求められる業界の連携情報の非保持化とPCI DSS準拠が要件に

日本経済新聞出版社の許可を得て、「日経MOOK」に掲載された内容より転載したものです。
記事作成時点の情報のため、その後予告なしに変更されることがあります。あらかじめご了承ください。

142億円に上る被害総額 適切な情報管理を要請

近年、セキュリティ対策が不十分な加盟店を狙った攻撃により、クレジットカード情報の漏えいが多発している。
これに伴い、偽造カードの使用や本人になりすましたカードの不正使用が後を絶たない状況だ。セキュリティ事業部 セキュリティコンサルティング担当 担当課長 シニアコンサルタントの羽生千亜紀は、「特に、広域な取引者と接する電子商取引(EC)加盟店では、被害額が増加しています」と話す。

一般社団法人日本クレジット協会の報告によれば、国内での2016年のクレジットカード不正使用の被害総額は142.0億円に上り、2017年の途中経過(1~9月分)の統計ではこれを上回る176.8億円の被害が報告されている。こうした状況を受けて、政府は2016年12月に「割賦販売法の一部を改正する法律(改正割賦販売法)」を公布し、クレジットカードを取り扱う加盟店に対してクレジットカード情報の適切な管理や不正使用対策を義務付けた。
18年6月の同法の施行が目前に迫る中で、関連事業者の対応は急務といえよう。

セキュリティ事業部 セキュリティコンサルティング担当 チーフコンサルタントの池谷 陽は、
「改正割賦販売法では、加盟店に対して原則クレジットカード情報の非保持化を要請しています。一方、カード情報を保持する事業者には、PCI DSS (Payment Card Industry Data Security Standard)という国際的なセキュリティ基準に準拠することが求められています」
と語る。PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定したクレジットカード業界のセキュリティ基準だ。過去の被害の経験から、6つの目標と12個の要件で構成される。

2020年にかけて加速する対策 インバウンド需要も視野に

2020年の東京五輪を控え、政府主導で進む対策は国際水準のセキュリティ環境の実現だけではなく、同時に商取引の活性化に資するキャッシュレス化を推進することでインバウンド需要を取り込む狙いがある。羽生は、「安全な決済インフラの構築は、いまや国の重要な政策課題となっています」と強調する。セキュリティ対策の強化が進む中で、政府は2015年に民間事業者と行政が参画する「クレジット取引セキュリティ対策協議会」を設立した。協議会では、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定し、具体的なセキュリティ対策の方針として「カード情報の漏えい対策」、「偽造カードによる不正使用対策」、「ECにおける不正使用対策」という3本の柱を掲げている。

「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画」の3本柱

1. カード情報の漏えい対策(カード情報を盗らせない)

  • 加盟店におけるカード情報非保持化
  • カード情報を保持する事業者のPCI DSS準拠

2. 偽造カードによる不正使用対策(偽装カードを使わせない)

  • クレジットカードの「100%IC化」の実現
  • 決済端末の「100%IC対応」の実現

3. ECにおける不正使用対策(ネットでなりすましをさせない)

  • 多面的・重層的な不正使用対策の導入

出所:日本クレジット協会

実行計画の中では、改正割賦販売法により加盟店に義務付けられるセキュリティ基準の指針が示されている。このうち、対面加盟店でのカード情報漏えい対策は、決済環境によって「外回り方式」と「内回り方式」にわけられる。
「外回り方式」は、POSシステムを介さない決済環境の店舗に求められる方法だ。この場合、カード会社から貸与される決済専用端末(CCT)を設置し、CCT上で決済を行えば、自社のPOSシステムを介さずクレジットカード情報を情報処理センターに直接送ることができる。これによりクレジットカード情報の非保持化の要件をクリアできる。
一方、POSシステムを介した決済環境の場合は「内回り方式」の対策を検討する。これは、「PCI P2PE(PCI Point‒to‒Point Encryption)」と呼ばれ、POSシステムでクレジットカードを読み取る際、カード情報を暗号化することで情報の特定を防ぐ方法だ。そのほか、クレジット取引セキュリティ対策協議会の定めた11項目のセキュリィ要件をすべてクリアすれば、非保持化と同等・相当の措置として認められるただし、対策を進めるにあたり課題は多い。POSシステムベンダーや決済専用端末のベンダー、クレジットカードの情報処理センターなど加盟店にかかわるさまざまなプレイヤーが協力しなければ、対策を進めるのは難しい。池谷氏は「システムの入れ替えや導入にはある程度の費用や時間がかかります。本格的な対策の実施は、19年から20年の期間で急速に進むことが予想されます」と話す。

※当社は、2017年5月に国内初のP2PE評価機関PA-QSA(P2PE)として認定された


求められる業界の連携情報の非保持化とPCI DSS準拠が要件に