訪日外国人の増加に伴い、クレジットカード決済の需要もますます高まりをみせると考えられる。そんな中、決済に際して気になるのはやはりセキュリティ面である。今後日本で各種世界的スポーツイベントの開催が予定されていることもあり、国としてもクレジットカードを重要インフラと位置づけ、各方面に安全策の強化を呼びかけている。特に経済産業省は「クレジット取引セキュリティ対策協議会」が取りまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)を推進していくことを表明し、関係各所に文書で対策強化の要請を行っている。

本稿ではセキュリティソリューションのエキスパートであるペンタセキュリティシステムズ(ペンタセキュリティ)日本法人を訪ね、代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏に、クレジット決済システムのセキュリティ対策や、そこで生まれるビジネスチャンスについて聞いた。

ペンタセキュリティシステムズ株式会社 日本法人 代表取締役社長 陳 貞喜氏

「情報の非保持」「PCI DSS準拠」は困難?

まず陳氏は実行計画の中で、カード情報の漏洩対策として「カード情報を保持する事業者のPCI DSS準拠」と「加盟店におけるカード情報の『非保持』」が挙げられていることに言及し、「これを2020年までに実現するのはかなり困難です」と指摘する。

カード情報を保持するカード会社、決済代行業者とEC加盟店については2018年3月末までにPCI DSS準拠を完了することになっているが、PCI DSSは12要件400項目にも及ぶ膨大なものであるため、そのすべてに対応するには相応の時間とコストがかかってくる。しかも実行計画は罰則のない努力目標となっているため、まだ具体的・積極的に動いていない企業も多い。これからわずか1年半で、どこまで準拠が進むかは疑問だという。

対面加盟店については2020年3月末までに「PCI DSS準拠」か「非保持」のどちらかを行うことになっているが、前者については先述の通り、対応には困難が予想される。後者の「カード情報の『非保持』」についても「今の段階では完全な非保持を実現することは難しい」と陳氏は言う。

「『非保持』とは、店舗のリーダーにカードを通したとき、そこに記録されている個人情報を端末に『残さない』『保管しない』、そしてその端末で『処理しない』ことを意味します。旧来のPOSとCAT(信用照会端末)が一体化したレジでは、読み取った情報がアプリケーションサーバを通して決済代行業者やカード会社へ平文で流れていくので、決済により発生するトランザクションの通信、もしくはメモリをハッカーが狙えば情報がすべて盗まれてしまいます。これを避けるために実行計画では、決済機能はPOSシステムの外側に配置し、オーソリゼーションやクレジットカードの売上処理がPOSシステムのサーバを通過せずに行われるように、決済専用端末連携型やASP/クラウド接続型による運用を提案しています。しかし決済の瞬間はそれで問題ないとしても、店舗内のネットワークを経由したり、カード会員番号が含まれるPANデータと紐づく売上還元データをプロセッサから取得しているケースも多く、本当の意味での非保持とは言えないところがあります」(陳氏)

POS加盟店が対応すべきクレジットカードのセキュリティ対策イメージ図

加盟店の負担を肩代わりするPCI P2PE

では加盟店でのセキュリティを高めるには、どのような方法があるのだろうか。その解決策として期待されているのがPCI P2PE(Point to Point Encryption) という仕組みだ。これは、店舗のIC端末からカード会社のアプリケーションを経て、データベースに保存されるまで、データが移動する全過程にわたって暗号化を行うもの。カード情報は読み取った瞬間に暗号化されるため、店舗および決済サーバ、そしてデータベースまでの全区間において権限のないユーザには情報がまったく見られない状態となる。全区間で平文データはなくなることで、暗号化された高度なセキュリティが実現できると言える。

実行計画に沿ってクレジット取引のセキュリティを実現していくにあたり、POS加盟店にとっての課題は山積している。今後、カード会社(イシュア)や加盟店管理会社(アクワイアラ)、あるいは決済代行業者(プロセッサ)のような大手企業が、PCI SSC(Payment Card Industry Security Standards Council:PCIセキュリティ標準協議会)が定める基準に沿った形でP2PEの仕組みを整え、サービスとして加盟店に提供すれば、課題解決のためのソリューションの提案が可能となるとともに、ビジネスチャンスにもつながるだろう。加えて、加盟店はそのサービスを利用することで、PCI DSSにある400の安全基準うちの大半の項目をパスすることができるため、「PCI DSSに準拠した店舗」として認められることが容易となる。

また加盟店にとっては、PCI DSSに準拠した店舗であると認められること以上に、カード取引が高度かつセキュアに行える環境を実現できたことに意味がある。カード取引関連会社としての社会的責任を果たすことが、最も大きな意義となるのである。手間や時間、コストが大幅に省ける上、クレジット決済の安全性をアピールできるため、P2PEの仕組みを取り入れたソリューションやサービスは大きな需要を生むと考えられる。

現在、日本国内でもPCI SSCが定めた基準を満たしているかどうかを審査・認定する機関(QSA:Qualified Security Assessors)や認定スキャンベンダー(ASV:Approved Scanning Vendors)が多数誕生している。PCI DSS準拠までのサポートを請け負っているところも多い。実行計画への準拠に留まらず、新市場を獲得するためにカード取引のセキュリティに積極的に取り組む企業が増えれば、自然と小売・IT業界全体のPCI DSSへの準拠が進み、安全度が高まるかもしれない……というのは楽観的すぎるかもしれないが、安全なカード社会を築くひとつのきっかけにはなりそうだ。

■PCI DSSに関する記事はこちらもチェック
【特別企画】カード決済導入や、自社システムの安全性チェックに! - PCI DSSについて知っておくべきこと
【特別企画】クレジットカードのセキュリティ規格「PCI DSS」とは - ペンタセキュリティ

POS加盟店のセキュリティの実現をサポートする「D’Amo for POS」

ペンタセキュリティは、カード読み取り直後から情報を暗号化し、決済の安全性を保つ「D’Amo for POS(ディアモ・フォー・ポス)」というソリューションを、既に韓国でリリースしている。POS、CAT、アプリケーションサーバに「D’Amo for POS」のモジュールをインストールし鍵管理システム(KMS:Key Management System)を導入することで、DUKPT(Delivered Unique Key Per Transaction)の実現もでき、トランザクション別に固有の鍵で安全に暗号化が可能。PCI P2PEの仕組みを用いた暗号化体制を確立できるのが特長だ。韓国国内では実に60%ものVAN事業者に採用されている。同社ではこのソリューションをいつ日本に投入するか、タイミングを伺っているところだという。

D’amo for POSのイメージ図

「2020年に向けたセキュアなカード社会を確立するために、カード会社、加盟店管理会社、決済代行業者の方々、あるいはPOSやCAT端末のメーカーの方々に、関心を持っていただければ幸いです」(陳氏)

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: