(2018年8月号掲載)
 記事をPDFで読む

1. クレジットカードセキュリティの現状

NTT データ先端技術株式会社
取締役執行役員 CISO
セキュリティ事業部長 山岡 正輝
博士(工学)

2020 年オリンピック・パラリンピック東京大会に向けて、日本政府はキャッシュレス化の推進を重要な政策課題と位置付けている。
2016 年12 月には、改正割賦販売法が成立し、クレジットカード会社だけではなく加盟店にもカード情報の保護が義務化された。
国内のクレジットカード業界で、今、何が起こっているのか、その一端を現場からレポートする。

政府によるキャッシュレス化の推進とクレジットカード不正利用の現状

政府は、2020 年のオリンピック・パラリンピック東京大会の開催による訪日外国人の消費需要拡大も考慮し、商取引の活性化に向けた「キャッシュレス化の推進」を「日本再興戦略2016」において重要な政策課題と位置付けている。

しかしながら、クレジットカードの不正利用等、カード犯罪が後を絶たない。国内のクレジットカード発行会社を対象とした日本クレジット協会の調査(https://www.j-credit.or.jp/information/statistics/download/toukei_03_h_2018_180615.pdf) によれば、2017 年1 年間の不正使用被害額は236.4 億円(5 年間で約3.5 倍)、そのうち番号盗用による被害額は前年比98%増の176.7 億円にのぼっている。

クレジットカードセキュリティ基準PCI DSSと改正割賦販売法

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード加盟店でカード情報を安全に取り扱うことを目指し、2004 年に制定されたクレジットカード業界のセキュリティ基準である。国際ブランド5 社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC 協議会(Payment Card Industry Security Standards Council)によって制定、運用されている。

加盟店は、アクワイアラからPCI DSS 準拠を求められる。図1に示すように、アクワイアラとは加盟店契約会社のことで、日本では割賦販売法で立替払取次業者と定義されており、加盟店の開拓と管理が主な役割となっている。加盟店からみると、利用者からの入金前に利用者が支払った金額を立て替えて加盟店へ入金してくれることと、加盟店がクレジットカード支払いを受けられるように国際ブランドとの間を取り次いでくれている。

クレジットカード取引
図1 クレジットカード取引

 

2016 年に成立した改正割賦販売法は、2018 年6 月1 日に施行された。これにより、クレジットカードを取り扱う加盟店において、カード番号等を適切に管理することが法的に義務づけられた。

具体的には「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、実行計画)」に示されており、非保持化またはPCI DSS 準拠が必要となっている。非保持とは、自社で保有する機器・ネットワークにおいてカード情報を電磁的情報として保存、処理しない、通過させないことをいう。例えば、要件を満たした決済専用端末から直接、外部の決済GW 等にカード情報を伝送している場合は、非保持とされている。

非保持でない場合には、加盟店がPCI DSS 基準を満たしているかを検証する手続きも確立されている。

PCI DSSの内容と準拠検証方法

PCI DSS は、具体的には表1に示すように、安全なネットワークの構築やカード会員データの保護など12 の要件から構成されている( 参考:PCI DSS の12 要件を読み解くhttp://www.intellilink.co.jp/article/pcidss/02.html)。

PCI DSSの12要件
表1 PCI DSSの12要件 (https://ja.pcisecuritystandards.org/minisite/env2/)

 

PCI DSS 準拠の検証方法には、3 つの方法がある。

1: 訪問審査

PCI SSC 協議会によって認定された審査機関QSA(Qualified Security Assessor)による訪問審査を受け、認証を得る方法である。カード情報取扱量の大きな加盟店等に要請されている方法である。

2: サイトスキャン

PCI SSC 協議会によって認定されたベンダーASV(Approved Scanning Vendor)のツールによって、WEB経由で侵入され情報を取られることがないか、サイトに脆弱性のないか等を確認し認証を得る方法である。インターネットに接続している加盟店等に必須の方法である。

3: 自己問診

加盟店自らが、PCI DSS の要求事項に基づいたチェック項目を確認することで準拠していると認められる方法である。カード情報取扱量の少ない加盟店等向けの方法である。

POS端末や決済アプリケーションに対するセキュリティ基準も

PCI SSC 協議会が定めた基準には、PCI DSS のほかに、PA-DSS(Payment Application Data Security Standard)、PCI P2PE(Point-to-Point Encryption)等がある。

■ PA-DSS

CAT 端末やPOS 端末に内蔵される、決済アプリケーションで確保されるべきセキュリティ基準である。ソフトウェアに対するセキュリティ基準といえる。カード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるアプリケーションを開発するソフトウェアベンダなどに適用される。PCI DSS 同様、PA-DSS にもセキュリティ基準を満たしているかを審査し、公式に認定する制度が確立されている。

■ PCI P2PE

P2PE とは、加盟店のカード読取装置から送信先の安全な環境まで、カード情報を暗号化によって保護する技術である。これを暗号化サービスとして提供する事業者に向けたセキュリティ基準がPCI P2PE となる。

加盟店は認定を受けたPCI P2PEソリューションを導入することにより、実行計画における「非保持化と同等/ 相当のセキュリティ措置」を実行したものとみなされる。

安全安心な決済基盤の確立に向けて

クレジットカードのほかにも仮想通貨の流通など、新しい技術による決済手段が多様化している。利用者が安心して安全に決済できる決済基盤の構築が必要となる。そのために、セキュリティのプロフェッショナルが、どの部分に不正される弱みがあるのかをみつけ、それをどう防ぐのかを検討し対策を打つ必要がある。

世の中の仕組みがどう変わろうとしているのか、新しい技術、新しい法制度を常にウォッチすることが私たちにも求められている。

 

<PCI DSSのことなら下記へ>
sec-info@intellilink.co.jp

 

関連性のありそうなページ