2016年7月15日10:05
カード情報非通過のリンクタイプ、トークンタイプの導入を
GMOペイメントゲートウェイ(GMO-PG)は、2016年7月13日、同社の決済サービスを利用するEC加盟店を対象に、同社セミナールームにおいて、「カードセキュリティセミナー」を開催した。GMO-PGでは、EC加盟店が仮にカード番号を保存していなくてもカード情報が漏洩する可能性を指摘するとともに、「リンクタイプ」「トークンタイプ」を利用した非通過型の決済サービス導入を呼びかけた。同セキュリティセミナーは東京、大阪、福岡で計9回開催されたが、いずれも満席となった。
カード情報非保持の加盟店からも情報漏洩事件が発生
経済産業省/日本クレジット協会が2016年2月に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、EC加盟店でも2018年3月末までにカード情報非保持化もしくはPCIDSS準拠が求められる。「カードセキュリティセミナー」では、同実行計画を受け、GMOペイメントゲートウェイ システム本部 ITサービス部 セキュリティ社内情報システムグループ 課長代理 齊藤元彦氏から、EC加盟店がとるべき対策について紹介された。
同実行計画では、具体的な目標として、“カード情報保護対策については、カード情報を取扱う事業者のうち、カード会社は2018年3月末までにデータセキュリティの国際基準であるPCI DSS準拠を完了すること、カード情報の漏えい頻度の高いEC加盟店は2018年3月末までに、対面加盟店は2020年3月末までにそれぞれカード情報そのものを保持しないか、保持する場合はPCI DSS準拠を完了すること”と発表されている。
同実行計画が発表された背景として、2013年以降、カード情報漏洩事件が増えている実態があるという。「公表されている数値だけでも、カード情報漏洩事件は2014年で15件。2015年は29件、2016年5月までは15件となり、数が非常に増えています」と斎藤氏は警鐘を鳴らす。カード会社からの報告によると、2015年はさらに多くの被害があったそうだ。また、大規模なEC加盟店で起こっているイメージを抱く人も多いが、中規模以下の加盟店でも事件が発生している。さらに、加盟店の業種・業態はさまざまだ。
さらに、注目すべきポイントとして、カード情報を保持していない加盟店からも情報漏洩事件が起こっている。2012年5月31日、日本クレジット協会(JCA)のインフラ整備部会が経済産業省と「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表したが、当時の実行計画ではPCI DSS準拠もしくはクレジットカード情報非保持への対応がうたわれていた。しかし、「実際は一時的なカード情報の保存はもちろん、“処理や送信”についてもカード情報漏洩のリスクがあります」と斎藤氏は指摘する。
実際、Webサーバに悪意あるプログラムを仕込まれ、カード情報が処理や送信の段階で抜き取られたりする危険性もあり、「2014年のケースを見ると、データベースのカード情報の保存がない場合でもカード情報の漏洩事件が起こっています」と斎藤氏は話す。そのため、GMO-PGでは、EC加盟店がカード情報を保存・処理・送信しない“非通過型”の導入を勧めている。
カード情報を保存しなくても処理・送信を行えばカード情報漏洩リスクは高まる
EC加盟店がクレジットカード決済を導入する場合、自社のサーバにモジュールを組み込むタイプ(モジュール・プロトコル型)、決済時に加盟店のWebサーバから決済処理事業者のサーバに移行して決済を行うリンク型が多く用いられてきた。リンク型では、EC加盟店側のサイトで決済処理が行われないため、保存・処理・送信は行われない。しかし、モジュール・プロトコルタイプでは、処理・送信が行われれるため、カード情報漏洩の危険性があり、仮にカード情報を保有していなくても2018年3月末までにPCI DSSに準拠する必要がある。
モジュール・プロトコルタイプの加盟店に対しては、PCI DSSの準拠はもちろん、カード情報がログに残っている可能性もあるため、「まずはシステムログ等を確認の上、不要なものはすべて消す必要があります」と斎藤氏は呼びかけた。また、リスク回避のため、リンクタイプ、GMOペイメントゲートウェイが昨年から開始したトークンタイプへの移行も検討する必要があるとした。
さらに、新規に非保持型を導入する加盟店はリンク型・トークン決済の導入を勧めるとともに、仮にモジュール・プロトコル型を導入する際はPCI DSS準拠を含めて、検討しなければならない。
トークンタイプをオプションとして提供
モジュール・プロトコルタイプでも初期費用のみで利用可能
続いて、GMOペイメントゲートウェイ イノベーション・パートナーズ本部 第一営業統括部 第2営業部 課長代理 鈴井祥吾氏がリンクタイプやトークン決済について紹介した。GMO-PGでは、カード情報を保持しない安全な運用を行ってもらうため、リンクタイプもしくはトークン決済を勧めている。
前述のようにリンクタイプの導入を推奨しているが、モジュール・プロトコルタイプのEC加盟店に対しては、トークンタイプをオプションとして提供することで、カード情報の保持・処理・送信を回避することが可能だ。
昨年から全加盟店向けに提供を開始したトークンタイプは、購入者が入力するクレジットカード番号をGMO-PGがトークンに置き換え、クレジットカード番号とは異なる文字列として決済処理を行うもの。GMO-PGの加盟店は、購入者のクレジットカード番号を保持しないことはもちろん、処理・送信も行わずに決済処理を完了できる。GMO-PGでは、htmlからJavaScriptへ変換してカード番号を送信する機能をオプションとして提供。「価格も初期の費用のみで、月額費用等は必要ありません」(鈴井氏)。また、エンドユーザーの決済画面は変化なく、サービスを導入可能だ。
トークンタイプの導入に関しては、利用するオープンソースやショッピングカートなどの対応状況にもよるが、EC-CUBE 3.0系のモジュールはトークン決済に対応している。また、2.1系(2.13.x, 2.12.x, 2.11.x)は年内の対応を予定している。GMOメイクショップでも7~8月頃をめどにトークン決済に対応予定だ(オプション契約が必要)。
トークンタイプ、リンクタイプの今後のアップデートは?
加盟店がより利用しやすい環境を意識
GMO-PGでは今後、カード登録時のトークン化の対応を進めていく。これにより、継続課金などにおいてトークン決済を便利に利用可能となる。また、年内に多通貨決済のトークン対応も予定している。
リンク型に関しても、独自ドメイン利用、リンクページのカスタマイズ性向上、多言語対応などの機能を2017年3月までに順次強化するなど、EC加盟店が利用しやすい環境を整えていく方針だ。