2016年10月31日8:41
クレジット取引セキュリティ対策協議会では、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の策定あたり、取引の類型及び想定される不正手口について分類し、カード情報保護(WG1)、決済端末のIC対応 (WG2)、本人認証・不正使用検知の強化(WG3)という形で議論を行った。そのうち、カード情報保護については、近年被害が拡大しているため、喫緊の課題だとしている。たとえば、2016年9月には、ECのオムニチャネルや越境ECで先進的な取り組みを行っている東急ハンズに不正アクセスがあったことがわかった。また、それ以外にも大手から中小まで、さまざまな企業でカード情報漏えい事故が起こっている。
2018年3月までに非保持化もしくはPCI DSSの準拠を設定
その対策として、カード情報を取り扱うすべの事業者に対して国際ブランドが共同で策定したデータセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」への準拠を挙げている。カード情報を保持する加盟店はもちろん、カード会社、 PSP(ペイメント・サービス・プロバイダー)については、PCI DSS への速やかな準拠が必要となる。PCI DSSはカード会社やサービスプロバイダの準拠は年々進んでいるが、加盟店ではヤフーや楽天といったショッピングモール、ニフティやソネットエンタテインメント、NECビッグローブといったISP(インターネットサービスプロバイダ)、カード情報を漏えいした一部の加盟店など、準拠企業は数社に限られる。EC加盟店の完全準拠は決して多くはない状況だ。
実行計画では、2018年3月末までに、特にカード情報の漏えいの頻度が高いEC加盟店について、原則として非保持化(保持する場合はPCI DSS準拠)を推進するとともに、カード会社(イシュア・アクワイアラ)およびPSPについてはPCI DSSへの準拠を求めると記載されている。また、対面加盟店に関しては、2020 年3月末までにカード情報の適切な保護に関する対応(非通過型もしくはPCI DSS準拠)を完了することを目指すとしている。
PCI DSSの基準においても、カード情報の非保持化が実現できれば、準拠に必要な項目を大幅に減らすことが可能だ(PCI DSSの基準では非通過型を採用しても、一部項目への対応が必要となる)。
非通過型は保存・処理・送信でカード情報を扱わない運用
EC加盟店におけるカード決済システムにおいては、(図表1)のようにカード情報が加盟店のサーバを通過する「通過型」と、通過しない「非通過型」 に大別される。2012年5月31日、日本クレジット協会(JCA)のインフラ整備部会が経済産業省と「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表したが、当時の実行計画ではPCI DSS準拠もしくはクレジットカード情報非保持への対応がうたわれていた。同実行計画に遵守してPCI DSSに準拠したEC加盟店は少なく、効果があったとは言えないが、実際にはカード情報を保持しないEC加盟店からも不正利用が発生しているため、同計画の内容自体にも問題があるものとなった。
非対面のEC加盟店の場合、自社のサーバにモジュールを組み込むタイプ(モジュール・プロトコル型)、決済時に加盟店のWebサーバから決済処理事業者のサーバに移行して決済を行うリンク型が多く用いられてきた。リンク型では、EC加盟店側のサイトで決済処理が行われないため、保存・処理・送信は行われない。
しかし、モジュール・プロトコルタイプでは、処理・送信が行われれるため、カード情報漏えいの危険性があり、仮にカード情報を保有していなくても2018年3月末までにPCI DSSに準拠する必要がある。例えば、保存はしていなくても、外部からの不正アクセスやマルウェア等により「通過」するカード情報を窃取されるリスクがある。古くからECサービスを行う通販会社などは、モジュールタイプを利用しているケースもあり、その場合、非通過への切り替えか、PCI DSSの準拠が必要となる。また、近年はカード情報を保持していなくてもECプラットフォーマーやショッピングカートの脆弱性を突かれて、カード情報が漏えいするケースもあるので注意が必要だ。
トークン決済機能を提供する決済代行事業者も増加
また、近年では、(図表2)のようにhtmlからJavaScriptへ変換してカード番号を送信するトークン機能を提供する決済代行事業者もある。同サービスを利用すれば、カード情報を別の乱数に置き換え、カード番号の漏えいを防止することにもつながる。たとえば、GMOペイメントゲートウェイ、ペイジェント、ソフトバンク・ペイメントサービス、ベリトランスといった企業は、トークン機能を提供しており、今後は対応する決済代行事業者は増えるはずだ。
新規のEC加盟店についても、非通過型の決済システムの導入を推奨し、仮に通過型のサービスを導入する場合は、カード情報を保持することになるため、PCI DSS準拠を求めることとしている。また、カード情報が漏えいするリスクなどを鑑み、Webサーバなどにログが残っている場合、アクワイアラもしくはPSPは、加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求めることとしている。
2016年に入り、決済代行事業者では、PCI DSSやカード情報の非保持化について説明するセミナーも増えてきた。また、EC加盟店の意識も高まってきた。ただし、2018年3月までの1年半という期間は、従来のEC決済サービスを対応させるための時間軸として、決して余裕があるわけではない。1社でも多くのEC加盟店が実行計画に沿った対応をすると期待したい。
