2017.02.24
先進国で遅れをとる日本の「クレジット取引セキュリティ」
- BLOGトップ
- 先進国で遅れをとる日本の「クレジット取引セキュリティ」
日本のクレジットカードが危ない。「日本のカードセキュリティは、先進国やアジア諸国の間で相当な遅れをとる状況になってしまっています」と、fjコンサルティングの瀬田陽介氏は警告する。
磁気ストライプはカード情報が磁気部分に記録されたもので、簡単にダビングして偽造カードをつくることができる。また主にカードを提示しない非対面取引の際に本人確認として使用されるセキュリティコードも、磁気ストライプには入っていないものの、多くは3桁の数字で、しかもカードの裏面に印刷してある。今となってはセキュリティと呼ぶのもためらうほどの危うさだ。
一方で、EMV(EuroPay、MasterCard、Visa)が提唱したICチップ方式は、カード情報と暗証番号(PINコード)がカード内のICチップに保存されている。ICチップの偽造は不可能ではないが、偽造の難易度やコストは高く、とても数十万円のカード詐欺では引き合わない。PINコードもICチップ内に保存されているものとのオフライン照合が多いが、ATM取引ではオンラインでPINコードと照合する方式も用意されている。磁気ストライプと比較し、不正使用のリスクは相当に低くなるといえる。
日本のIC(EMV)カード率はどのくらいなのだろうか。「経済産業省の資料によると、ICカード普及率は約70%となります。政府は2020年までにIC化率100%を政策目標として掲げています」(瀬田氏 以下同じ)。欧州の100%には及ばないものの、悪くはない状況である。「問題は別のところにあります。VISAの発表によると、日本の対面決済の全トランザクションのうち、ICが使われた取引はわずか17%なのです」。下記のグラフの通りである。せっかく多くの人がIC対応のクレジットカードを持っているのに、使われているのは磁気ストライプ取引ばかりなのだ。
ところが、この一体型POSレジのほとんどが、磁気ストライプ対応のみなのだ。「IC(EMV)リーダー一体型POSレジの開発は、EMV規格(ICチップや読み取りの規格)の認定やブランドテストに時間もコストもかかります。一般的にローンチするのに1.5〜2年はかかるでしょう。その上国内に導入しているPOSシステムは、ほとんどがカスタマイズされているのでソフトウエア部分のEMV認定は加盟店ごとに対応が必要です。2000年頃からIC対応の課題はありました。しかし対応しても売上増加が見込めるわけでもなく、莫大な交換費用がかかるため、積極的にはなれなかったというのが実情でしょう」。
IC対応については、米国が最も遅れていた。日本のPOS加盟店と同様な理由から米国の小売店でもIC化には消極的だった。結果、世界のカード詐欺被害の47%は最もIC化が遅れていた米国でおこり、被害総額は3600億円を突破するという最悪の事態になってしまった。
「この事件は米国議会の公聴会まで開かれる大きな社会問題となりました。この事件をきっかけに2014年10月に、IC化を進める大統領令にオバマ大統領が署名することになったのです。これで米国のEMV化は一気に進むことになりました」。その結果、先に紹介したグラフにもあるように2013年に全トランザクションの内わずか9%だったIC取引は2018年までに92%となると予測されている。
では、日本はどうなのか。「今まで、米国が最後進国だったために、日本は多少楽観していた雰囲気もありました。しかし、米国が本腰を入れたことで日本のカードセキュリティが先進国やアジア諸国の間で最も遅れをとってしまう可能性がでてきました」。日本では、過去にカード業界や行政の様々な努力があり、2012年まで順調に偽造カードによる不正を減少させていった。しかし不正使用被害額は、2013年以降増加に転じ、2015年では120億円までに増えている。理由は、流出してしまったカード情報がインターネット加盟店で不正使用される事件が増加しているからだ。
「日本政府は、2020年に向けた日本再興戦略の中で、クレジット取引セキュリティを世界水準に推進することを唱っています。それを受けて、経済産業省を中心としたクレジット取引セキュリティ対策協議会が官民で組成され、2016年2月に実行計画が公表されました」。この実行計画の施策は今までのものと比べ、より具体的で踏み込んだ内容になっており、カード発行のみならず決済端末についてもICカード対応の100%を目指している点で評価が高い。
しかし、問題はチェーン店などPOS加盟店がIC化の対応導入してくれるかだ。前述の実行計画ではICリーダー部分のPOSレジ一体型ではなく、すでにEMV認定済みのCCT(共同利用端末)や専用決済端末をPOS端末に外付けする形態を推奨しており、POS加盟店にとって現実的なソリューションといえるだろう。だたしPOS加盟店のカードセキュリティ全体については、PCI DSSを含めまだまだ課題が多いので実行計画自体のアップデートも期待したい。なお、2016年11月にはクレジットカードの根拠法である割賦販売法の改正決議が予定されており、全ての事業者に対してIC対応が義務化される方向にある。
今まで大手チェーン店なども先送りしてきた課題だが、これを機に一気にEMV化が加速するのか。ここで進まなければ、セキュリティ対策に遅れをとる日本がセキュリティホールとなり、世界中のカード犯罪が集中することが懸念される。(牧野 武文氏:2016/11/16)
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
■ 関連サービス
POS加盟店向けカード情報非保持化を実現するクラウド型のトークンサービス: Cloud Token for Payment Card
「磁気カード」の利用は多い
クレジットカード取引には、磁気ストライプ方式のものとIC(EMV)チップ方式のものがある。磁気ストライプはカード情報が磁気部分に記録されたもので、簡単にダビングして偽造カードをつくることができる。また主にカードを提示しない非対面取引の際に本人確認として使用されるセキュリティコードも、磁気ストライプには入っていないものの、多くは3桁の数字で、しかもカードの裏面に印刷してある。今となってはセキュリティと呼ぶのもためらうほどの危うさだ。
一方で、EMV(EuroPay、MasterCard、Visa)が提唱したICチップ方式は、カード情報と暗証番号(PINコード)がカード内のICチップに保存されている。ICチップの偽造は不可能ではないが、偽造の難易度やコストは高く、とても数十万円のカード詐欺では引き合わない。PINコードもICチップ内に保存されているものとのオフライン照合が多いが、ATM取引ではオンラインでPINコードと照合する方式も用意されている。磁気ストライプと比較し、不正使用のリスクは相当に低くなるといえる。
日本のIC(EMV)カード率はどのくらいなのだろうか。「経済産業省の資料によると、ICカード普及率は約70%となります。政府は2020年までにIC化率100%を政策目標として掲げています」(瀬田氏 以下同じ)。欧州の100%には及ばないものの、悪くはない状況である。「問題は別のところにあります。VISAの発表によると、日本の対面決済の全トランザクションのうち、ICが使われた取引はわずか17%なのです」。下記のグラフの通りである。せっかく多くの人がIC対応のクレジットカードを持っているのに、使われているのは磁気ストライプ取引ばかりなのだ。
なぜIC取引は使われないのか?
「大手チェーン店のPOSレジによる決済が、IC取引にほとんど対応していないのです。これらの取引総額は対面取引全体の8割を占めているといわれています」。スーパーやコンビニなど、チェーン小売店のほとんどは、クレジットカードのリーダーが一体になったPOSレジを採用している。POSレジとカードリーダーが一体型されることにより、店頭オペレーションを効率化することが可能となる。例えばクレジットカードの伝票とPOSレシートの一体化など。スーパーなどでは、決済オペレーションを含めたレジ時間の短縮が、そのまま顧客満足度や売上に影響するといわれている(レジ行列の長いスーパーは客足が遠のく傾向がある)。そのため、大半の大手チェーンはカードリーダー一体型POSレジを採用する。ところが、この一体型POSレジのほとんどが、磁気ストライプ対応のみなのだ。「IC(EMV)リーダー一体型POSレジの開発は、EMV規格(ICチップや読み取りの規格)の認定やブランドテストに時間もコストもかかります。一般的にローンチするのに1.5〜2年はかかるでしょう。その上国内に導入しているPOSシステムは、ほとんどがカスタマイズされているのでソフトウエア部分のEMV認定は加盟店ごとに対応が必要です。2000年頃からIC対応の課題はありました。しかし対応しても売上増加が見込めるわけでもなく、莫大な交換費用がかかるため、積極的にはなれなかったというのが実情でしょう」。
IC対応については、米国が最も遅れていた。日本のPOS加盟店と同様な理由から米国の小売店でもIC化には消極的だった。結果、世界のカード詐欺被害の47%は最もIC化が遅れていた米国でおこり、被害総額は3600億円を突破するという最悪の事態になってしまった。
米国のカード事情を一変させた「Target」漏洩事件
この状況を一変させてしまうきっかけとなった事件が、2013年のクリスマスシーズンに発生した。米国の大手スーパーチェーン「Target」から約4000万枚分のカード情報が流出したのだ。カード会員番号、氏名、有効期限だけでなく、セキュリティコードまで流出してしまったので、これらの情報を入手すれば、インターネット加盟店ですぐに他人のカードを悪用することができてしまう。Targetではカードデータセキュリティのグローバル基準であるPCI DSSに準拠していたものの、磁気ストライプ取引だったPOSシステムへの侵入により情報が流出したと報じられている。大量のクレジットカード流出させた「Target」
「この事件は米国議会の公聴会まで開かれる大きな社会問題となりました。この事件をきっかけに2014年10月に、IC化を進める大統領令にオバマ大統領が署名することになったのです。これで米国のEMV化は一気に進むことになりました」。その結果、先に紹介したグラフにもあるように2013年に全トランザクションの内わずか9%だったIC取引は2018年までに92%となると予測されている。
では、日本はどうなのか。「今まで、米国が最後進国だったために、日本は多少楽観していた雰囲気もありました。しかし、米国が本腰を入れたことで日本のカードセキュリティが先進国やアジア諸国の間で最も遅れをとってしまう可能性がでてきました」。日本では、過去にカード業界や行政の様々な努力があり、2012年まで順調に偽造カードによる不正を減少させていった。しかし不正使用被害額は、2013年以降増加に転じ、2015年では120億円までに増えている。理由は、流出してしまったカード情報がインターネット加盟店で不正使用される事件が増加しているからだ。
「日本政府は、2020年に向けた日本再興戦略の中で、クレジット取引セキュリティを世界水準に推進することを唱っています。それを受けて、経済産業省を中心としたクレジット取引セキュリティ対策協議会が官民で組成され、2016年2月に実行計画が公表されました」。この実行計画の施策は今までのものと比べ、より具体的で踏み込んだ内容になっており、カード発行のみならず決済端末についてもICカード対応の100%を目指している点で評価が高い。
しかし、問題はチェーン店などPOS加盟店がIC化の対応導入してくれるかだ。前述の実行計画ではICリーダー部分のPOSレジ一体型ではなく、すでにEMV認定済みのCCT(共同利用端末)や専用決済端末をPOS端末に外付けする形態を推奨しており、POS加盟店にとって現実的なソリューションといえるだろう。だたしPOS加盟店のカードセキュリティ全体については、PCI DSSを含めまだまだ課題が多いので実行計画自体のアップデートも期待したい。なお、2016年11月にはクレジットカードの根拠法である割賦販売法の改正決議が予定されており、全ての事業者に対してIC対応が義務化される方向にある。
今まで大手チェーン店なども先送りしてきた課題だが、これを機に一気にEMV化が加速するのか。ここで進まなければ、セキュリティ対策に遅れをとる日本がセキュリティホールとなり、世界中のカード犯罪が集中することが懸念される。(牧野 武文氏:2016/11/16)
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
■ 関連サービス
POS加盟店向けカード情報非保持化を実現するクラウド型のトークンサービス: Cloud Token for Payment Card
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.