経済産業省によるクレジットカード決済に関する安心・安全指針と情報漏洩対策

安倍政権における閣議決定

2014年6月24日に閣議決定された「日本再興戦略」改訂において、2020年オリンピック・パラリンピック東京大会の開催等を踏まえ、
キャッシュレス決済の普及による決済の利便性・効率性向上を図るため、関係省庁において年内に対応策をとりまとめる旨が盛り込まれた。

それを受けた形で経済産業省は、2014年7月11日に、「クレジットカード決済の健全な発展に向けた研究会の中間報告書」、2014年12月26日に、「キャッシュレス化に向けた方策」を発表した。クレジットカード行政は、一見金融庁によって担われているように思われがちだが、経済産業省がクレジットカード取引の根拠法となる割賦販売法の所管でもあり、クレジットカード行政を担っている。

経済産業省が今回発行したそれらの文書にて示されているクレジットカード決済に関する安心・安全への取組の指針は以下の通りである。

クレジットカード決済に関する安心・安全への取組の指針
1. IC化に関する指針 2. カード会員データの「情報漏洩対策」に関する指針 3. なりすまし防止に関する指針 4. 加盟店審査に関する指針

カード会員データの「情報漏洩対策」とは？

今回は、2.カード会員データの「情報漏洩対策」に関する指針について詳しく解説したい。
カード会員データの「情報漏洩対策」に関する指針は以下の通りである。

情報漏洩対策に関する指針
・加盟店に対し、カード情報非保有化の徹底を図る。・やむを得ずカード情報を保有する加盟店及び決済代行会社などプロバイダーに対しては、PCI DSSへの準拠を求める。・国際的な基準に見合ったPOS端末の安全性確保に向けたガイドラインの作成・加盟店からの情報漏えいを防ぐ取組を加盟店自身に求めるルール等を検討・ＡＴＭについても、スキミング被害防止に向けた様々な対策を講じるよう求めていく。

情報漏洩対策に関する指針

・加盟店に対し、カード情報非保有化の徹底を図る。
・やむを得ずカード情報を保有する加盟店及び決済代行会社などプロバイダーに対しては、PCI DSSへの準拠を求める。
・国際的な基準に見合ったPOS端末の安全性確保に向けたガイドラインの作成
・加盟店からの情報漏えいを防ぐ取組を加盟店自身に求めるルール等を検討
・ＡＴＭについても、スキミング被害防止に向けた様々な対策を講じるよう求めていく。

近年公表された国内における大規模情報流出事案（1万件以上のもの）は、その全てが加盟店からの情報流出である。現状でも、外部からのSQLインジェクションなどの手法によるインターネット加盟店への攻撃は後を絶たない。

これらは現在でも増加傾向にあり、「加盟店におけるカード情報非保有化」は、最優先の対応事項であるといえる。加盟店においてカード情報が非保有であれば、仮に情報漏えい事件が起きたとしても過去のカード会員データを保存していないため、大規模なカード情報漏えい事件にはなりにくい。カード情報非保有化が進めば、大規模情報流出事案は、減少するという行政側の期待がある。

やむを得ずカード情報を保有する加盟店及び決済代行会社などプロバイダ（PSP）には、速やかなPCI DSSへの準拠を経済産業省自らが要求している。

決済代行会社は、契約するカード会社（アクワイアラ）との契約関係により当然のようにPCI DSSが必要となることは周知の事実であるが、加盟店ではまだまだ進んでいない傾向があるため、割賦販売法に定められる一般社団法人日本クレジット協会が2011年に発表した「日本におけるクレジットカード情報管理強化に向けた実行計画」どおりの推進を期待する。

カード情報が非保有でもPCI DSSが必要？

次にクレジットカード会員情報は非保有だが、伝送、処理している加盟店の場合でも注意が必要だ。

なぜならば、非保有の加盟店からも情報流出が起きている事実がある。カード会員データを伝送、処理しているWebサーバやアプリケーションサーバにバックドア（※）と言われる不正な中継プログラムを仕掛け、正規のトランザクションが処理、伝送されると同時に外部の不正なサーバにも伝送するという手口である。

※バックドアとはソフトウェアやシステムの一部として利用者に気付かれないように仕込まれた、正規の利用者認証やセキュリティ対策などを回避して遠隔操作するための窓口のこと。

そのため、アクワイアラから通報があり、その加盟店が気づくのが仮に6ヶ月後だったとすると6ヶ月間のトランザクション総数が流出したことになる。よって保存している過去のすべての取引データが抜き取られるSQLインジェクション攻撃よりも圧倒的に被害件数は少なくなる傾向であるが、一度流出したカード情報が、原則二度と使えなくなることに変わりない。カードの再発行の手数料や不正な買い物の被害額が、流出させた加盟店に賠償請求される。非保有の加盟店に関するリスクの詳細は、第１回の「決済代行のクレジットカード情報非保持サービスは安心か？」を参照してほしい。

なお国際ブランドやPCI SSCは、カード情報非保有の加盟店であってもPCI DSSの準拠を公式には求めている。ただし保存している加盟店の準拠要件数は約400項目に対して、非保有の加盟店が対応しなければならない要件数は飛躍的に少なくなる。

これらの被害実態を考慮して、行政指針も見直されることを期待する。

ここまではインターネット加盟店の話題が中心であったが、次回は、POS 加盟店など対面加盟店の課題やATMのスキミングへのセキュリティ対策について論じたい。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する

PCI DSS Ready Cloud マネージドモデルはこちら

■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適

PCI DSS Ready Cloud AWSモデルはこちら

■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス

PCI DSS準拠支援コンサルティングはこちら