2018年6月25日8:00
PCI SSCでは、グローバルでPCI DSSやPCI P2PEといったセキュリティ基準の啓蒙を行っている。また、2019年に向け、スマートフォン、タブレットに含まれている機能などによるコンタクトレスペイメント(Contactless Payment:非接触決済)の標準に着手した。PCI SSC エグゼクティブディレクター Lance J. Johnson(ランス・J・ジョンソン)氏および最高技術責任者 Troy Leach(トロイ・リーチ)氏に、PCI SSCのグローバルの状況、最新動向について話を聞いた。
国家レベルの優先課題として様々な業界、政府機関とコラボ
2018年後半にはテレフォンオーダー向けガイダンスを公開
――PCI基準のグローバルでの浸透状況からお聞かせ下さい。また、日本についてはいかがでしょうか?
Lance J. Johnson :PCI基準が成功していることを示す理由として、国家レベルの優先課題として、さまざまな業界、政府当局とのコラボレーションが実現しています。ペイメントデータ保護の重要性が、より目に見える形で理解されており、その役割が増しています。
日本では、2020年までにすべての取引がチップベースになることを目指されています。これが実現されれば、相当のセキュリティ上のインパクトが実現されると思います。
――日本ではMO・TO(メールオーダー・テレフォンオーダー)の定義で昨年まで混乱しました。
Lance J. Johnson :PCI SSCにも多くの質問が投げかけられています。通販や電子商取引も大きな課題として取り上げられており、どのような形で関係してくるのかという質問をいただいています。準拠すべきコンプライアンスデータも他の加盟店の絡みもあってシフトします。6月には調査を行って加盟店の理解度はどのくらいなのか、アクアワイアラ(加盟店開拓)ベースで登録するのであればどの程度理解していて何か誤解があるのかを集めて判断しようとしています。その結果が、明らかになるのは年末になるでしょう。
Troy Leach :PCI SSCがスタンダードを確立するための役割として、セキュリティの教育があります。PCI SSCでは、インフォメーション・サプリメント(Information Supplement)というガイダンスを出しており、具体的なチャネルをカバーしています。昨年はeコマースのガイダンスを発表し、今年はクラウドに加え、後半はテレフォンオーダーを公開する予定です。
TSPのセキュリティのフレームワーク構築へ
コンタクトレスペイメントの標準は2019年完成を予定
――コンタクトレスペイメント向けの基準に着手されたとお伺いしました。
Troy Leach:まず、EMVCoとの連携では、ソリューションを開発する「PCI 3-D Secure Core」を発表しましたが、一例を挙げるとすればトークンサービス事業者である「トークン・サービス・プロバイダ(TSP)」があり、EMVのトークンと他のトークンが存在します。セキュリティのスタンダードを作る際、セキュリティのバリデーションプログラムがありますが、現状、TSPはそれを用いていません。たとえば、JCB、Visa、Mastercardといった国際ブランドは、各社のTSPが存在しています。PCI SSCでは、セキュリティのフレームワークを作ることを想定しています。
また、主に小規模事業者向けのコンタクトレスペイメント向けの基準にも着手しています。2月には、小規模な事業者をターゲットとして、スマートフォンやタブレットなどの市販のデバイス(COTS)により決済できる新しい標準を発表しました。これは、ドングルと呼ばれるPIN(SCRP)用セキュアカードリーダーと組み合わせ、セキュアPINエントリアプリケーションにより、加盟店のコンシューマデバイス上のPIN入力とEMVコンタクトおよび非接触トランザクションを可能にするものです。
新たなコンタクトレスの標準は、さまざまな業界の意見を吸い上げて、確立していく予定です。2月に公表したCOTSでは、暗号化せずに送ることが許されていませんが、新基準では、よりダイナミックなデータを送ることができる、つまり信用情報を送ることを想定しています。着手のタイミングは6月を考えており、このスタンダードが完成するのが2019年です。
現在の決済は、ルネッサンス的な変化の過渡期にきています。日本はユニークなポジションを確立していますが、これまでは現金取引が多く技術的にも進歩の余地があります。ダイナミックトークンも活用できるようになってきました。我々は数段階飛び越えて、既存の技術を最先端のものに組み入れていく必要があると考えています。本人確認やさまざまな認証で電話などのダイナミックなデータを使ったり、位置情報により動作を抑える活用ができます。加盟店にとって、顧客とのしかるべき取引かを示すこともできますし、銀行や店舗などにリアルタイムで情報提供することが可能となります。
――最後に、PCI SSCのキーマーケットについてはいかでしょうか?
Lance J. Johnson :キーマーケットは人口の多い国となります。新しい技術を導入しているブラジル、インドなどです。また、日本は常に主要なマーケットとしてフォーカスしています。さらに、米国や欧州など、成熟している先進国でも手を抜くことはありません。あらゆる国でPCI基準の理解を深めていきたいですね。
