2017年2月14日9:00
国際基準「PCI PTS」のセキュリティ要件「SRED」に対応
国内電子マネー、Apple Pay等に対応したPOS接続型マルチ決済端末
パナソニック システムネットワークスは、2017年2月8日、クレジットカード(磁気/接触IC)、非接触(国際ブランド決済、国内電子マネー、Apple Pay等)といったマルチ決済サービスに対応したPOS接続型マルチ決済端末「JT-R600CR-01(ユニット型)」、「JT-R610CRシリーズ(組込型・予定)」を発表した。同端末は国際基準の「PCI PTS」およびセキュリティ要件の「SRED(Secure Reading and Exchange of Data)」に対応したように、セキュリティの高さが売りとなっている。
クレジット決済端末は130万台、RWは120万台を出荷
国内シェアは約7割
パナソニックは古くからクレジットカード決済端末を提供してきた企業だ。クレジット決済端末は1986年発売のCAT(OEM)発売以来、累計130万台を出荷。非接触リーダライター(RW)端末も、2003年のSuica専用RW発売以来、業界に先駆けて新サービスに対応しており、累計130万台を出荷している。パナソニック AVCネットワークス社 ITプロダクツ事業部 マーケティングセンター 法人営業3部 部長 尾野重和氏は、「クレジット決済端末、非接触RWといった端末をすべて平均すると、国内で7割程のマーケットシェアがあります」と説明する。2017年以降の出荷台数も継続して伸びると見込んでいる。
決済ビジネスの市場の変化を見ると、決済手段の多様化、モバイルウォレットの普及、加盟店独自サービス(共通ポイント、ハウスカード)の展開といった「新規サービス」、2020年の東京五輪、外国人向け利用促進、中国人などアジアからの旅行者の増加といった「インバウンド需要」、ライアビリティシフト(磁気などの不正利用についてカード会社の責任の所在がイシュアからアクワイアラに移る)、政府・業界団体の対応、PCI DSS対応、米国の情報漏洩事件、世界的なEMV IC対応といった「セキュリティ」が挙げられる。
国内でも2013年以降、セキュリティ対策が不十分な加盟店を狙ったマルウェア、搾取したカード情報による不正利用が増加している。そんな中、2016年12月8日、「割賦販売法の一部を改正する法律」が公布された。割賦販売法では、決済端末のIC化に加え、クレジットカード情報の保護が義務化される。こうした背景を踏まえ、パナソニックでは、PCI SSCが定めるセキュリティ要件SREDに対応したPOS接続型マルチ決済端末を発売することとなった。
PCI P2PEソリューションの導入が可能に
PCI DSS審査要件を最小で10分の1程度にまで縮小
現在、PCI SSCによって定められたセキュリティ基準にはデータセキュリティ基準の「PCI DSS」、アプリケーション向けのセキュリティ基準「PA-DSS」、PIN入力装置向けの「PCI PTS」、Point to Point暗号化に関する基準である「PCI P2PE」といったものがある。その中で同社の端末は、PCI PTS規格(Ver4.1、SRED含む)に準拠している。PCI PTSに対応した端末は国産メーカーでも複数あるが、今回パナソニックが強調したのがSRED対応だ。
SREDに対応することで、カード情報を入り口から出口まで一気通貫で暗号化された状態で処理できるPCI P2PE(Point-to-Point Encryption)ソリューションの導入が可能になる。PCI P2PEは、End to Endの暗号化が可能となるソリューション。つまり、加盟店で読み取ったカード情報を直ちに暗号化し、決済センター側の復号環境へ到達するまでカード情報を保護することが可能だ。
加盟店は、カード情報をPOS端末上に残すことなく、決済ネットワークへ送信することで、情報漏洩リスクの極小化が図れる。また、PCI DSSの準拠を目指すPOS加盟店においては、認定済PCI P2PEソリューションを導入することで、通常約300項目のPCI DSS審査要件を最小で10分の1程度にまで縮小することが可能だ。
佐賀工場でPCI P2PEの暗号鍵をインジェクション
国内メーカーとしての実績と信頼性で差別化を図る
SREDに対応した製品はすでに海外メーカーでは販売されており、大量生産できる強みにより価格はより抑えられていると想定されるが、国内メーカーとしての実績と信頼性を武器に、差別化を図っていきたいとしている。
これまで日本にはP2PEソリューションの審査機関がなかったことが課題となっていたが、ブロードバンドセキュリティ、国際マネジメントシステム認証機構、NRIセキュアテクノロジーズといった企業がP2PE QSAとして認定されており、今後の普及が期待されている。パナソニックでは、SREDに対応した端末を販売するが、P2PEソリューションの提供については、センターやパッケージ会社などが担うこととなる。パナソニックでは自らのP2PEソリューションの提供については検討中としている。
なお、「JT-R600CR-01」は、PCI P2PEで求められる高度なセキュリティ要件に対応した専用の設備、運用を導入した国内(佐賀)工場にて生産、出荷を行っていることも特徴として挙げた。「佐賀工場では、PCI P2PEの暗号鍵をインジェクションする設備を備え、鍵管理と鍵インジェクションサービスにも対応しています」と、パナソニック AVCネットワークス ITプロダクツ事業部 マーケティングセンター 法人営業3部 SE課 課長 田中康仁氏は強みを口にする。
カード利用者のセルフ操作に対応、日本人にやさしいつくりを意識
端末の販売目標台数は?
パナソニックでは、今後CCTやクラウド型決済(J-MupsやCAFIS Arch等)のクレジットカード決済端末、End to Endのセキュリティを強化したPOS接続型のマルチ決済端末の展開を強化する方針だ。
「JT-R600CR-01」は、国内電子マネー、国内Apple Payに加え、国際ブランド決済(磁気ストライプ、接触IC、非接触IC)、銀聯(磁気ストライプ、接触IC)等、1台でさまざまな支払い手段に対応する。
また、国内では珍しいカード利用者のセルフ操作に対応しているのもポイントだ。磁気ストライプ、接触IC、非接触IC決済に対し、同時待ち受けに対応。これにより、カード利用者が自ら決済手段を選択することができる。
「日本人はセルフ操作になれていないことを考え、磁気カードリーダーをスキャンさせるためのカード滑走距離を長くするとともに、誘導ランプにより接触ICカード挿入口を認識しやすくしています」(尾野氏)
さらに、コンパクトモデルのため、レジ周りの省スペース化に役立つとしている。端末背面のビス止めや、盗難防止ケーブル取り付けが可能な機構を設置。また、ACケーブル給電に加え、POS端末とUSBケーブル1本で接続して給電可能なUSB給電にも対応している。
端末の販売目標台数は20万台。PCI DSSへの対応など、POS加盟店のセキュリティ意識も徐々に高まっていることから、2020年に向け積極的に販売する方針だ。
