BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2018.05.07

PCI DSSとは? を理解するために -クレジットカードセキュリティの基礎(後編)-

  • このエントリーをはてなブックマークに追加

前編では、クレジットカードの情報保護について、実際にどんな情報を守ることを指してクレジット取引セキュリティと言われているのか、またどのようにカード情報が悪意のある第三者に盗まれているのかを解説しました。後編では、実際に盗んだ情報をどうするのか、またクレジットカード情報を盗まれることでどのような事業インパクトがあるかを解説します。

 

盗まれたカード情報は何に使われるのか?


前編の復習となりますが、カード情報には、以下のような項目が含まれます。
<カード会員データ>
・クレジットカードやデビットカードなどの表面に記される16ケタのカード番号
・有効期限
・カード会員名
<センシティブ認証データ>
・PIN(4~6桁の暗証番号)/PINブロック(PINの暗号化コード)
・カード裏面(表面)の磁気ストライプ情報
・セキュリティコード
カード情報流出といっても、これら全てが一度に漏えいすることはめったにありませんが、カード番号が含まれるデータの一部が流出するだけで被害は発生します。

まず、こうした情報を悪用する方法として誰でもすぐに思いつくのは、偽造カードを作成して対面決済に使用することです。磁気ストライプしかついていないクレジットカードでは、外見を似せたプラスチックカードに磁気ストライプ情報をコピーし、決済時に使用することで、チェックの甘い加盟店が被害にあうことがあります。

もっとも、最近はセキュリティが低い磁気ストライプだけのカードは減っており、偽造が困難なICチップ付きカードが主流になりつつあります。とはいえ、EC加盟店や通信販売加盟店では、物理的なカードを提示する必要がそもそもなく、カード会員データに加えてセキュリティコードが流出していた場合、そのまま正しいカード情報として認証され、不正利用されてしまいます。前編で紹介したバックドア攻撃では、セキュリティコードもカード番号と一緒に抜き取られることがあるため、不正利用のリスクが高まります。

また、抜き取ったカード情報は、本人確認の比較的甘いプリペイドカードへの残高チャージや、モバイルペイメントアプリに登録して使用されるケースもあります。2017年4月に発覚した国内初のApplePay不正利用事件では、他人のクレジットカードをiPhoneに支払カードとして登録して、400万円以上の買い物が不正にされていました。

入手したカード情報を自分で使用せず、偽造や不正利用に使えるカード情報リストとして販売するブラックマーケットも存在しています。カード番号・有効期限がセットになったデータで1件あたり5ドル程度からが相場となっています。付加情報としてセキュリティコードや暗証番号(PIN)、持ち主の銀行口座番号、誕生日、カード会員向けサイトへのログイン情報など、利用できる項目が増えるほど価格が上がります。こうして不正に得たお金が組織犯罪やテロの資金源となっているとも言われています。

 

ビジネスへのインパクト

さて、万一、加盟店がカードデータを流出してしまった時、ビジネスに対してどのようなインパクトがあるでしょうか。直接的な金銭支出と、それ以外に分けて考えてみましょう。


加盟店の支出として、まず何が起こっているかを調べるための調査のコストがあります。カード情報の流出事件は専門のフォレンジック調査機関に調査を委託する必要があります。そのコストは500万円~1,000万円近くかかります。また、一般的には情報を流出させてしまったお客様へのお詫びのコストがかかります。多くの場合、1人あたり500円程度となります。その上で状況を知らせるためのお客様へのダイレクトメールや、お詫び広告の出稿費用などがかかることもあります。

流出させたカード情報が他の加盟店で不正に使用された場合、その損失を負担するのも、流出させた加盟店です。加えて、流出させたカード番号が悪用される二次被害を防ぐためにカード会社や国際ブランドによるモニタリングも必要です。この費用も負担することがあります。

さらに、流出させたカードは、原則として再発行が必要です。カード会社の再発行手数料も流出させた加盟店が負担します。この費用は一般に1枚あたり2,000〜3,000円と言われています。カード会社が対応のためにコールセンターを増設する場合、その費用も負担することがあります。

また、原因を明らかにして対策が終わるまではカード情報の流出が続いている疑いがあります。そのため、原則としてクレジットカード決済は一時停止措置が取られます。その間当該加盟店は顧客にクレジットカードによる支払手段を提供出来ません。

カードの取扱いを再開するためには、加盟店と契約するカード会社(アクワイアラ)の判断が必要になります。安全性の判断としてカード情報を自社システムで扱うためのPCI DSSという業界基準を満たすか、あるいはカード決済をPSP(決済代行事業者)に完全に委託して自社は一切クレジットカード情報を通過、処理、保存しない形態である「非保持」のいずれかを満たすように自社システムを改修する必要があります。PCI DSSに準拠する場合は、外部機関(QSA)の審査によってその証明を要求されるケースもあります。

そのための時間とコストを負担できない場合、ビジネスの復旧のため決済手段からクレジットカードを外すという選択肢をとる場合もあります。ECの決済手段として現在最も多く利用されているのはクレジットカード払いであり、従来は利用できていたクレジットカードが利用できなくなることで顧客の利便性は大きく低下します。場合によっては、事業の継続をあきらめる必要が出てくることもあります。


日本国内でもカード情報流出事件は年々増えており、2016年には31件の事件で、合計約26万件のカード情報が流出しました。2017年は4月に大手決済代行事業者から40万件以上のカード情報流出が発覚したこともあり、事件数は25件と前年よりも減ったものの、年間のカード情報流出件数は合計約56万5千件と前年に比べ2倍以上となっています(いずれも公表されている件数を集計・fjコンサルティング調べ)。

 

PCI DSSはカード情報を守る最低限の基準

最後に、前節で「カード情報を自社システムで扱うための基準」として紹介したPCI DSSについて簡単に解説します。

PCI DSSは、「Payment Card Industry Data Security Standard」の頭文字をとった名称で、国際的なクレジット産業向けのデータセキュリティ基準をさします。「安全なネットワークとシステムの構築と維持」「カード会員データの保護」「脆弱性管理プログラムの維持」「強力なアクセス制御手法の導入」「ネットワークの定期的な監視およびテスト」「情報セキュリティポリシーの維持」という6つの目標を達成するために、クレジットカード情報を扱うシステムが満たすべき要件を12のカテゴリーで設定しています。

▼6つの目標と12の要件

安全なネットワークとシステムの構築と維持
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御方法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する
PCI DSSは、国際ブランドであるVisa、Mastercard、American Express、JCB、Discoverの5社によって設立されたPCIセキュリティ基準審議会(PCI SSC)によって維持管理され、2018年4月末現在の最新バージョンはv3.2ですが、5月中にはv3.2.1となることがアナウンスされています。PCI DSSは民間団体が発行した基準ですが、事実上のカードセキュリティの世界標準となっています。


一般に「カード会社」と呼ばれる企業には、VisaやMastercardなどの国際ブランドと契約して加盟店との契約や決済と精算業務を行うカード会社(アクワイアラ)と同じく国際ブランドと契約してカード会員に対してクレジットカード発行業務を行うカード会社(イシュア)の2種類があります。カード会員がカードを加盟店に提示すると、その情報は決済ネットワークを通してアクワイアラに送られ、さらにイシュアへと連携されます。この過程でカード情報が通過・処理・保存される事業者は、外部の業務委託先も含め、全てPCI DSSに準拠しなくてはなりません。

日本政府は、2020年の東京オリンピック・パラリンピック開催を踏まえ、キャッシュレス決済普及と訪日外国人増加を踏まえたATMの海外発行カードの対応やカードを消費者が安心して利用できる環境整備に向けた対策の取りまとめを関係省庁に指示しました。これを受け、経済産業省をオブザーバーとしたクレジット取引セキュリティ対策協議会が、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下実行計画)を2016年から発行しており、2020年まで毎年アップデートが行われます。

実行計画内では、クレジットカード取引にかかわる事業者の種類別に、PCI DSS準拠の期限が決められています(加盟店についてはカード情報の非保持化も選択可能)。間に合わなかった場合、罰則規定はありませんが、決済代行事業者についてはアクワイアラは契約を見直すよう求められています。また2018年6月1日に施行される改正割賦販売法では、加盟店もカード情報保護について法律上の義務を負い、アクワイアラからの指導強化や、最悪の場合は加盟店契約が解除になるといった影響が考えられます。

クレジットカード取引のセキュリティ対策として進められているPCI DSS準拠の取り組みですが、アメリカではPCI DSS準拠済みの加盟店やサービスプロバイダーでもカード情報流出事件は発生しています。PCI DSSは万全ではありません。あくまでも最低限のセキュリティ対策であり、PCI DSSに準拠した上で、さらに各社が自社に必要なセキュリティ対策を講じることが大切です。

(監修:fjコンサルティング 代表取締役CEO 瀬田 陽介)







この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加