2017年7月11日8:00
■日本クレジット協会
一般社団法人日本クレジット協会は、皆さまが安心してクレジットを利用できるような支援活動をしており、「クレジット取引セキュリティ対策協議会」の事務局となっています。今回は、クレジット取引セキュリティ対策協議会の実行計画の概要、割賦販売法の改正化によるセキュリティ推進への弾み、今後のセキュリティ強化へ向けた取り組みについて紹介させていただきます。
クレジット取引は一貫して増加も不正利用被害が増加
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定
日本クレジット協会は、クレジット業界唯一の総合団体であり、クレジット取引を行う銀行系、流通系、信販系、メーカー系、中小団体などさまざまなカード会社が参画しています。2008年の割賦販売法改正の際に業界で自主規制を作って運用しており、割賦販売法で認定している認定割賦販売協会の事業も行っています。2016年12月に交付された改正割賦販売法で加盟店におけるセキュリティ対策が義務化されましたが、それに関連するクレジットカードインフラ整備とセキュリティ対策の推進も事業に含まれます。
まず、クレジットカード業界の全体像でみると、日本のクレジットカード取引はネット取引の急拡大と相俟って、右肩上がりで推移しています。2016年度は54兆円近くの取引がありました。また、インターネット通販における支払い方法として、クレジットカードは親和性が高いと言われています。
一方で、昨今、セキュリティ対策が不十分な加盟店を狙ったカード不正利用も増加しています。当協会が取りまとめている「クレジットカード不正利用被害の集計結果について」によると、2016年度は140.9億円で前年同期比では17.4%の増加となりました。漏えい事案件数もここ1年間で1.5倍に増えており、カード番号を悪用するための元となる情報が犯罪組織に多く渡ってしまっています。こうした被害を踏まえて、セキュリティ対策を推進していく必要があります。
クレジット取引セキュリティ対策協議会は、2020年に向け「国際水準のセキュリティ対策を整備する」ことを目指し、2015年3月にクレジット取引にかかわる幅広い事業者および行政が参加して設立されました。それまでのセキュリティ対策はクレジットカード会社が中心になり、消費者啓発も行いながら一生懸命進めてきましたが、キャッシュレス化、訪日外国人観光客の方々が増加する中で、国を挙げてキャッシュレス決済によるインバウンド対応を推進する動きがあります。東京五輪が開催される2020年を目標に世界水準のセキュリティ対策を実現させるため、クレジット取引セキュリティ対策協議会では関連するすべての事業者にお集まりいただき、セキュリティに対する取り組みを加速させるための検討を行っています。2016年3月現在、37事業者で構成。3月の本会議から消費者団体も会員として参加しています。
2017年3月に「実行計画2017」を策定、年度ごとに内容を更新
3つの柱をベースに実行計画を推進
2016年に発表された実行計画をベースに、年度ごとに内容を更新することが定められており、2017年3月には「実行計画2017」を策定しました。実行計画の見直しの背景として、2016年の実行計画の内容・解釈で把握しにくいところを明確にすることが挙げられます。さらに、実行計画2016における残課題および取り組みにおいて明らかとなった課題への対応結果等を反映しています。最後に改正割賦販売法(2018年5-6月頃施行)により加盟店等におけるセキュリティ対策が義務化された背景を踏まえて作成しました。
実行計画には3つの柱があります。まずは「カード情報の漏えい対策」です。そもそもカード情報が盗まれなければ悪用が発生しません。加盟店におけるカード情報の非保持化もしくは、カード情報を保持する事業者のPCI DSS準拠を基本としています。2つめの「偽造カードによる不正利用対策」は、“偽造カードを使わせない”ため、クレジットカードの100%IC化および、決済端末の100%IC化を実現させることが目標となります。3つめの「ECの不正利用対策」は、“ネットでなりすましをさせない”ため、多面的・重層的な不正利用対策の導入を掲げています。
「カード番号」「非保持化」の定義を明確化
PCI P2PEなど非保持化と同等/相当のセキュリティ対策を評価
具体的な内容として、カード情報の漏えい防止については、各主体の役割として、カード会社・PSP(決済代行業)は2018年3月までにPCI DSSの準拠を完了する必要があります。また、非対面加盟店は2018年3月まで、対面加盟店は最終的には2020年3月までに非保持化もしくはPCI DSS準拠を完了する必要があります。割賦販売法は2018年5月~6月に施行されますが、実行計画を尊重するため、対面加盟店は2020年3月に向けて具体的に対応を行っているのであれば、そのスケジュールが尊重されます。
実行計画2017のポイントとして、まず、カード情報保護対策については、非保持化実現により、マルウェアや標的型攻撃を受けた場合でもカード情報の漏えいを防ぐことができることから、偽造カードやなりすましといった不正利用の未然防止が可能となる点です。米国ではPOS端末がマルウェアに感染して情報漏えいが発生しています。実行計画2016では、加盟店のサーバをカード情報が通過しないと記載されており、POS端末そのものはどうかという質問もあったため、カード情報を電磁的に送受信しない、すなわち自社で保有する機器・ネットワークにおいて、カード情報を処理、保存、通過しないことを明らかにしています。
また、実行計画において、非保持化あるいは非保持化と同等/相当のセキュリティ措置を実現した場合は、PCI DSS準拠を求めないとしています。非保持の考えは加盟店を対象としており、自社の中で情報を保有していたとしても、カード番号と見なされないものは同等の措置でも対応できます。カード番号とは見なされないものとは、窃取されても“無価値“なため、悪用されないことです。これは、カード番号を不可逆な番号に置き換えた「トークナイゼーション」、カード番号16桁のうち頭6桁、下4桁は残して、真ん中の6桁を外すことで復元を防ぐ「トランケーション」があります。
また、非保持化と同等の措置として、暗号化等の処理によりカード番号を特定できない状態および自社内で複合できない仕組みとして、非保持と同等相当のセキュリティが確保できる場合、非保持と同等/相当の措置として扱います。これは、PCI P2PE(PCI Point to Point Encryption)による暗号化の仕組みが挙げられます。また、百貨店やスーパーなどで採用されている「ASP/クラウド接続型による内回り方式」においてもPCI DSS準拠のスコープから外すことが可能です。
EC以外の非対面取引におけるカード情報保護として、割賦販売法ではEC加盟店以外の加盟店において、電話を利用した通販(メールオーダー・テレフォンオーダー)、郵便なども対象となります。こちらは、紙媒体のまま保存する場合は非保持となり、電磁的に持っている場合にのみ保持となります。
2017年度の重点的な取り組みとして、カード情報漏えいが継続して発生していることを踏まえ、非対面加盟店におけるカード情報非保持化もしくはPCI DSS準拠に向けた取り組みとして、2018年3月までの完了を目指します。対面加盟店については、非通過型への移行を基本とし、また、ネット通販は通過型のモジュール型、非保持やトークンの非通過型に分かれますので、通過型はログにカード番号が残っている可能性もあるため、早急にシステムログの消去を求めるとともに、非通過型への移行を推進します。PCI DSS準拠に向けては、対象範囲(スコープ)を最小化し、加盟店側の負担軽減を図る事例の検討・共有に取り組むともに、カード会社とPSPにおける早急なPCI DSS準拠完了を目指します。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」の一般社団法人日本クレジット協会 セキュリティ対策推進センター センター長 飯田 和徳氏の講演をベースに加筆を加え、紹介しています。