セキュリティ対策動向(PCI DSS、EMVなどの展開)

 

政府は、2016年10月18日に、加盟店に対してセキュリティ対策を義務付ける等の措置を盛り込んだ「割賦販売法の一部を改正する法律案」を国会に提出。同法案は、衆参両院において全会一致で可決、同年12 月9 日に公布された。施行日は2018年6月1日となっている。同法律施行に向け、実行計画は、「加盟店等がセキュリティ対策に関する義務を履行する際の実務上の指針となる」としている。

 

同実行計画でもっともインパクトがあったのは、2018年3月末までに、カード情報の漏えい頻度が高い非対面(EC)加盟店について、原則として非保持化を推進し、仮に保持する場合はPCI DSS準拠を求めたことだ。また、対面加盟店に関しては2020年3月までを期限としている。さらに、カード情報を保持する必要性のあるカード会社(イシュア・アクワイアラ)および PSP(決済代行事業者等)については PCI DSS 準拠を求めた。

 

特に加盟店における対策では、「カード情報を『保存』、『処理』、『通過』しないこと」となる非保持化を強く推進している。非保持化により、仮にEC サイトがマルウェアや標的型攻撃を受けた場合でもカード情報の漏えいを防ぐことができる。その一方で、自社サイトにカード情報を含む決済情報などのログが蓄積されるといったシステム的な課題を認知できていないケースもあるため、注意喚起を行うとした。

 

EC 加盟店に関しては、PCI DSS 準拠済みの PSP が提供するカード情報の非通過型(「リダイレクト(リンク)型」もしくは「JavaScript を使用した非通過型」)の決済システムの導入を促進している。Java Script を使用した決済は、多くの決済代行事業者が提供を開始しているように、サービスの裾野も広がってきた。

 

新規の加盟店については非通過型決済を推進し、既存の加盟店については、カード情報を保持しない非通過型システムへの移行を強く推奨している。なお、メールオーダー、テレフォンオーダーの加盟店においては、電話・FAX・はがき等での顧客からの注文によりカード決済をする場合、カード情報を紙媒体のまま保存する場合は非保持となる。しかし、それらカード情報を電磁的情報として自社で保有する機器・ネットワークにおいて「保存」、「処理」、「通過」する場合においてはPCI DSS 準拠を求めるとしている。

 

昨今では、非保持化を実現したEC加盟店が、電話・FAX・申込書などの対応で苦労するケースが目立つ。従来通り電話や紙媒体で伝えられた顧客のクレジットカード情報を、自社で保有するPC等の機器やネットワークを通じて処理することは、クレジットカード情報の保持にあたるため、PCI DSSへの準拠が必要となるからだ。そのため、大手の決済処理事業者は、各社が提供するセキュリティ条件を満たした専用決済端末と専用回線でカード情報を処理し、非保持化を実現させるソリューションを提供している。

 

リアルの加盟店に対して、協議会では、IC 対応に関し、コスト負担の低減が図れる方法について、決済専用端末(CCT:CreditCenter Terminal)連動型、 決済サーバ接続経由型、ASP/ クラウド接続型に整理している。中小の加盟店ではCCT などの決済専用端末のIC 対応が進んでいるものの、POS システムを導入している大型加盟店においては対応が遅れている部分もある。実際、平成28年度経済産業省委託調査(2016年10月時点)によれば、加盟店の決済端末のIC対応完了は全体で16.7%であり、規模の大きい加盟店ほど対策が遅れている結果となった。

 

大型加盟店では、カード情報を電磁的情報で自社内を「通過」させないよう、POS の機能と決済機能を分離すること、IC 対応した決済専用端末からカード情報を電磁的情報で自社内に取り込まないこと(外回り方式)によってカード情報の非保持化を実現するケースも出てきている。

 

実行計画では、POS の機能と決済機能を分離することを推奨。暗号化などにより自社内で復号できない仕組みとすれば、「非保持化」と同等/ 相当のセキュリティ措置として扱うという、PCI P2PE(PCI Point to Point Encryption)などについても触れている。

 

さらに、イシュイングに関しては、2020 年までに100%のIC化の目標を立てている。一方で、国際ブランド搭載のプリペイドカードの発行も拡大しているが、IC 化していないカードもあるため、今後の取り組みが期待される。

 

EC における不正使用対策に関しては、カード会社(アクワイアラ)および PSP は、不正使用対策が脆弱なEC加盟店のうち、不正使用の対象となるリスクが高い「カード番号+有効期限」のみで決済を行い、本人認証技術等の不正使用対策を講じていない加盟店に対して、多面的・重層的な不正対策を行うように働きかけるとしている。しかし、これまではこれといった決め手がなかったのも事実だ。

 

本人認証に関しては、「3-D セキュア(Secure) 2.0 」へのバージョンアップが注目される。取引内容等の高リスク取引のみ本人認証を行うなどの制御が可能になることで、利便性とセキュリティを両立することができ、これまでの3-D セキュアの課題を解決できると期待されている。今後は、Amazon、楽天市場、Yahoo! ショッピングなどの大手モール、EC サイトでの普及が進むかが、推進の鍵を握るだろう。

 

また、ジェーシービーや三井住友カードでは、インターネットショッピング認証サービスにおける本人認証用パスワードとして、動的認証を導入している。3-D セキュア2.0 では、動的認証を採用するため、さらに対応するイシュアが増えると期待される。

 

近年は、カードを提示しない非対面でのCNP(Card Not Present)の不正が目立っており、クレジットカードが第三者に不正利用される被害も顕在化している。その対策として、不正なカード決済を未然に防ぐフラウドツール(不正検知システム)にも注目が集まっている。

共通ポイントサービスの動向、複数のサービスがしのぎを削る

流通業における顧客サービスの変遷をみると、1960年代からポイントの先駆けとなるサービスが紙で登場し、1980年代後半になると百貨店を中心に顧客の囲い込みの観点でカードが発行されるようになった。1989年には、ヨドバシカメラがポイントカードの発行を開始。1990年代の後半からはスーパーやコンビニエンスストアなどが顧客を特定する会員サービスを開始している。昨今では「Tポイント」や「Ponta」、「楽天ポイントカード」、「dポイント」といった共通ポイントの展開もあり、大規模な会員組織を持つ企業が外部に会員基盤を拡大させる動きも目立つ。共通ポイントに加え、大手家電、百貨店、CVS、ドラッグストアなどが発行するカードも大規模な会員数を誇る。

主要ポイントサービス

カード決済&セキュリティの強化書2018

 

 

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP