猫も杓子もポイントの世の中であるが、ポイントは顧客の囲い込みに一定の効果があるので、お店も客もなかなかやめられない。

個人とポイントを結びつけるために必要なのは、ローテクなものであればスタンプ式のポイントカードである。なんらかのシステムが使用されているなら、会員IDと、会員IDを記録しておくメディアとなる。まあ、所謂会員カードとか会員アプリが会員IDを記録しておくメディアになる。

会員カードにはいろいろあるけれど、大体3通りに大別できる。

①バーコード、2次元コード
②磁気カード、リライトカード
③ICカード

ってな感じだ。

このうち、最も偽造が簡単なのが、バーコードと2次元コードだ。なんせ会員IDがわかっていれば簡単にバーコードは作れてしまう。
次に偽造が簡単なのが、磁気カードだ。少しコストはかかるけれども、これも会員IDがわかれば簡単に偽造できてしまう。
ICカードは今のところ偽造は無理とおもわれる。

偽造が簡単ということは、なりすましが容易にできてしまうということで、なりすましが可能ということは
「コツコツ貯めたポイントを誰かに使われてしまう」
リスクがあるということだ。

ので、バーコード、2次元コード、磁気カードを用いた会員識別行う場合は、以下2つの原則を守る必要がある。
①会員カードはお店固有のデザインとする
②少なくともポイントの払い出しか、なんらかの決済が行われる場合に、必ず店員が会員カードを読み取るというオペレーションにする

お店固有のデザインとして、店員による読み取りを強制すれば、少なくとも店員が偽造カードかどうか気づける。要するに、安上がりな分、人間が気をつけろということだ。

よって、以下の組み合わせはなかなか最悪な組み合わせとなる。
①偽造が簡単なバーコード、2次元コード、磁気カードを顧客識別に使用している
②店員がカードスキャンを行わなくてもよい
③ポイントの払い出しが自動で行われるか、顧客が自分で行える。

なので、セルフレジで、会員カードが読めて、ポイント払い出しできてしまうようなシステムを構築しないように注意しなければならない。

会員ID知られなきゃ問題ないと思うかもしれないが、会員IDなんて、所詮連番なので、人を指定しなきゃいくらでも推測できちゃうのだ。

会員アプリはこの辺結構気を使っていて、「一定時間のみ有効なバーコード、2次元コード」を会員IDの代わりに読み取らせるような仕組みとなっていることが多い。

まあ会員アプリの場合でも「会員IDを直接読み取らせるアプリになっていないか」、「会員ID直接読み取らせる場合は、そのIDでなんらかの決済行為が行われないか」には注意したほうが良いだろう。

と思ったのであった。