスワード
個人情報の漏洩よりも気を付けなくてはいけないのが、ログインする際のIDとパスワードの設定です。
仮に、ログインIDが漏洩した場合、パスワードが誰でも推測できる簡単なパスワードだと簡単に不正ログインをされてしまいます。
近年コンピュータの性能が良くなってきているので、簡単なパスワードだと簡単に破られます。6桁英字だけだと瞬殺、8桁でも数分レベル。最低でも8桁以上で英数字記号を混ぜたものが推奨です。
パスワードの管理とセキュリティの話は以下記事でも紹介しているので参考にして下さい。
「初心者ガイド② 安全性・必要な個人情報」まとめ
ポイントサイトを安全に利用するために実際に登録する際に必要な個人情報は何か、ポイントサイトの安全性は問題ないか解説しましたが、正しい知識を持っていればそんなに怖がる必要はないかなと思います。
IDとパスワードの管理は、ポイントサイト利用に関わらずクラウドやネットサービスを利用する上では必要不可欠になります。
外からの攻撃や情報漏洩以上に、気を付けなくてはならないのは悪質なポイントサイトへの登録です。
最近だいぶ減りましたが、それでもまだ詐欺まがいな悪質なポイントサイトがあるのは事実です。
そこで、次回はそんな悪質なポイントサイトに引っ掛からないように、危険なポイントサイトの見分け方を紹介したいと思います。
悪質なポイントサイトは、ポイントが貯まらない、貯まるけど換金できない、ということがSNSなどでも多く報告されているので注意が必要です。
コメント