追記:2017年3月8日(水)に経済産業省が主導する「クレジット取引セキュリティ対策協議会」が発表した「実行計画2017 (※1)」を受けて、カード情報を取扱う事業者はカード情報の非保持化または PCI DSS 準拠を行う必要があります。
※1
「クレジット取引セキュリティ対策協議会」が発表した実行計画
最新の実行計画、PCI DSS準拠についてお問い合わせ、当社サービスに関しては、下記フォームより承ります。
—
前回は、経済産業省が2014年の夏と年末にかけて発表した「クレジットカード決済の健全な発展に向けた研究会の中間報告書」、「キャッシュレス化に向けた方策」におけるカード会員データの「情報漏洩対策」に関する指針について解説した。
今回はPOS加盟店におけるクレジットカードセキュリティの課題について解説する。
POS端末における「IC化」と「情報漏洩対策」に関する指針に関する箇所は以下の通り。(抜粋)
▽ IC化
・ 2020年までに流通しているクレジットカードの100%IC化を目指す。
・ 特に大手流通事業者のPOS端末におけるIC対応の促進を図る(中小流通事業者に対しては一定の配慮を検討する)。
▽情報漏洩対策
・ 国際的な基準に見合ったPOS端末の安全性確保に向けたガイドラインの作成
|
---|
ご存知の通り、POSシステムはどのような商品がいくつ売れたかなどを記録し、在庫管理や販売戦略に活かすシステムである。POSシステムには販売情報のみならず、顧客情報やクレジットカード情報などの決済情報も合わせて管理されているものが多い。国内におけるクレジットカードセキュリティに関するPOSシステムには大きく2つ課題があるといわれている。情報漏洩対策と表裏一体といわれているIC化推進とPOSシステムの情報漏えい対策である。
POSシステムのIC化の課題
欧州のSEPA(※1)域内では、2010年12月末をもってEMV化(カード、ATM、決済端末の全てが対象)を完了するという明確な計画の下で100%対応が完了した。他方、多数の決済端末とクレジットカードを保有する超巨大市場の米国では、多額のコスト負担を理由にEMV化が遅々として進まず、2013年時点までは、IC化の最後進国と言われていた。
しかし米国でこの状況が一変する大きなきっかけとなる事件が発生した。2013年末から翌年にかけて、北米に1,916店を保有する小売業チェーンのTarget社がPOS端末を含む店内のネットワークに侵入され4,000万件を超える大量のクレジットカード情報を含む個人情報が流出する事件が多数発生した。この事件は社会問題に発展し、米国政府は大規模な安全対策に乗り出した。
2014年10月17日に、オバマ大統領は連邦政府機関がクレジットカード決済のセキュリティ強化を推進していくことを定めた大統領令に署名した。これは、2015年1月以降、ICチップ搭載カードの導入を推進する内容である。ICチップが内蔵されたクレジットカードをIC対応のPOS端末で読み込めば、データを盗むことができたとしても偽造カードによる不正を防ぐことが期待できる。連邦政府によるトップダウンによりICカード普及が最後進国といわれた米国の状況は大きく変化した。
一方、日本では2000年より発行カードのICチップの搭載は推進されており、国内の現在約65.6%が新規発行カードでIC対応がなされている。また共同利用端末(CCT)においてもIC読み取り機能の実装は進んでいるため、比較的カードトランザクションが少ない加盟店においては推進可能な体制にある。但し、カード読み取り機がPOS端末と一体化された形態においては非常に遅れており、一部の百貨店や大手家電量販店を除き、POS端末の大半が、IC化の対応がなされていないといわれている。
日本のPOS端末は、独自のポイントシステムや提携クレジットカードの連動など顧客毎のカスタマイズ要件が一般に多い。その結果、耐用年数も5~7年程度で想定しているという。システムリプレースの際にIC化を進めようとした場合でも、カスタマイズしたPOSの改修が必要となるため単なるパッケージのバージョンアップとはいかない。そのためカスタムコードを含めたアプリケーション改修が必要となり、改修に大きなコストと時間がかかる。結果IC化対応が進んでいないのが実情である。
POSシステムの情報漏えい対策の課題
パート1ではインターネットなど非対面の加盟店の非保持化について触れたが、対面の加盟店でも同様にカード情報の非保持化が推奨される。しかし対面加盟店の中でとりわけ非保持化が困難なのは、POS加盟店といわれている。大半のPOSシステムや店舗サーバにはカード情報が保存する仕組みになっており、加盟店は意図せず保存してしまっている現状がある。
また主要国内メーカの大半の仕様は、カード情報の中でもセンシティブ認証データとしてPCI DSSや国際ブランドから明確に保存が禁止されている全磁気ストライプ情報が保存されているケースもある。加盟店からするとそれらのルールを遵守しようとすればPOSシステムの改修が必要である。前述のとおりカスタマイズされているPOSシステムであれば、メーカの汎用のバージョンアップでは対応できず、多額の個別改修費がかかってしまう加盟店もあるという。
一般にPOSシステムは、店舗サーバや本部サーバなどに取引データをカード番号と紐付けて管理するということもあり、トランケーションなどの処理で判読不能処理することさえ困難であるといわれている。インターネット加盟店のような加盟店に代わってカード情報を保存してくれ、加盟店のカード会員情報の非保持化を連携する決済代行事業者も現在はない。よってPOS加盟店は、やむを得ずカード情報を保存する加盟店としてPCI DSS準拠が要求されることになる。POS加盟店のPCI DSS準拠対応は、各店舗のPOSの改修が必要になるケースもあり、一般に非対面の加盟店と比較してコストがかかるといわれている。
2つの課題に対する対応策
経済産業省や学識者や国際ブランド、カード会社、加盟店、機器メーカなどの業界が2015年3月にクレジットカードセキュリティ対策協議会を設置し、その中のワーキンググループにて具体的な推進を行っていくことになった。同協議会が2015年7月23日に発表した「クレジット取引セキュリティ対策協議会 中間論点整理と今後の検討の方向性について」では、以下の通りまとめた。
▽ IC化
1) 現行のPOSシステムの全面的なIC化対応システムへの転換
2) 現行のPOSシステムに決済専用端末(CCT端末等)を設置・連動した対応
3) 国内外の新たな取組みを参考にPOSとカード決済機能の分離や共同センター化による新たな仕組みの検討
▽情報漏洩対策
….POSデータとともにカード情報も保持する仕組みになっていることが非保持化を困難とさせる要因であると考えられることから、
例えばPOS システムとカード決済機能の分離、非保持化に伴う運用面の変更等の新たな検討 が必要である。
|
---|
まずは、IC搭載のカード発行に関しては、本協議会のワーキンググループでも直接的に課題になっていないことから 2020年までに100%を達成可能との判断と解釈する。裏を返せば、最も難易度の高いPOS加盟店のIC化対応が、業界全体で検討してくことが最優先課題であるということであろう。現行POSシステムの大幅な改修コストが障害となる加盟店向けに共同利用端末(CCT)の設置とPOS連動など、オペレーションも含めた方法論も模索していくとのことである。
また前述の主要国内メーカのPOS端末がPCI DSSに準拠した仕様になっていないなどの問題もPOSメーカを交え、IC化と合わせて対応してくという。POS加盟店が、インターネット加盟店同様にカード情報非保持化を推進していく上で必要な共同センターの役割などもカード会社や決済代行事業者などが検討を進めていくと推測される。
一方で国際ブランドのVisaが、2015年10月のライアビリティシフト(※2)を開始する。カード決済で偽造カードなどを使用した不正行為が起こった場合、これまでカード発行会社(イシュアサイド)の責任だったものが加盟店募集するカード会社(アクワイアリングサイド)の責任に変わる。これらの不正は非対面加盟店におけるチャージバック同様に発生した加盟店側に請求する形態となることが予想される。ライアビリティシフトによって、きちんとした対策を講じていない場合の責任が移行することが、加盟店における決済端末のIC化投資の強い動機付けとなることを期待する。
※1 Single Euro Payment Area(単一ユーロ決済圏)の略称 EU加盟国を含めた32カ国において、国内外の区別なくユーロ建ての小口決済が行える地域・およびそれを実現するスキームのこと。
※2ライアビリティシフトとは、IC対応していないATMや決済端末において、ICカードが使用された場合の偽造詐欺について、加盟店と契約しているアクワイアラに債務責任を課すこと。
参考リンク
「日本再興戦略」改訂 2014 -未来への挑戦- 平成 26 年 6月 24 日クレジットカード決済の健全な発展に向けた研究会 中間報告書 平成26年7月 経済産業省キャッシュレス化に向けた方策 平成26年12月26日 内閣官房 金融庁 消費者庁 経済産業省 国土交通省 観光庁日本におけるクレジットカード情報管理強化に向けた実行計画 平成 23 年 3 月 日本クレジット協会