カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, カード新着情報, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

国内の決済サービス、セキュリティ対策の動向を紹介　支払いツールとして、さらなる浸透が鍵に

クレジットカード情報保護対策は実行フェーズへ
コンビニではP2PEによる運用も

カード決済のセキュリティ対策として、クレジット取引セキュリティ対策協議会（協議会）は、2020年に向けて国際水準のクレジットカード取引のセキュリティ環境を整備するため、クレジットカード会社や加盟店をはじめとする各主体が講ずべき措置を取りまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定している。実行計画では、(1) クレジットカード情報保護対策、(2) 対面取引における不正利用対策（偽造カード防止対策）、クレジットカード偽造防止による不正利用対策、(3)非対面取引における不正利用対策（なりすまし防止対策）の3本柱に分けられる。

そのうち、クレジットカード情報保護対策では、2018年3月末までに、カード情報の漏えい頻度が高い非対面（EC）加盟店について、原則として非保持化を推進し、仮に保持する場合はPCI DSS準拠を求めた。また、対面加盟店に関しては2020年3月までを期限としている。さらに、カード情報を保持する必要性のあるカード会社（イシュア・アクワイアラ）および PSP（決済代行事業者等）については PCI DSS 準拠を求めている。

実行計画では、要件を満たした決済専用端末やタブレット端末を活用した外回り方式の導入により「非保持」、PCI P2PE認定ソリューションを導入、もしくは協議会において取りまとめた技術要件に適合するセキュリティ基準（11項目）を満たせば、内回り方式でも非保持と同等/相当と認められる。なお、PCI P2PE認定ソリューションは、PCI DSS同様にPCI SSCが管理している基準だ。たとえば、セブン&アイ・ホールディングスでは、クレジットカード情報の非保持化（PCI P2PEソリューション準拠）をセブン‐イレブンより開始している。

現在、実行計画策定から3年以上経過しているが、クレジットカード情報保護に関しては、各事業主体共に実行フェーズに入っている状況だ。また、PCI DSSや非保持化に対応している加盟店、PCI DSSに準拠しているカード会社やPSPに対し、そのセキュリティ対策を維持・運用する点が重要であるとしている。

日本クレジット協会では、加盟店へのIC 対応に向けた周知活動にも力を入れる。消費者がIC 対応加盟店であることを認識・識別できるよう、IC 対応済みであることを示す「共通シンボルマーク」・「IC 対応デザイン」を策定

EC 加盟店に関しては、PCI DSS 準拠済みの PSP が提供するカード情報の非通過型（「リダイレクト（リンク）型」もしくは「JavaScript を使用した非通過型」）の決済システムの導入を促進している。Java Script を使用した決済は、多くの決済代行事業者が提供を開始しているように、サービスの裾野も広がってきた。

クレジットカードの偽造防止対策に関しては、クレジットカードおよび加盟店の決済端末のIC対応100％実現という明確な目標がある。実行計画2018では、加盟店の決済システムのIC対応に向けた取り組みとして、特定業界向けのIC対応指針の策定が挙げられる。ガソリンスタンドに関しては、フルサービススタンドでの車内精算など日本固有の商慣習、セルフスタンドでの給油機一体型の自動精算機、その他防爆準拠（消防法等）の課題があるため、2020年時点でのIC対応における実現可能な方策を示した「国内ガソリンスタンドにおける IC クレジットカード取引対応指針」が取りまとめられた。

また、駐車場、鉄道、ガソリンスタンドなど、国内で広く普及しているオートローディング方式の自動精算機については、国際的なセキュリティ基準である「PCI PTS」に準拠することが技術的に難しいことから、代替コントロール事例を示す「オートローディング式自動精算機のIC化対応指針と自動精算機の本人確認方法について」が取りまとめられた。

さらに、2017年に策定された接触型IC取引を対象とした「ICカード対応POSガイドライン」に加え、2018年は「非接触EMV対応POSガイドライン」が策定された。

非対面取引における不正利用対策に関しては、EC における不正使用対策については、カード会社（アクワイアラ）および PSP は、不正使用対策が脆弱なEC加盟店のうち、不正使用の対象となるリスクが高い「カード番号＋有効期限」のみで決済を行い、本人認証技術等の不正使用対策を講じていない加盟店に対して、多面的・重層的な不正対策を行うように働きかけるとしている。

また、実行計画が策定された当初は「ECにおけるなりすまし対策」だったが、法令との平仄を合わせて、「実行計画2018」からは、いわゆる「MO・TO（メールオーダー・テレフォンオーダー）」など、インターネット以外の通信手段による通信販売事業者も対象となるように明記されている。

ポイントサービスでは共通ポイントがしのぎを削る

昨今では「Tポイント」や「Ponta」、「楽天ポイントカード」、「dポイント」、「WAON POINT」といった共通ポイントの展開もあり、大規模な会員組織を持つ企業が外部に会員基盤を拡大させる動きが見受けられる。

また、共通ポイントに加え、大手家電、百貨店、CVS、ドラッグストアなどが発行するカードも大規模な会員数を誇る。流通業における顧客サービスの変遷をみると、1960年代からポイントの先駆けとなるサービスが紙で登場し、1980年代後半になると百貨店を中心に顧客の囲い込みの観点でカードが発行されるようになった。1989年には、ヨドバシカメラがポイントカードの発行を開始。1990年代の後半からはスーパーやコンビニエンスストアなどが顧客を特定する会員サービスを開始している。近年では、モバイルを活用した取り組み、決済との連動も見受けられる。