カードNavi, カードセキュリティ最新情報, カードセキュリティPCI DSS, カード新着情報, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

セブン＆アイ・ホールディングス、セブン-イレブンを皮切りにグループでクレジットカード情報の非保持化推進

2019年3月14日8:00

PCI P2PE ソリューション準拠のシステム導入で安心・安全な決済処理を実現

セブン＆アイ・ホールディングス（以下セブン＆アイ）は、2018 年6 月に施行された割賦販売法の一部を改正する法律（改正割賦販売法）のクレジットカード情報保護の一環として、セブン＆アイの事業会社が運営する全国の店舗のクレジットカード決済について、セブン- イレブンを皮切りに、クレジットカード情報の非保持化を順次進めている。同社では、さまざまな業態を展開する国内大手流通企業では初となるPCI P2PE ソリューション準拠およびトークナイゼーションサービスにより、“ 内回り” の運用でのクレジットカード情報の非保持化対応を実現している。

セブン-イレブンから非保持化対応
現段階で考えられる最強のセキュリティ

改正割賦販売法により、クレジットカード加盟店は、カード情報の漏えい対策のため、原則として「カード情報の非保持化」または「PCI DSS準拠」が求められている。自社システム内にカード番号などを保持するのであれば、カード情報セキュリティの国際基準である「PCI DSS準拠」が必要だ。つまり、POS内蔵型のクレジット端末で決済サービスを提供していたクレジットカード加盟店は、2020年3月までに、POSレジを含めた店舗・本部システム全体のセキュリティ強化に向けた対策が求められる。

左から、セブン＆アイ・ホールディングス会計管理部　オフィサー武石順一氏、同部シニアオフィサー太田浩氏、セブン‐ イレブン・ジャパンシステム本部店舗システム部決済・サービスシステムマネジャー篠沢良太氏

この対策として、セブン＆アイでは、2018年10月から、第7次のPOSにおいて、国内約２万店舗のセブン-イレブンでクレジットカード情報の非保持化（PCI P2PEソリューション準拠）を採用した。また、新しいセキュリティセンターを立ち上げ、グループとしてシステムを一本化。2019年4月からは、イトーヨーカ堂、ヨークベニマル、ヨークマート、セブン＆アイ・フードシステムズの約1,000店舗を対象に非保持化を広げていく方針だ。

導入に向けては、カード会社のジェーシービー、および日本カードネットワークの協力を得たため、スムーズに進んだという。セブン＆アイ・ホールディングス会計管理部シニアオフィサー太田浩氏は、「セブン-イレブンはPOSの更新時期のタイミングに合わせて、P2PEソリューションを導入することができました。今回の非保持化は、クレジットカード会社のノウハウと、当社グループが持つ小売として必要なサービスについて、両者の思いを徹底的にぶつけあって、つくりあげた、現段階で考えられる最強のセキュリティであると自負しています」と話す。日本カードネットワークでは、セブン＆アイ対応をファーストユーザーとして各加盟店向けに、2018年7月にP2PEソリューション認定を取得している。また、決済端末はパナソニック製のP2PE対応端末を採用した。

決済処理情報は都度暗号化し、トークン処理
ハウスカードによる販売促進策も可能に

セブン＆アイが採用した「PCI P2PE」とは、国際カードブランドによって設立された「PCI SSC」が定めるセキュリティ基準であり、クレジットカード情報をクレジット端末からセンターまで非保持化する手段だ。また、トークナイゼーションサービスは、会員番号とは別の番号を払い出し、カード番号とは異なるトークンを利用して、安全な決済取引の実現を目指すものだ。

P2PEソリューションの採用により、毎回鍵情報が変更され、従来POSシステム内で行っていたクレジットカード判定処理（ポイント付与や値引きも含む）は、セキュリティセンターのシステムで行うことにより、クレジットカード情報の非保持化を実現し、安全性を高めた。

また、トークン化により既存の会計処理やカード販促処理との連動が実施可能だ。例えば、クレジットカードの処理に加え、「セブンカード」を使用したイトーヨーカドーの8の付く日のハッピーデーの割引サービスなどの販売促進策を同時に実現できる。ハウスカードを推進する企業の場合、そのカード番号の処理の関係で、PCI DSSの対応が求められるが、P2PEソリューションとトークン処理によりカードを活用した販促活動が可能になるとともに、非保持化同等相当の運用を実現可能だ。