今、外国人観光客数が大きな伸びを示している。政府は誘致人数の目標を4,000万人(2020年)へと、当初の倍に引き上げた。国を挙げて行われているインバウンド施策の波に乗ろうと、免税店化やクレジットカード対応を検討している小売業者も多いだろう。

ペンタセキュリティシステムズ 日本法人 代表取締役社長 陳 貞喜氏

クレジットカード決済を導入する際に注意すべきことのひとつが、セキュリティだ。国際的なクレジットカード会社5社はPCI SSC(Payment Card Industry Security Standards Council:PCIセキュリティ標準協議会)を結成して独自の安全基準を策定し、加盟店や決済代行事業者に準拠を求めている。この基準の根幹をなすPCI DSS(PCI Data Security Standard)は、カード決済の現場以外でもしばしば安全の目安として利用されているので、名前くらいは耳にされたことがあるかもしれない。

今回マイナビニュースは、セキュリティシステムのエキスパート企業、ペンタセキュリティシステムズ(ペンタセキュリティ) 日本法人の代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏を訪ね、PCI DSSの概要を解説しもらうと同時に、今後のカード決済業務での留意点や、一般企業での活用動向などについて聞いた。

カード決済ビジネスにおけるPCI DSS

冒頭、陳氏はPCI SSCが打ち出している規格基準として、次の4つを示した。

  1. PCI PTS (PCI PIN Transaction Security)
    クレジットカード端末機などのハードウェア設計および検証の規格。
  2. PCI PA-DSS (PCI Payment Application Data Security Standard)
    支払いアプリケーションがPCI DSSの要件に準拠するよう定めた開発者向けの規格。
  3. PCI DSS (PCI Data Security Standard)
    インフラ全般の安全性を総合的に判断する基準。ネットワーク、システム構成、アクセス制御など、12分類の中で準拠すべき要件が細かく定められている。
  4. PCI P2PE (PCI Point to Point Encryption)
    端末機からカード会社のDBに保存されるまでの全過程にわたった暗号化規格。

国内では、日本クレジット協会がカード加盟店やカード会社に対し、2018年3月までにPCI DSSへの準拠を求める「実行計画」を発表している。決済代行業者については2012年までに対応を終えているはずだが、もしも今、店舗にカード決済システムを導入しようとしているなら、委託先の事業者が、安全性確保の取り組みにどのくらい積極的なのかを確認しておく必要があるだろう。

例えば決済代行事業者から貸与されるPOS端末だ。既にアメリカや韓国、そして日本でも、POS端末に保存された暗号化前の情報が、ネットワーク経由で盗み出される事件が発生している。情報漏洩の当事者になってしまうのを避けるには、貸与された端末で読み取ったカード情報が、どのような仕組みで処理されるのかにも配慮した方が良いだろう。

高まるWebセキュリティの重要性

ペンタセキュリティでは、昨年、POSシステムにおけるセキュリティ暗号化ソリューション「D’Amo for POS(ディアモ・フォ・ポス)」をリリースし、こうしたリスクに対応している。カードから読み取った情報は端末に残さず、即座に暗号化した状態で決済代行事業者とデータをやりとりできる。「D’Amo for POS」の展開にあたっては、工場でPOS端末を製造する段階で暗号化モジュールをカードリーダーに組み込むという徹底ぶりで、現在、韓国にあるVAN事業者(決済の代行を含めた付加価値通信を提供する事業者)のうち6割に採用されているという。

「D’Amo for POS」の構成図

日本では決済情報の伝送に専用回線を利用することが多く、ハッキングによる漏洩リスクは少ないとされていた。しかし「コストダウンの側面から、Webアプリを使ったシステムが増えてくる」と陳氏が言うとおり、最近ではカード決済にタブレットを利用する店舗もしばしば見かけるようになった。今後はPCI DSSにのっとっていることはもちろん、どれだけWebセキュリティに積極的に取り組んでいるかが、決済代行事業者の選定・乗り換えを左右する鍵となるだろう。

すぐに取り組める「安全策」としてのPCI DSS

PCI DSSが、ひとつの安全基準として多くの企業で利用されていることは冒頭でも書いたとおりだが、そもそもカード決済というビジネスのためにつくられた基準が、なぜここまで広まったのだろうか。

陳氏によれば、PCI DSSの内容を突き詰めると「顧客の個人情報」と「取引情報」、この2つの保護を最大の目的としていることが浮き彫りになってくるという。これらの保護は、業界・業種を問わず、ほとんどの企業に共通した命題だ。さらに保護手段が事細かに規定されていることも、PCI DSSが一般企業でも利用されることになった理由のひとつだ。

「日本にも個人情報保護法などがありますが、PCI DSSには『認証に6回失敗したらアカウントをロックする』というように、かなり具体的なことまで書かれているので、すぐに活用しやすかったのでしょう。自社システムの脆弱性やポリシーのチェックにPCI DSSを使っている企業も多いようです」(陳氏)

単なる基準というだけでなく、対策の指示も兼ねたPCI DSSは、今後も幅広い業界でますます活用されるようになっていくだろう。

PCI DSSでは情報保護の手段として「データ暗号化」と「Webセキュリティの」の2つに重点が置かれていると陳氏は言うが、この2つはペンタセキュリティの製品とも関わりが深い。暗号化に関しては商用DB用の「D’Amo(ディアモ)」やOSS-DB用の「MyDiamo(マイディアモ)」、WebセキュリティではWAF「WAPPLES(ワップル)」がリリースされている。実はペンタセキュリティが本社を置く韓国では、PCI DSS以上に細かい安全規準が国家レベルで定められており、同社の製品もそれに則って開発されてきた結果、どれもPCI DSSに適合する仕上がりになっているという。

 PCI DSSが重要度を増している日本において、自社システムの安全性を担保するためのシステムを検討するなら、PCI DSSより厳格な基準をクリアした同社の製品は、安心のための有力な選択肢となりうるだろう。

(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)

[PR]提供: