2018.08.09
ガソリンスタンドにおける「実行計画」への取り組み
- BLOGトップ
- ガソリンスタンドにおける「実行計画」への取り組み
石油産業では、古くから顧客囲い込みを目的として石油元売り各社がガソリン代の割引特典が付いたカードを発行してきた。それらには、提携クレジットカードと一体化しているカードが多く存在している。消費者にとっては、カードを利用すると安くガソリンを給油でき、同時にカード決済もできるので利便性が高い。ガソリンスタンドは、世界的にもほとんどの支払いがカードで決済されている業種であり、日本国内でも他業種と比べてクレジットカード決済比率が高い。
実行計画における「対面加盟店へのカード情報の保護(非保持化またはPCI DSS準拠への要請)」や「不正使用対策(IC化対応の要請)」は当然、ガソリンスタンドにも適用される。特にガソリンスタンドにおけるIC化対応については、カード決済端末の防爆(爆発防止)に対する法規制、給油機と連動したオートローディング式精算機のセキュリティ対策、店員による給油サービス後の車内精算におけるPIN入力をどのように対応するのか―など、業種特有の課題がある。
こうした背景から、決済やオペレーション全てを国際基準に合わせた環境とすることは現状では困難であり、このままではIC化の対応の推進にも影響が出る。クレジット取引セキュリティ対策協議会では、これらの課題を業界団体とともに検討し、「国内ガソリンスタンドにおけるICクレジットカード取引対応指針」を取りまとめた。
ガソリンスタンドのPOS端末には、店内に設置するもののほかに、屋外に設置する外設機(給油機と連動する精算機とカードリーダーが一体化したもの)がある。さらに外設機も店員が給油して精算するタイプと消費者が自身で操作するタイプがあり、店内を含めた全てのPOS端末が、それぞれカード決済のリーダーを備えている。
IC化対応の際には、店内のPOS端末は、通常のPOS加盟店と同様に対応すればよい。しかし、外設機のカードリーダーについては、ATM(現金自動預け払い機)と同様にカード全体を機械内部に取り込む「オートローダー」が採用されている。このため、IC化対応には特別な考慮が必要になる。この点について、国内の外設機向けオートローダーの大半を製造するメーカーのハードウエアにはEMVレベル1の認定済みのものがある。このため、POS端末である精算機のカードリーダーを換装し、ソフトウエアもEMVレベル2の認定を受ければ、外設機を入れ替えなくても対応は可能である。
しかし、現状の外設機の大半には、そもそもPIN入力装置がないという問題がある。オートローダーを決済端末の国際セキュリティ基準であるPCI PTSに準拠させるということは、ハードウエアの機構上困難である。また、国際ブランドの規則で、無人取引でカードを読み取る際にはカード券面の一部が見えていなくてはいけないため、そもそもオートローダー自体が無人機のカード決済端末としては認められないという懸念もあった。
こうした課題について協議会および石油関連の業界団体と国際ブランドの協議の結果、残存するリスクについて代替する管理策の事例を示す『オートローディング式自動精算機のIC化対応指針と自動精算機の本人確認方法について』を取りまとめた。これに沿うことで、ガソリンスタンド業種についてはオートローダーによる無人取引を認めるという結論になった。
カード情報保護についても課題が残る。外設機は「カードリーダー+POS端末のソフトウエアでカード決済の制御を行う精算機」という構成になっていることが多く、機構的に内回り方式となっている。実行計画2017以降では、PCI P2PE方式など内回り方式における非保持化同等/相当のセキュリティ確保を可能とする措置がいくつか認められた。これによって、外設機でも非保持化の対応が現実的なものになった。
石油元売り各社のカードでは、ガソリンの割引サービスを実施するために提携クレジットカード番号の上6桁から10桁をPOS端末で読み取ることによって、割引率やポイントの付与などの特典を判定しているケースが多い。一方で、PCI DSSでは、原則としてカード番号を判読不能とするトランケーション処理の結果、残すことができる桁数は上6桁下4桁が最大である。このため、7桁以上を平文で読み取った場合には、加盟店内でカード情報が処理されていると見なされてしまう。
2017年5月にPCI SSCは、カード番号の19桁化に伴い、American Express以外の国際ブランドは上10桁までを最大とするトランケーションフォーマットを認めることを公表した。これにより、石油元売りカードの割引判定についても、多くのケースで従来の仕組みのままで非保持化が可能となった。
こうした業界全体の取り組みによって、ガソリンスタンドのように店舗数が多くカード利用者も多い産業でも、非保持化とIC化対応が着実に進み始めている。実行計画を推進していくためにも、そのほかの業界でも同様の取り組みが期待される。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
実行計画における「対面加盟店へのカード情報の保護(非保持化またはPCI DSS準拠への要請)」や「不正使用対策(IC化対応の要請)」は当然、ガソリンスタンドにも適用される。特にガソリンスタンドにおけるIC化対応については、カード決済端末の防爆(爆発防止)に対する法規制、給油機と連動したオートローディング式精算機のセキュリティ対策、店員による給油サービス後の車内精算におけるPIN入力をどのように対応するのか―など、業種特有の課題がある。
こうした背景から、決済やオペレーション全てを国際基準に合わせた環境とすることは現状では困難であり、このままではIC化の対応の推進にも影響が出る。クレジット取引セキュリティ対策協議会では、これらの課題を業界団体とともに検討し、「国内ガソリンスタンドにおけるICクレジットカード取引対応指針」を取りまとめた。
ガソリンスタンドのPOS端末には、店内に設置するもののほかに、屋外に設置する外設機(給油機と連動する精算機とカードリーダーが一体化したもの)がある。さらに外設機も店員が給油して精算するタイプと消費者が自身で操作するタイプがあり、店内を含めた全てのPOS端末が、それぞれカード決済のリーダーを備えている。
IC化対応の際には、店内のPOS端末は、通常のPOS加盟店と同様に対応すればよい。しかし、外設機のカードリーダーについては、ATM(現金自動預け払い機)と同様にカード全体を機械内部に取り込む「オートローダー」が採用されている。このため、IC化対応には特別な考慮が必要になる。この点について、国内の外設機向けオートローダーの大半を製造するメーカーのハードウエアにはEMVレベル1の認定済みのものがある。このため、POS端末である精算機のカードリーダーを換装し、ソフトウエアもEMVレベル2の認定を受ければ、外設機を入れ替えなくても対応は可能である。
しかし、現状の外設機の大半には、そもそもPIN入力装置がないという問題がある。オートローダーを決済端末の国際セキュリティ基準であるPCI PTSに準拠させるということは、ハードウエアの機構上困難である。また、国際ブランドの規則で、無人取引でカードを読み取る際にはカード券面の一部が見えていなくてはいけないため、そもそもオートローダー自体が無人機のカード決済端末としては認められないという懸念もあった。
こうした課題について協議会および石油関連の業界団体と国際ブランドの協議の結果、残存するリスクについて代替する管理策の事例を示す『オートローディング式自動精算機のIC化対応指針と自動精算機の本人確認方法について』を取りまとめた。これに沿うことで、ガソリンスタンド業種についてはオートローダーによる無人取引を認めるという結論になった。
カード情報保護についても課題が残る。外設機は「カードリーダー+POS端末のソフトウエアでカード決済の制御を行う精算機」という構成になっていることが多く、機構的に内回り方式となっている。実行計画2017以降では、PCI P2PE方式など内回り方式における非保持化同等/相当のセキュリティ確保を可能とする措置がいくつか認められた。これによって、外設機でも非保持化の対応が現実的なものになった。
石油元売り各社のカードでは、ガソリンの割引サービスを実施するために提携クレジットカード番号の上6桁から10桁をPOS端末で読み取ることによって、割引率やポイントの付与などの特典を判定しているケースが多い。一方で、PCI DSSでは、原則としてカード番号を判読不能とするトランケーション処理の結果、残すことができる桁数は上6桁下4桁が最大である。このため、7桁以上を平文で読み取った場合には、加盟店内でカード情報が処理されていると見なされてしまう。
2017年5月にPCI SSCは、カード番号の19桁化に伴い、American Express以外の国際ブランドは上10桁までを最大とするトランケーションフォーマットを認めることを公表した。これにより、石油元売りカードの割引判定についても、多くのケースで従来の仕組みのままで非保持化が可能となった。
こうした業界全体の取り組みによって、ガソリンスタンドのように店舗数が多くカード利用者も多い産業でも、非保持化とIC化対応が着実に進み始めている。実行計画を推進していくためにも、そのほかの業界でも同様の取り組みが期待される。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わるPCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.