PayPalは安全?送金前に知っておきたいこと
PayPalは世界中で4億以上のアクティブアカウントを抱え、最も広く利用されているオンライン決済サービスの一つです。しかし、その規模ゆえに、詐欺やアカウントの不正利用の標的になりやすいという側面もあります。
PayPalは、暗号化、不正検知、二要素認証(2FA)、購入者・販売者保護といった仕組みを用いて、決済やデータを保護しています。ですが、こうした保護機能にも限界があるのが事実です。よくあるリスクの中にはPayPalのシステム自体とは関係のないものもあります。そうしたリスクは、決済方法やアカウントの保護対策によって左右されます。
この記事では、PayPalのセキュリティが実際にどのように機能するのか、購入者と販売者を保護する仕組み、データの取り扱い方法、そして主なリスクについて解説します。
PayPalとは?その仕組みを解説
PayPalは、個人や企業が世界中で安全に送金や受け取りを行い、お金を管理できるデジタルウォレットおよびオンライン決済サービスです。
PayPalは仲介役として機能しており、PayPalに銀行口座やカード情報を保管することで、販売者に支払い情報を共有することなく買い物ができます。オンラインや実店舗で支払えるほか、メールアドレスや携帯電話番号を使って他の人に送金することも可能です。
販売者は支払いの確認を受け取りますが、あなたの銀行口座やカード情報を見ることはできません。そのため、カード情報が複数の販売者に保存される機会が減り、販売者側のシステムが侵害された場合でも情報漏えいのリスクを抑えられるのです。
取引の仕組み
PayPalでの支払いは、以下のシンプルな流れで行われます。
- 支払い方法を登録する: 銀行口座、デビットカード、クレジットカード、またはPayPal残高を登録できます。PayPalはアカウントの本人確認を行い、不正なアカウントが登録されるのを防ぎます。
- 支払いを送信する: 受取人のメールアドレス、電話番号、またはPayPalユーザー名を入力し、金額と支払い方法を選択して取引を確定します。
- PayPalが取引を処理する: PayPalが支払いを処理し、あなたの支払い情報を販売者に共有することなく、支払い完了を通知します。
PayPalは安全に利用できますか?(簡単な回答)
PayPalは以下のようなものを保護するよう設計されています。
- 保存中および送受信中のデータ(暗号化)
- アカウントへのアクセス(二要素認証(2FA)とパスキー)
- 対象となる取引(購入者保護 および 販売者 保護)
こうした保護機能は、一般的な取引であれば、意図したとおりに機能します。ただし、PayPalでも以下のようなリスクを完全に防げるわけではありません。
- ユーザーがだまされて送金してしまうケース(詐欺)
- 脆弱なパスワードなどによるアカウントの不正アクセス
- 保護対象外の方法で行われた支払い
- PayPalのポリシー対象外となる紛争
実際に発生するリスクの多くは、PayPalの中核システムの問題ではなく、アカウントの使い方や管理方法に関係しています。
PayPalのセキュリティ機能
PayPalのセキュリティはサービスの仕組みに組み込まれており、ログイン、決済処理、取引監視など、さまざまな段階で多層的な保護を提供しています。
暗号化とデータ保護
PayPalは、お使いのデバイスとサーバー間で送受信されるデータを暗号化するために、トランスポート層セキュリティ(TLS) を使用しています。これにより、攻撃者が通信を傍受した場合でも、データは判読できない暗号文として扱われます。
ただし、TLSが保護するのは送受信中のデータのみであり、侵害されたデバイス上のデータは保護できないことに注意しましょう。デバイスが マルウェア に感染している場合、暗号化によってその段階での情報漏えいを防ぐことはできません。
PayPalはサーバーに保存されているデータも暗号化しているため、アカウント情報や取引情報は送受信中だけでなく、保存中も保護されます。
決済時には、PayPalは販売者にカード情報や銀行口座情報の全てを共有しないことで、情報の露出を制限しています。販売者側のシステムが侵害された場合でも、漏えいする可能性があるのは取引記録に限られ、支払い情報そのものは漏えいしません。
モバイルデバイスでは、デバイス自体の機能による保護も加わります。アプリサンドボックスによってPayPalは他のアプリから隔離され(互いのデータにアクセスできないようにする仕組み)、生体認証や端末PINといった安全な 認証方法 も利用できます。
不正行為の監視とアラート
PayPalは、自動リスクスコアリングを用いて取引をリアルタイムで監視しています。このシステムでは、デバイスフィンガープリンティング、取引パターンや取引頻度、位置情報やIPアドレス、過去のアカウント利用履歴などの情報を分析します。
取引が通常とは大きく異なる場合(たとえば、新しい国からログインした直後に高額な送金が行われた場合など)、PayPalは次のような対応を取ることがあります。
- 取引を保留または遅延させる
- 追加の本人確認を求める
- アカウントを一時的に制限する
事業者向けには、「Fraud Protection Advanced」も提供されています。これは、個人アカウント向けの標準的な保護機能に加えて、企業が独自のリスクルールや取引フィルターを設定できる機能です。
二要素認証(2FA)とパスキー
2FA は、パスワードに加えてもう一段階の認証を行うものです。ただし、初期設定では有効になっていないため、手動で設定する必要があります。
PayPalでは、アカウントや地域に応じて、認証アプリまたはSMSによる2FAを利用できます。一般的に、認証アプリの方が SIMスワッピング攻撃 への耐性が高いため、より安全な選択肢とされています。
PayPalは、デバイスに紐付けられたパスワード不要のログイン方式である パスキー にも対応しています。パスキーでは、生体認証またはPINを使って本人確認を行います。
パスキーは、複数のサイトで使い回せず、フィッシング攻撃にも強く、偽サイトに入力することもできないため、パスワードや二要素認証よりもさらに安全性が高い認証方式です。
PayPalのプライバシーとデータの取り扱い
PayPalは規制対象の金融サービス事業者であり、法令上、個人データを収集・保管する必要があります。この情報は、ユーザーの利用状況や連携している金融口座、場合によっては第三者のサービス提供者から情報を収集します。
以下は、PayPalが収集するデータの一例です。
重要なのは、収集されたデータがどのように利用され、誰と共有されるのか、そしてユーザー自身がどのような管理・設定を行えるのかという点です。
PayPalによるデータの利用方法
PayPalは、ユーザーのデータを決済処理、本人確認(KYC)、および不正利用の防止や法令遵守(マネーロンダリング対策)のための取引監視に利用します。これには、デバイスや位置情報、取引パターンなどを分析し、普段の利用状況と異なるアクティビティを検出することも含まれます。
PayPalが本人確認のために、生体認証データ、つまり、顔認証 や音声認識などを収集する場合、PayPalはユーザーの同意を得たうえで行うとしています。ただし、アカウントへのアクセスの復旧や制限解除の際には生体認証が求められることが多く、拒否すると利用に支障が生じる可能性があります。
PayPalがデータを共有する相手
PayPalは、さまざまな第三者とデータを共有しています。
- 金融パートナーおよび決済処理事業者: VisaやMastercardなどのカードネットワークや銀行など、決済処理に関わる企業。
- 法執行機関および規制当局: 必要に応じて、税務当局や法執行機関。
- 販売者および提携先: 注文処理のために、氏名、メールアドレス、電話番号、住所などの情報を受け取ります。また、ショッピングの傾向に関するデータを利用して、個別に最適化されたオファーを提供する場合もあります。
- サービス提供事業者: マーケティング、カスタマーサポート、ITサポートなど、PayPalに代わってサービスを提供する第三者。
- PayPal関連会社: Venmoや Honey など、PayPalグループ内の企業。
そして、一度共有されたデータは、それぞれの企業のセキュリティ方針に従って取り扱われます。
ユーザーの権利と選択肢
お住まいの地域によっては、以下のことが可能です。
- データへのアクセス: アカウントに関連付けられた情報のコピーを請求できます。
- データの削除: アカウントを閉鎖すると削除を申請できます。ただし、PayPalは法的義務を果たすため、一部のデータを最長10年間保持します。
- 特定の利用の制限: EUの 一般データ保護規則(GDPR) や カリフォルニア州消費者プライバシー法(CCPA) に基づき、特定の種類のデータ処理や共有を制限できる場合があります。
- マーケティング配信の停止: アカウント内でマーケティング設定や通知設定を変更できます。
PayPalは安全性を高める一方で、そのためにユーザーデータを収集・保持しています。PayPalは、不正利用の防止や金融規制への対応のために、本人確認や行動分析を行っており、そのためにはユーザーデータの収集と保持が必要です。
これによりセキュリティは向上しますが、その一方で、ユーザーの利用状況は確認済みの本人情報と結び付けられ、サービスの運営上必要な範囲で、PayPalグループ内の企業と共有されることがあるのです。
購入者にとってPayPalは安全なのか
PayPalの購入者保護は、特定の状況を対象としています。支払い方法や取引の種類が対象外の場合は、保護を受けられません。
購入者保護の対象
次のいずれかに該当する場合、送料を含めた全額の返金を受けられる可能性があります。
- 商品が届かない: 注文した商品が届かない場合。
- 商品が説明と著しく異なる: 販売者の説明と実際の商品に大きな違いがある場合。たとえば、まったく別の商品が届いた、商品が著しく破損している、または説明されていなかった重要な部品が欠けている場合などです。軽微な問題や期待とのずれは対象になりません。
申し立てが認められた場合、PayPalは購入代金全額と当初の送料を返金することがあります。
購入者保護は自動的に適用されるわけではありません。まず、一定の条件を満たす必要があります。アカウントが正常な状態であること、対象商品をPayPalアカウントで一括払いしていること、そして「商品・サービス」の支払い方法を利用していることです。
また、結果は証拠によって左右されます。有効な配送追跡番号がある場合、「商品未着」の申し立てが認められない可能性があります。「商品説明と異なる」の申し立てでは、写真や書類などの明確な証拠が必要です。
通常、商品が届かなかった場合は支払い日から180日以内、商品説明と著しく異なる商品が届いた場合は配達日から30日以内であれば異議申し立てを行えます。
購入者保護の対象外となるもの
すべての購入が購入者保護の対象になるわけではありません。主な対象外のケースは以下のとおりです。
| カテゴリー | 詳細 |
| 「友人・家族」への送金 | 個人間送金として扱われます |
| 対面取引 | 商品・サービス向けの特定のQRコードを使用した場合を除き、対面で受け取った商品や実店舗で購入した商品 |
| 車両および不動産 | 土地、住宅、産業機械、自動車 |
| ギフトカードおよびプリペイドカード | 現金のようなアイテムとして除外されています |
| 金融商品 | 寄付、投資、または金(ゴールド) |
販売者にとってPayPalは安全なのか
PayPalの購入者保護と同様に、販売者保護も「未承認の取引」や「商品未着」に関する不正な申し立てから販売者を保護します。ただし、適用には一定の条件があります。
保護を受けるには、販売者は取引詳細ページに記載された住所へ商品を発送し、有効な発送証明または配達証明を提出する必要があります。高額取引では署名確認が推奨されていますが、2026年1月26日以降に処理された取引については、PayPalによると、署名確認は必須ではなくなりました。
販売者保護の対象
販売者保護が適用されるのは、以下のような申し立てに限られます。
- 未承認の取引: 取引詳細ページで対象として表示されている支払いについて、購入者がその取引を承認していないと主張した場合。
- 商品未着: PayPalの解決センターを通じて提出された、商品が配達されていないという申し立て。
販売者保護の対象外:
- 商品は配達されたものの、説明と著しく異なると申し立てられた場合
- 偽造品
- 商品を直接手渡しした、または直接受け取った場合
- 取引詳細ページに記載された住所とは異なる住所へ配達した場合
購入者がPayPalの解決センターではなく、カード発行会社に直接異議を申し立てた場合、商品が正しく発送されていても、その申し立てには販売者保護は適用されません。
よくあるPayPal詐欺
PayPal詐欺の多くは、PayPalそのものを攻撃するものではありません。PayPalユーザーをだましてアカウントへのアクセスを許可させたり、取引を承認させたりするのです。
フィッシングメールと送金リクエスト詐欺
フィッシング は、攻撃者がPayPalアカウントへのアクセスを取得する代表的な手口の一つです。その手口は共通しています。PayPalになりすまし、緊急性を煽り、PayPal外での行動を促すのです。
メッセージは一見すると普通のメールのように見えるでしょう。その内容は、支払い確認や不審なアクティビティの警告、パスワードのリセット依頼などです。重要なのは、そこに記載されたリンクや電話番号です。リンクをクリックすると偽のPayPalログインページへ誘導され、入力した認証情報がそのまま攻撃者に渡ってしまいます。
場合によっては、攻撃者がPayPalの通知機能、特に送金リクエスト機能を使用して、購入した覚えのない商品の偽の請求書や送金リクエストを送信することがあります。こうしたメールは実際にPayPalのシステムから送信されることもあるため、本物のメッセージと見分けるのが難しいのです。
そのため、送信者だけで正規のものかどうかを判断することはできません。メールの内容を確認することが重要です。正規のPayPalからの連絡では、あなたのフルネームが記載されており、パスワード、セキュリティコード、支払い情報の詳細、リモートアクセスなどを求めることはありません。こうした要求が含まれている場合、それは通常のPayPalからの連絡ではありません。
友人・家族への送金を悪用した詐欺
友人・家族への送金は、割り勘の精算など個人的な送金を目的とした機能です。商取引向けではないため、購入者保護の対象にはなりません。
マーケットプレイスでは、手数料を避けるために友人・家族への送金を求める詐欺師がいます。しかし、詐欺師たちは、友人・家族への送金では購入者保護を受けられなくなることを説明しません。つまり、商品が届かなかったとしても、申し立てを行うことはできないのです。
過払い詐欺と前払い詐欺
過払い詐欺では、購入者が合意した金額を超える不正な支払いを販売者に送ります。手口は次のとおりです。
- 過払い: 購入者が、必要額を大幅に上回る金額をPayPal経由で送金します。
- 返金要求: 購入者が、送金ミスだった、あるいは超過分は送料のためだったなどと説明し、元の支払いが確定する前に、別の方法で超過分を返金するよう求めます。
- 支払いの取り消し: 元の支払いが最終的に不正な取引と判断され、PayPalによって取り消されます。
- 損失の発生: 別の方法で返金したお金は、この取り消しの対象にはなりません。その結果、元の支払い額と返金した金額の両方を失うことになるのです。
正当な取引では、支払いの一部を別の方法で返金するよう求められることはありません。過払いを受け取った場合は、別の方法で返金するのではなく、取引自体を取り消しましょう。
前払い詐欺では、標的はお金や報酬がもらえると約束するメッセージを受け取り、その受け取りをするために少額の前払いを求められます。しかし、手数料を支払っても何も受け取れません。
PayPalを安全に利用する方法
PayPalに関するリスクの多くは、アカウントの管理方法や支払い方法の選択に起因します。
- 二要素認証(2FA)を有効にする: PayPalアカウントの設定で二要素認証を有効にし、可能であればSMSではなく認証アプリを使用しましょう。認証アプリの方がSIMスワッピング攻撃への耐性が高いからです。
- 固有のパスワードを使用する: 複数のアカウントで同じパスワードを使い回すと、1つのサイトで情報漏えいが発生した際にPayPalアカウントも危険にさらされる可能性があります。ExpressKeys のようなパスワードマネージャーを使えば、固有のパスワード を安全に生成・保存できます。
- アカウント通知を設定する: 支払い、ログイン、アカウント設定の変更に関する通知を有効にしておけば、予期せぬアクティビティがあった際に、すぐに通知を受け取ることができます。
- 連携アプリを管理する: 連携しているサードパーティ製アプリを定期的に確認し、不要になったものは削除しましょう。また、可能な範囲でアクセス権限も制限してください。
- 適切な支払い方法を選ぶ: 友人・家族への送金は購入者保護の対象外です。商取引では必ず商品・サービスを利用しましょう。問題が発生した場合に購入者保護を受けられるのは、この支払い方法のみです。
- 公共Wi-Fiを避ける: 安全性が確認できない公共ネットワークでは、ログインしたり送金したりしないようにしましょう。やむを得ずログインや送金をする場合は、信頼できる VPN(仮想プライベートネットワーク) を使用して通信を暗号化し、通信傍受のリスクを軽減してください。
- アプリを最新の状態に保つ: アップデートによって既知の セキュリティ脆弱性 が修正されます。
- 可能であればクレジットカードを利用する: 連携済みのクレジットカードで支払うと、PayPalとは別の異議申し立て手段を確保できます。つまり、銀行口座やPayPal残高で支払った場合には利用できないチャージバックを申請できる可能性があるのです。
問題が発生した場合の対処法
不審なアクティビティや不正な支払いに気付いた場合は、できるだけ早く対応しましょう。
- 不正なアクティビティを直ちに報告する: PayPalの解決センター にアクセスし、その取引を不正な取引として報告してください。パスワードを変更し、見覚えのない連携デバイスやアプリがないか確認し、不審なアクセス権限は取り消しましょう。
- 取引に関する問題は異議申し立てを行う: 商品が届かなかった場合や、説明と異なる商品が届いた場合は、解決センターから異議申し立てを行い、PayPalを通じて販売者に連絡しましょう。PayPal外で解決しようとしないでください。
- 未解決のケースはクレームへ移行する: 販売者が問題を解決しない場合は、異議申し立てをクレームへ移行してください。そうすると、PayPalが証拠を確認し、判断を下します。
- 必要に応じてカード発行会社に連絡する: クレジットカードで支払い、PayPalの判断に納得できない場合は、カード発行会社に連絡してチャージバックを申請しましょう。これはPayPal外の、別の手続きになります。
- 金融オンブズマンサービス(FOS)へ申し立てる: PayPalの苦情処理手続きで問題が解決しない場合、英国在住であれば FOS に申し立てができます。FOSは、PayPalを含むFCA規制対象企業の判断を審査できる無料の独立サービスです。
FAQ:PayPalの安全性に関するよくある質問
PayPal経由で銀行口座にアクセスされることはありますか?
直接アクセスされることはありません。PayPalは仲介役として機能するため、販売者は あなたの銀行口座情報を見ることはできない のです。しかし、誰かがあなたのPayPalアカウントにアクセスした場合、アカウントに紐付けられた支払い方法を悪用される可能性はあります。不正な取引に気付いた場合は、解決センターを通じてすぐに報告してください。
PayPalはオンラインショッピングで安全に使えますか?
PayPalで支払うと、販売者には支払い確認は届きますが、あなたの金融情報は届きません。そのため、情報が露出するリスクを軽減できます。また、PayPalは 対象となる購入に対して保護 を提供していますが、保護の対象となるかどうかは支払い方法と取引カテゴリによって異なります。
ウェブサイトにカード情報を入力するよりもPayPalの方が安全ですか?
ほとんどの場合は、PayPalの方が安全です。PayPalを使うと、複数のサイトで金融情報が共有される範囲を減らすことができます。しかし、セキュリティは販売者とあなたのアカウント保護の度合いにも左右されます。
銀行口座をPayPalに連携するのは安全ですか?
銀行口座の連携は一般的です。ただし、資金源によって異議申し立ての選択肢が変わります。銀行口座またはデビットカードで 支払った取引で何か問題が発生した場合、クレジットカードの場合よりも代替手段が少なくなります。クレジットカードで支払った場合は、カード発行会社を通じてチャージバックを申請できます。
PayPalは詐欺被害に対して返金できますか?
取引の種類によって異なります。不正アクセスによる支払い (誰かが許可なくアカウントにアクセスした場合)については、PayPalが申し立てを審査し、確認が取れれば返金を行う場合があります。あなた自身が送金した支払いについては、取引が対象となるかどうかによって保護の適用範囲が異なります。商品・サービスの支払いは購入者保護の対象となる場合がありますが、友人・家族への支払いは対象外です。
ネット上で身を守るための第一歩を踏み出しましょう。リスクなしでExpressVPNをお試しください。
ExpressVPN を入手
