クレジットカードのIC取引

クレジットカード取引には、磁気ストライプを利用する方式とICチップを利用する方式がある。ICチップを利用する方式はEMV (Europay, MasterCard, Visa)方式とも呼ばれている。EMVは、国際カードブランドであるMasterCardとVisaが1998年に定めたIC型クレジットカードの統一規格である。カード情報を搾取されてもその情報のみでは偽装ICチップを作ることが困難であることなどから、現状ではICチップを利用したIC取引の実現がクレジットカードの不正利用対策となっている。

IC取引では、「決済端末で磁気カードをスワイプし、売上伝票に印字された金額を確認し署名する」方式から、「IC対応のクレジット決済端末にICカードを差し込み、表示された金額を確認し4桁の暗証番号を入力し確定ボタンを押す」方式にかわる。IC取引を実現するためには、クレジットカードがIC化されていること、カード情報を読み取る加盟店の決済端末がIC対応になっていることの両方が必要となる。

前号でふれたクレジット取引セキュリティ対策協議会が作成した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)では、不正利用対策として、「クレジットカードの100%IC化」と「決済端末の100%IC対応」を2020年3月末までに完了することを求めている(図1参照)。

図1 実行計画 対策の3本柱

カードのIC化

IC取引については、歴史的に欧州特にフランスが進んでいる。欧州に比べてクレジットカードのIC化が遅れていた米国では、磁気ストライプカードからの大量情報流出事件が契機となり、2014年10月にオバマ大統領がIC化を進める大統領令に著名、EMVに準拠したカードの発行を義務化している。米国ではクレジットカードの有効期間が通常3年であり、2017年にはIC化がほぼ100%になっている。

日本でも、2000年代からICクレジットカードの発行を進めているものの、100%IC化にはいたっていない状況である。日本クレジット協会の調査では、クレジットカード発行枚数は2億7,200万枚(2017年3月末時点、成人人口比では1人当たり2.6枚保有)であるが、IC化率は77.3%(2017年12月末時点)となっている。

決済端末のIC対応

店員とカード保有者が対面して決済が行われる対面加盟店企業に対して2016年10月に経済産業省が行った調査では、決済端末のIC対応が完了している企業は、調査対象の加盟店企業(総数474社)のうち16.7%となっている(図2参照)。業界別でみると、百貨店・ショッピングセンター(総数94、IT対応率10.6%)、スーパー(総数195、6.2%)、コンビニ(総数15、6.7%)でIC対応率が低く、一方で、ホテル業界(総数175)では53.1%でIC対応が完了している。

図2 業界別の、決済端末のIC対応率、POS内蔵型採用率 (経済産業省「安全・安心なクレジットカード利用環境整備に向けた取り組み状況について(2017年4月)」参考)

IC対応率が低い百貨店・ショッピングセンター業界やスーパー業界、コンビニ業界では、POS内蔵型のカード決済端末が、それぞれ62.0%、69.1%、71.4%と高い割合をしめている。一方、IC対応率が比較的高いホテル業界では、POS内蔵型は5.1%にすぎず、76.1%の加盟店企業でPOSと連動しない据置型の決済端末を利用している。POSシステムの改良等にかかるコストが、IC対応における阻害要因となっている。

クレジットカードのIC取引100%を目指して

実行計画では、消費者がICクレジットカード対応取引店であることを認識できるよう、決済端末がIC対応済みであることを示す「IC対応デザイン」(図3参照)を策定している。また、IC取引の必要性や特徴を理解してもらうための「IC取引啓発デザイン」も策定し、周知活動を行っている。

図3 日本クレジット協会が定めた「IC取引啓発デザイン」(左)と、「IC対応デザイン」(右) IC対応の加盟店に掲出される

2020年のオリンピック・パラリンピック東京大会に向け、欧州や米国と比べてIC取引率が低い日本がクレジットカード情報のセキュリティホールとなりかねないとの危機感をもって、官民一体でIC取引を推進している。

【参考書籍】

「カード決済セキュリティPCI DSS ガイドブック」(発行:TIプランニング、編集:ペイメントナビ編集部、2018年7月出版)

実行計画の概要、業界の具体的な取り組み、PCI P2PEなどの基準の解説、準拠事例等が紹介されている。

<PCI DSSのことなら下記へ>

sec-info@intellilink.co.jp