2015年4月20日8:30主要なカード決済とセキュリティ対策を一挙紹介(4)セキュリティ対策主要なカード決済とセキュリティ対策を一挙紹介(1)
主要なカード決済とセキュリティ対策を一挙紹介(2)
主要なカード決済とセキュリティ対策を一挙紹介(3)

インターネット決済時のセキュリティ対策

通常、クレジット決済の場合はカード番号と有効期限で決済を行うが、その場合、例えばカードを第3者に盗まれれば簡単に決済ができてしまう。その課題を解決したのが「3-Dセキュア」だ。これはネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みである。

Visaが「VISA認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」の名称で展開している。

3-Dセキュア(Visa/MasterCard/JCB)
3-Dセキュア(Visa/MasterCard/JCB)

また、ジャパンネット銀行の発行する「JNBVisaデビット」では、国内で初めて「ワンタイムパスワード」による3-Dセキュアの認証方式を導入している。海外では、ワンタイムパスワードの通知に、SMS(Short Message Service)やスマートフォン向けアプリでワンタイムパスワードが発行される仕組みを採用し、そのパスワードで3-Dセキュア認証が利用されているケースもある。

さらに、顧客の属性情報やカード券面情報(セキュリティコード)による認証も有効な手段として採用している事業者が増加している。

認証強化とともに重要なのが情報漏洩対策だ。ここ数年、加盟店のECサイトからカード会員情報が漏洩する事件が相次いでいる。そのため、ECサイトなどの加盟店側で、カード会員情報を所有せず、決済代行事業者などに預ける「非保持サービス」(画面遷移型)を導入するケースが増えている。決済代行事業者と加盟店との契約形態も「加盟店がカード会員情報を保持するケース」「加盟店がカード会員情報を処理するが、その履歴を削除するケース」「加盟店側でカード会員情報を処理しないケース」などさまざまだ。

なお、加盟店が決済代行事業者にカード会員情報を委託した場合、ペイメントカードのセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」の準拠に必要な要件が削減されるメリットもある。

また、不正と思われる取引パターンをルールとして事前に登録することで、それに合致する取引を検知するとリアルタイムに取引停止し、事業者に通知するサービスを提供する企業もある。従来はカード会社を中心に不正検知システムを提供していたが、NTTデータの「CAFIS Brain」をJALが導入したように、加盟店が不正利用対策を行うケースも出てきた。

さらに、忘れてはならないのは加盟店のPCI DSSの準拠である。PCI DSSはVisa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、ペイメントカードのセキュリティ基準だ。国際ブランドが付与されたカード情報を処理、伝送、保存する加盟店、サービスプロバイダが対象となる。カード決済に関するデータ保護が目的とされ、6項目12要件が定められているが、自社のセキュリティを客観的に把握するためにも準拠が広がることに期待したい。

ペイメントカードの国際セキュリティ基準「PCI DSS」(MasterCardの資料より)
ペイメントカードの国際セキュリティ基準「PCI DSS」(MasterCardの資料より)

カード番号を乱数に置き換えるトークナイゼーションに注目

近年、クレジットカード情報の漏洩事件が相次いでいるが、その対策としてクレジットカード情報に置き換わる別の数値(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策がある。特に、Appleが開始した「Apple Pay」で採用されて以降、注目を集めている。

25

トークナイゼーションは、データベースの暗号化以上に強固なセキュリティ技術であると言われており、米国では広く採用が進み、PCI DSSの新技術として注目されていた。すでにEMCジャパンや日本セーフネットなどが関連ソリューションを販売している。

トークナイゼーションで機密データを別の文字列(乱数)に置き換えて保存・利用することにより、PCI DSSの審査対象範囲の縮小、機密データの範囲極小化や集中管理によりセキュリティを向上することが可能となる。

国内の企業としては、日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)において、トークナイゼーションの技術が採用されている。GDOでは、ペイメントカード情報の保護にEMCジャパンのトークナイゼーションを導入。GDOでは、SQLインジェクションなど、外部からの攻撃に圧倒的に強い点なども含め、導入の成果を感じているそうだ。

リアル加盟店での不正利用対策

リアルでの不正利用対策においては、カード会社のカードのIC化対応、加盟店のPOSや決済端末のEMV対応が挙げられる。日本では銀行系カード会社を中心に2001年から、磁気カードにICチップを搭載する動きが広まっている。また、カード会社、ブランドなどは大型加盟店に対し、積極的にPOSのIC化を推し進めている。

POSのIC化については、2004年に東武百貨店が他の百貨店に先駆けて導入。その後、ヨドバシカメラ、ビックカメラの家電量販店などが、対応を発表している。

経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告でも「2020年までに流通しているクレジットカードの100%IC化を目指す」と発表されている。また、決済端末についても「IC端末の導入促進を図り、2020年までに100%IC化を目指す」とされている。特に、大手流通事業者のPOS端末におけるIC対応の促進を図るということだ。さらに、ATMについてもIC対応を進めるよう、ATM設置者に求めていくそうだ。

2014年末に日本クレジット協会が、2020年にICクレジットカード化100%を目指すと決定したことも追い風となるだろう。

欧州ではSEPAによるEMV ICカード化の取り組みが進んでいるが、米国では磁気カードによる取引が中心となっている。Visaは、米国内外の偽造カードが米国店頭のPOS端末で使用された場合の取引についてのライアビリティシフト(偽造カードによる不正利用の際の被害額の責任がICカード未対応のイシュアまたはアクワイアラから移行すること)を、2015年10月1日から施行する予定となっている。ガソリンスタンドの加盟店に関しては、セルフの給油機における取引についてのライアビリティシフトについても、2年後の2017年10月1日から適用する予定だ。MasterCardやAmerican Express、Discover、Dinersも同様の“ライアビリティシフト”の導入を予定している。

VisaならびにPLUSのATMの“ライアビリティシフト”の導入スケジュールは、2015年10月より日本、中国、インド、タイ以外のアジア太平洋地域で開始し、2017年10月より日本、中国、インド、タイ、アメリカで実施する予定だ。

2005年からライアビリティが導入されたイギリスなど西欧や、カナダ、中南米およびカリブ海地域、中欧・東欧、中近東・アフリカでは、すでに段階的に実施されており、オーストラリア、ニュージーランドでも2013年4月に導入済みとなっている。

大特集「カード決済&セキュリティのすべて」の紹介ページへ

paymentcardsecurity

 

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP