2011年6月8日7:00
「スマートフォン決済の安全基準等に関する基本的な考え方」を策定
CCT端末の運営組織として安心・安全なスマートフォン決済を後押し
銀行系クレジットカード会社で組織する日本クレジットカード協会(JCCA)は、国内での普及が加速するスマートフォン等を活用したクレジットカード決済について、クレジットカード番号をはじめとした各種情報が、安全かつ適切に取り扱われることを目的として、「スマートフォン決済の安全基準等に関する基本的な考え方」をとりまとめた。CCT端末(共同利用端末)の管理を行う立場であるJCCAが今回の基準に対する考え方を公表した経緯について話を聞いた。
端末メーカーや情報処理センターと共に
約10回の協議の末、公表に至る
米国ではスマートフォン等にカードリーダーを搭載したクレジットカード決済端末の利用が本格的に始まっている。また、日本においても2010年にフライトシステムコンサルティングが三菱UFJニコスと提携しサービスを開始。それ以降もスマートフォン決済のサービスを開始する事業者は増加傾向にある。
JCCAではCCT端末に関する安全基準や運用ルールなどは設けているが、スマートフォン等については、そういった基準がないまま運用されていく可能性があることを懸念していた。日本クレジットカード協会 事務局長の清水茂夫氏は、「スマートフォン等を利用した決済端末については、事業者が安価な投資コストで参入できる可能性がありますので、きちんとした環境を整備することが必要です」と説明する。特にスマートフォンやiOS端末については、一般的なCCT端末と比較してセキュリティ面に課題があり、同端末の運用管理を行っているJCCAとしても、安全かつ適切に取り扱いが行われることを目的になんらかの基準の策定が必要であると考えた。
さらに、2010年7月に経済産業省が主催する「産業構造審議会消費経済部会基本問題小委員会」が出した報告書において、「クレジットカード業界においては、安全基準の策定に取り組み、インターネット技術を取り込んだ新しい決済ネットワークの構築に向けて、今年度中に検討を開始していく必要があると考えられる」とまとめられている。
JCCAではカード会社6社、NTTデータや日本カードネットワークといった情報処理センター、パナソニックなどの端末メーカーなどのメンバーによるワーキンググループを2010年9月に結成。約10回にわたる協議の上、2011年4月13日に「スマートフォン決済の安全基準等に関する基本的な考え方」策定に至ったという。
カード会員情報をスマートフォンや端末に保存しない
加盟店はカード情報の読み取り時に暗号化を実施
目的としては、カード会員にとって、安心・安全な取引を実現するためのスマートフォン等によるクレジットカード決済端末の必要最低限の安全基準を定義することが第一点。もう1つがアプリケーションや周辺機器など、スマートフォン等を決済端末として利用する際に必要となる仕組みごとにあるべき安全基準を整理することとなった。
「スマートフォン決済は有象無象の事業者の登場が予想されます。そのため、どこまで事業者のモラルに甘えられるかは未知数であり、細かいところまで策定する必要があると考えました」(日本クレジットカード協会 事務局 調査役 鈴木文吾氏)
基準の策定にあたり前提となったのは、「カード会員情報などの個人情報をクレジットカード決済の承認処理完了後に保存しない」ということだ。当然、売上票などにカード番号を表示・出力する場合にも個人情報を識別する桁を非表示にしなければならない。
また、スマートフォン等の不正な利用を防ぐために、端末自体の認証を求めることも明記された。さらに、端末に直接カード番号を入力するのはセキュリティ面で課題があるため、周辺機器を通じて読み取ることを必須としている。
加盟店がカード番号の読み取り直後に、カードリーダーでカード会員情報を暗号化することも明記されている。現状、多くのスマートフォン決済はマグストライプによるものが主流のため、マグストライプ、ICカードによる認証の双方を可能としている。ICカードリーダーで認証する場合は、EMV4.2 Book2-Security and key Management “11.1 Security Requirements”以上の要件に準拠していること、PINパッドはPCI PTS認定要件に準拠することが記載された。
また、スマートフォン等とスマートフォン決済センター間または周辺機器間についての通信も、カード会員情報を暗号化した状態で行うこととなっている。
今後は関連団体にガイドライン策定を働きかける
ICクレジットカード決済ができるスマートフォン端末の登場に期待
JCCAでは、今回発表した内容について経済産業省に報告を行い、今後は日本クレジット協会などの関係団体において、同発表をベースとしたガイドラインの策定を働きかけていきたいとしている。
スマートフォン等を利用した決済端末の登場により、現行のCCT端末の販売に影響を及ぼす可能性もある。しかし、「現在国内に流通している機種はICクレジットカード未対応であるため、JCCAとしては、PIN(暗証番号)入力も含め、高セキュリティなICクレジットカード決済に対応したスマートフォンデバイスがいち早く登場してほしい」と清水氏は期待を示した。
