2016年7月13日8:00
■ビザ・ワールドワイド(Visa)
日本のペイメントカード業界にとって、2015年は大きな節目の年でした。今回は、ペイメントセキュリティのリスク管理のあり方について考えていく上で影響がある5つの大きなトレンド、また、全世界の不正の傾向や、米国のIC化の進捗状況、そして2020年に向けたVisaの取り組みについて紹介します。
2015年は日本のペイメントカード業界にとって大きな節目に
失敗や不足や後退が許されないカードセキュリティ
2015年3月、関連業界の代表者で構成されるクレジット取引セキュリティ対策協議会が立ち上げられ、1年間をかけて実行計画がつくられました。特に、20年来の懸案事項であったクレジットカードとPOS端末のIC化対応というテーマについては、2020年3月までに双方のIC化の完了を目指すということが、具体的に期限付きで決められました。
もう1つ、情報セキュリティというテーマですが、これについてもEC加盟店と決済代行会社などのサービスプロバイダー等については2018年3月、POS加盟店についてはIC化と同じく2020年3月までに、それぞれセキュリティ対応の完了を目指すということが具体的に決められました。また、EC加盟店においては多面的・重層的な不正対策が求められることになりました。2020年は東京オリンピックの年ですが、カード決済に携わるものにおいては、より大きな意味を持つ1年になったということです。
私たちペイメントビジネスに携わるすべての者は、消費者の安全な決済に対する大きな責任を共有していると考えています。ペイメントビジネスは消費者の信頼のうえに成り立っており、消費者が私たちのサービスを使い、現金から電子決済へのシフトを続けていくためには、消費者に電子決済を最も安心で安全な方法であると感じていただく必要があります。「私たちは支払い・支払われるための最も安全な方法を続けなければならない」「これには等級や段階などは存在しない-選択肢などは存在しない」。これはVisaのCEOであるCharlie Scharfのメッセージの引用ですが、ペイメントのセキュリティにおいて、失敗や不足や後退ということは一切あってはならないのです。
新しい参入者と技術がペイメントエコシステムを変化させる
エコシステムの巨大化と複雑化がもたらす新たなリスク
最近、フィンテック(FinTech=FinanceとTechnologyを掛け合わせた造語)という言葉をよく耳にするようになりました。ファイナンス×テクノロジーが決済のあり方を大きく変えていくということであり、併せて、消費者が世界中の店で買い物をする方法も変えていきます。特にインターネット、モバイルテクノロジー、ソーシャルネットワークなど、消費者のライフスタイルと決済スタイルに大きく影響を与えていくと考えています。
Google社が日本で行った2013年の調査では、77%の消費者がモバイルを持って外出する時代になったと発表されています。それからすでに2年以上が経過していますので、現在の日本ではもっと進んでいるのではないでしょうか。最近では電車の中で新聞を折り畳んで読んでいるような人はほとんど見かけなくなり、スマートフォンで日経の電子版を見たり、Yahoo!ニュースを見たり、LINEやゲームをしていたりと、電車の中の風景も随分と様変わりしています。
これに伴い、決済は現金決済から電子決済にシフトしています。さらに今後は、スマートフォンが人間が身に着ける腕時計や眼鏡などに形に変えていくウェアラブル・コンピューティングや、あらゆるものをインターネットに接続してサービスの向上を図るIoTといったテクノロジーが、ますます新しい決済、取引の方法を導いていくのではないでしょうか。
一方で、カード決済のプロセスそのものが省略されるケースも出てきています。例えば、カード・オン・ファイル(Card-On-File)、あるいはリカーリングペイメントという決済形態ですが、加盟店があらかじめカード情報を保管し、その後に発生するお客様とのカード決済を、そのカードで自動的に処理していくことで、お客様がその都度カード番号を扱うことがない、というサービスもあります。ペイメント業界ではさらなるイノベーションや、スマートな決済に進んでいくわけですが、同時に、必要なセキュリティが確実に組み込まれ、安全性が確保されていくことが重要です。ペイメントシステムへの参加者で構成されるネットワーク全体を指す、ペイメントエコシステムという言葉がありますが、テクノロジーの進歩や新しいサービス、新規参入により、このエコシステムがますます増殖していくものと考えています。
第2のトレンドはこのペイメントエコシステムについてですが、テクノロジーの進歩がペイメントエコシステムを大きくするだけでなく、複雑化していると考えています。エコシステムの巨大化と複雑化の傾向は、実は新たなリスクをもたらしています。
従来の伝統的な、私たちが4パーティモデルと呼んでいるカード会員、イシュア、加盟店、アクワイアラに加え、新しいプレイヤーが参入してきています。これらの多くは、非常にポジティブな影響をエコシステムに与えています。至近な例を挙げれば、最近のモバイルPOSをサポートしているプロバイダは、従来、電子決済に不向きといわれていた在宅サービスやガーデニング、弁護士、会計士といったスモールビジネスの従事者が、スマートフォンを携帯してカードの決済端末として使うといった形で、電子決済に参加することを可能にしています。
また、ペイメントゲートウェイや決済代行会社は、EC加盟店、特に中小のEC加盟店がより速く簡単にオンライン決済をできるようにしましたし、3-Dセキュアといわれるような本人認証スキームに簡易に採用できるサービスも提供しています。さらに、カード情報の保管や管理も代行し、セキュリティ向上のためにさまざまなサービスを提供しているのですが、一方で、この新しいエコシステムへの参加者の誰かが脆弱なままセキュリティホールとなってしまうと、エコシステム全体の安全性と信頼性を脅かすことにもなると考えています。
カード情報の盗難事件には大きく4つの傾向
犯罪者の進化によって頻度・規模が拡大するカード情報流出事案
第3のトレンドは犯罪の進化です。カード情報流出において、犯罪者はますますソフィスケート(洗練化)された攻撃を始めています。彼らもまたテクノロジーの進化の波に乗りながら、より進化したマルウェアを使い、POSを攻撃し、脆弱店を検出しているという傾向が見受けられるのです。
近年のカード情報の盗難事件には大きく4つの傾向があると考えています。第1に頻度の増加です。大小のカード情報流出事案が増加の一途をたどっています。第2に規模の拡大です。情報流出アカウントの数が量的にますます増加して、影響も甚大、国際化しているという傾向があります。第3に洗練化です。最近は保管されているカード情報だけではなく、処理中、読込中、伝送中のカード情報も狙われるようになってきており、結果的に、科学的な原因調査がますます難しくなっているという傾向があります。最後に、組織化です。犯罪組織がだんだん大型化し、国際分業化しているという傾向もあります。
全世界のカード情報の流出事案数は、2013年から2014年にかけて23%増加しています。この多くは実は米国で発生しています。その理由としては、やはり、磁気ストライプでのカード決済がまだまだ主流になっていることから、セキュリティのレベルが他国と比べると相対的に低く、カード犯罪者のターゲットになっているということがあると思われます。
カード情報流出事案の最近3年間の統計についてご紹介をさせていただきます。Visaカードの年間取引件数が2万件以下の、Level 4といういわゆる中小加盟店で発生している事案は、1事案あたりで流出するカード情報の数はだいたい100件から500件、多くとも1万件程度なのですが、事案数でみると全体の90%以上はこの中小の加盟店で起きています。
一方、年間のVisaカードの取引件数が100万件を超えるような、Level 1、Level 2という大型加盟店で発生する事案は、数としては全体の2%以下ですが、ひとたび発生すると膨大な数のアカウント情報が流出し、数十万から数百万件に上るカード情報がリスクに晒されることになります。流出したアカウントの数からみると、全体の7割以上は、実はこのLevel 1とよばれる大型加盟店から流出したものです。これらのケースでは、事故時点で科学的な調査が入り、流出原因の特定と、その時点でのPCI DSSの準拠状況を調べるのですが、結果的にPCI DSSに準拠できていたケースは残念ながら皆無でした。
2015年では合計1,400万件のカード情報、アカウントリストが、Visaから全世界のイシュアにアラートとして配信されていますが、そのうちの96%はLevel 1、Level 2の大型加盟店の事案によるものでした。2013年にTargetという米国第3位の大手流通業で発生した事案では、合計4,000万件のクレジットカード、デビットカードの情報がリスクに晒されました。Target社は結果的に損害を受けた全世界のイシュア数千社に合計6,700万ドルの損害賠償の支払いし、小売業者としての評価と業績も失墜し、CEOも退陣することになりました。
翌2014年、これも当事者が公表していますが、Home Depotという大手の流通業で発生した事案では、5,600万件ものカード情報が流出しました。これはHome Depot社が、保管しているカード番号の暗号化を手掛けていた最中に起きた事件であり、残念ながら、暗号化されていないカード情報がそのまま盗まれたということになりました。
同じく2014年ですが、韓国のKCB、Korea Credit Bureauという信用情報機関で、合計1億400万件という膨大な数のカード情報が盗まれました。韓国の人口がだいたい4,000万人強なので、その3倍弱という数のカード情報ということになります。韓国の金融監督院は、関係するカード会社3社に対し3カ月間の業務停止措置をとったのですが、その結果、その3社のイシュアのCEOが退陣することになりました。
2015年は、全世界的にネットワークを持つHiltonやHyatt、Starwoodといった大手のホテルで情報流出が相次いで報告されています。いずれも手口がよく似ており、日本の拠点も含め、レストランやスパ、ゴルフショップ、駐車場といったホテル内の施設で合計250カ所、総計100万件以上のカード情報が流出しました。
これらの事例から浮かび上がってくる課題は2つあります。1つは大型加盟店のカード情報のセキュリティをどのように向上させていくかということです。カード情報を大量に扱う事業者としての責任を自覚し、必要な対応を自ら進めていただくためのサポートが必要であろうと考えています。もう1つは、山でいえば裾野にあたるような、大多数の中小の加盟店様のカード情報のセキュリティをどのように確保していくかということです。こちらについては、事業者が意識しなくても、カード情報が安全に処理、管理される端末と仕組みを提案し、ビジネスに専念いただけるような環境づくりが必要だろうと考えています。
電子決済のセキュリティ強化に対する政府・行政の関与が拡大
4つめのトレンドとしては、各国の政府、行政の関与が挙げられます。今日、多くの国々では、それぞれの国の行政当局が現金決済から電子決済にシフトすることによるメリットに着目しています。世界的な傾向として、電子決済は便利で安全で追跡可能であり、あるいは非常に透明感が高く、結果的に税収の向上につながるということで、現金よりも優れた決済手段ではないかと考えられるようになってきました。その中で行政当局が電子決済のインフラを守りながら消費者の利益を保護したいと考えるのは、当然なことだろうと考えています。
Visaは2016 年2月、マレーシアの中央銀行に対し、カード会員を不正被害から保護していくためのゼロライアビリティというポリシーについて、採用のお願いをしてまいりました。また、インドネシアの中央銀行に対しては、ライアビリティ・シフトというVisaのルールについて、ATMの取引についても適用することをお願いしてまいりました。また、フィリピンではチップ取引におけるPIN入力の重要性について、韓国ではPOS端末のIC化の移行について協力をしてまいりました。韓国当局は2015年7月に、向こう3年以内にすべてのPOS端末をIC化対応することを義務付けしていますが、それから6カ月経った2016年1月時点で、IC端末による決済比率は半年前のゼロから7%に上がっています。
そして日本ですが、アベノミクスの第3の矢の「日本再興戦略」や、2020年の東京オリンピック誘致がきっかけとなり、キャッシュレス化や安心・安全なカード決済の実現を目指して、クレジット取引セキュリティ対策協議会が設立され、2016年2月には、その実行計画がまとめ上げられました。Visaはこの枠組みにも参加しており、国際ペイメントブランドという立場で、他の先進国のデータセキュリティやICカード化の状況について情報提供させていただきながら、後援をさせていただきました。この計画が実現できれば、2020年には世界に誇れるような安心・安全なカード決済が、日本人はもちろん、これからさらに増加する訪日外国人にも提供できると考えています。
世界的に増加傾向にあるカード犯罪やカード不正
米国が参加し日本国内の取引でも適用されるようになったライアビリティ・シフトルール
5番目のトレンドとして、不正の増加ということを申し上げなければなりません。私どもは世界的な観点でカード犯罪やカード不正の傾向をモニターしています。(図)のグラフでは、全世界のVisaカードで発生したカード犯罪の推移を、2012年の第4四半期から四半期単位でご紹介しています。棒グラフは不正被害の発生額、折れ線グラフは不正の比率、すなわちVisaの売上高に占める不正比率です。売上が増えれば不正被害額がある程度増えるのはやむを得ないと考えていますので、そういう意味で不正比率もモニターの大事なポイントになっています。
不正発生額にしても不正比率にしても、過去3年間、右肩上がりで推移をしています。グローバルレベルの不正比率は、2013年当時は8bp(basis point=0.01%)なので、1万円につき8円ぐらいが不正被害ということだったのですが、2014年には8.9 bpまで増え、2015年にはとうとう9 bpを超えて9.5 bpにまで上がってしまいました。この増加には、先ほどご紹介した、米国で発生した大型のカード情報流出事案と、その結果発生した不正被害が非常に大きく影響しています。私どもは、米国が今後IC化を積極的に進めていけば、増加傾向は変わっていくだろうと考えています。
カード不正の種類別に、棒グラフを2種類に色分けしており、下の濃いオレンジ色が対面取引の不正、例えば、偽造や盗難紛失といったもの、上の薄いオレンジ色が非対面で起きている、いわゆるeコマース、あるいは一般の通販のなりすまし不正となります。どちらも増加傾向になっており、特に、偽造とeコマースの2つで全体の80%のカード犯罪が起きているとみています。
2014年では全世界の偽造被害額が15%も増加しました。発生場所はやはりIC化の遅れている国や地域であり、国をまたいでダイナミックに動いていくというのが偽造カード犯罪の特徴です。翻って日本の状況がどうかということですが、2001年に刑法が改正され、この偽造カード犯罪を取り締まれるようになって以降、偽造犯罪は漸減をしているといわれていましたが、最近2年間ではまた潮目が変わってきており、日本でも再び偽造カード犯罪の増加傾向が出てきているとみられます。
米国では、2013年のTargetの事案以降、偽造カード対策として官民を挙げたIC化への取り組みが進んでいます。米国のIC化対応の状況をみますと、2015年12月末現在で、クレジットカードの43%、デビットカードの21%がIC化されたという報告を受けています。さらに、POS端末は2015年12月現在で17%までIC化が完了しています。
これらの統計は当初の見通し予測より遅れているものの、IC化は着実に進んでいます。特にPOSの17%という数字は、日本とほぼ肩を並べる状況になっています。その最大の要因としては、2015年10月にVisaのEMVライアビリティ・シフトというルールが発動されてたことが挙げられます。これにより、カードとPOS端末で、いわゆるIC化が遅れた側が、かかる偽造被害の責任を引き受けるという考え方となってきました。
一方で、オーソリゼーションの承認率は米国の国内取引で99%、海外取引でも88~97%に上昇しました。これは、IC化したことにより、コストだけではなく売上収益の向上にも貢献をしているということが確認できます。
Visaルールで制定しているEMVライアビリティ・シフトについて紹介させていただきます。2015年9月以前は、偽造カードによる被害が発生した場合に、その損失は原則としてイシュアサイドが負担していました。しかし、カードがIC化される一方、端末側がIC化されていなかった場合、つまり、もし端末がIC化されていれば防げていたはずの偽造被害だった場合には、その責任はイシュアからアクワイアラ、加盟店サイドにシフトするという考え方です。
実はこのルールは、以前からヨーロッパをはじめ世界的規模ですでに発動されていましたが、POS端末のIC化が遅れていた対米国の取引および日本の国内取引については適用されていませんでした。ヨーロッパをはじめとした多くのICカード先進国では、すでにカード端末のIC化が完了しており、自国内で偽造被害が起こることはほとんどなくなってきていたのですが、POS端末のIC化が遅れている米国加盟店で発生する偽造被害はむしろエスカレートしており、さらに、その損害を米国外のIC化を完了したイシュアが負担をさせられているということに対して、世界的な批判が巻き起こっていました。
これが2015年10月に見直され、米国がライアビリティ・シフトルールに参加し、併せて日本国内の取引でも適用されるようになりました。これをもって、IC化対応が遅れている側が、かかる不正損失の責任を負うことになり、これが大きな動機づけとなって、遅れていた分野でのIC化が加速することになっています。
※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のビザ・ワールドワイド・ジャパン リスクマネージメント シニアディレクター 井原亮二氏の講演をベースに加筆を加え、紹介しています。