PCI P2PEソリューションによるPCI DSS準拠 -外回り接続における様々な課題

クレジットカード取引におけるセキュリティ対策の強化の要請及びPOS加盟店における課題

2016年2月23日、クレジット取引セキュリティ対策協議会から『クレジット取引におけるセキュリティ対策強化に向けた実行計画-2016-』が発行された。

POS加盟店など対面加盟店は、カード情報の非保持化またはPCI DSS準拠を2020年3月末までに対応する必要がある。加えてIC(EMV)対応も2020年3月末までに実施しなければならない。2016年末に予定されている割賦販売法の改正では加盟店側にもPCI DSSや非保持化などの情報管理対策やIC対応などの本人確認対策も義務化される議論がなされている。

ところが、POS加盟店がそれらの施策を実施していくためにはECなど非対面加盟店と比較し、特有の課題がある。一つ目は、リアル店舗で必要なICカード(EMV)対応のためのカードリーダ端末の導入費用である。従来型の磁気ストライプ取引のようにPOS端末にカードリーダを内蔵するのではなく、カードリーダ端末を外付けでPOS端末に接続することがEMVやPCI基準の認定を考慮すると総合的にコスト負担は低いといわれている。だたしそれでも導入しているPOS端末と同じ数の外付けカードリーダ端末とPOSシステムの改修費用には多額の投資を要することが予想される。

二つ目は、非保持化の方法がEC加盟店と比較して少ないことである。EC加盟店向けには「リダイレクト（リンク）型決済」、「JavaScript型決済」など非保持を実現する決済サービスがすでに提供されているが、POS加盟店向けには非保持化を推進するためのサービスはほとんどない。非保持化が選択できないとなるとPOS加盟店はPCI DSSの準拠をしなければならない。
三つ目は、仮にPCI DSS準拠を選択したとなるとPOS加盟店のコスト負担は、EC加盟店と比較するとはるかに大きい。例えば、店舗内の POS 端末のパッチ適用の運用や無許可の無線 LAN の検査など店舗の数だけ対応する必要がある。POS加盟店の店舗を含んだPCI DSS運用コストは莫大である。最後にすでに延期されたとはいえ、いずれ対応が必要な消費税変更によるPOS改修、そして軽減税率対応など、POS加盟店にはクレジット取引セキュリティと同等もしくはそれ以上の優先順位でやらなければならない課題が山積みなのである。

CCTをPOS端末と連動させる外回り接続における様々な課題

実行計画に話を戻したい。実行計画（P12）では、共同利用端末（以下CCT）をPOS端末と連動させる外回り接続（POS端末の内部を伝送経路として経由しない）を導入した加盟店は、カード情報非保持、すなわちPCI DSS準拠が不要と扱われているが、本当にそれでよいのだろうか？

POS 加盟店のCCT連動型(外回り接続)のオーソリ処理（図1）

たしかに今回のCCT連動外回り接続の場合は、図1のとおりPOS端末に引き渡すデータは金額と取引結果のみとしているので、カード情報はPOS端末を経由しない。ただしこの形態だけで本当に今回の実行計画でいうカード情報が非保持と言えるのだろうか。実行計画における非保持の定義はカード情報が「通過」、「処理」、「保存」されていない状態をさす。この解釈からすると、店舗に設置するCCTでカード会員データを通過／処理している限り、店舗自体がPCI DSSの対象範囲となり準拠が必要と解釈される。また最近ではCCTもインターネット経由のVPNで接続されるケースも多く、POS端末を経由しなくとも店舗内のスイッチやファイアウォールのみならずWi-Fiアクセスポイントなどのネットワーク機器を経由して伝送されている場合もあるので何も対策しなくていいということはないだろう。なおPCI SSCから公式に提供されているSAQ B（ダイアルアップ接続）及びSAQ B-IP（インターネット経由の接続）は、スタンドアロンのカードリーダ端末のみの加盟店に適用することを意図している。これはすなわち、外回り接続CCT連動型におけるカード決済もPCI DSS準拠が必要ということになる。

また、POS加盟店のセンター側についてはどうだろうか。一般的にPOS加盟店のセンター側はプロセッサから売上集計処理のため売上還元データを取得する。（図2）その還元データには、売上データと紐付いたPAN（カード会員番号）が入っていることが多い。そのため、ASP事業者などを介さずにプロセッサからダイレクトにPOS加盟店のセンター側で売上還元データを受け取る場合、センター側は非保持にはならないためPCI DSS準拠が必要である。

POS 加盟店 CCT連動型(外回り接続)の場合の売上集計処理（図2）

レジの接客オペレーションはどうか。CCT連動型を採用した場合は、従来のPOS端末内蔵型の際には一体だったPOSのレシートとカードの伝票が分かてしまう。また独自の会員特典が受けられるポイントカードと提携クレジットが一体になったカードの場合、ポイント処理のためにICと磁気ストライプの二度処理が必要になるなど、店頭の業務の変更やPOSの改修が必要になるといわれている。レジの待ち時間を秒単位で短縮することを懸命に努力をしているPOS加盟店にとって上記の変更は受け入れられるだろうか。

結果として大手POS加盟店では、現実的にはカード情報についてPOS端末の内回り処理を選択することが想像される。CCT外回り接続の導入は、POS加盟店が最もコスト安く実行計画におけるカード情報保護と本人確認強化の対策を実現できる方法であろう。推奨するべき手法であるが、前述の様々な理由により、すべてのPOS加盟店が容易に受け入れられるとは言えない実態がある。

また、当社ブログ記事『 国内のPOS加盟店からカード情報流出事件が発生 -POSシステムを狙う新手のサイバー攻撃-』でも紹介したように、POS加盟店でPCI DSSに準拠したとしてもカード情報流出事件にあってしまうという事態が起こり得る。

POS加盟店は、非保持化も困難で、PCI DSS に準拠した場合でもこのような攻撃に遭うリスクがあるとしたら、どうすれば良いのだろう。次回は、PCI DSS準拠に関して先進国であるアメリカを中心に、有効な方法として評価されている「PCI Point-to-Point Encryption（P2PE）」という基準について詳しく解説したい。

（著：ｆｊコンサルティング　代表取締役CEO　瀬田　陽介）


次の記事 ： 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」
関連記事 ： 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 後編」