主要なカード決済とセキュリティ対策を一挙紹介(4)

2015年4月20日8:30

主要なカード決済とセキュリティ対策を一挙紹介(4)
セキュリティ対策

主要なカード決済とセキュリティ対策を一挙紹介(1)
主要なカード決済とセキュリティ対策を一挙紹介(2)
主要なカード決済とセキュリティ対策を一挙紹介(3)

インターネット決済時のセキュリティ対策

通常、クレジット決済の場合はカード番号と有効期限で決済を行うが、その場合、例えばカードを第3者に盗まれれば簡単に決済ができてしまう。その課題を解決したのが「3-Dセキュア」だ。これはネットショッピングにおいて、独自のパスワード認証を取り入れることにより、本人確認を行う仕組みである。

Visaが「VISA認証サービス」、MasterCardが「SecureCode(セキュア・コード)」、JCBが「J/Secure(ジェイセキュア)」の名称で展開している。

3-Dセキュア(Visa/MasterCard/JCB)

3-Dセキュア(Visa/MasterCard/JCB)

また、ジャパンネット銀行の発行する「JNBVisaデビット」では、国内で初めて「ワンタイムパスワード」による3-Dセキュアの認証方式を導入している。海外では、ワンタイムパスワードの通知に、SMS(Short Message Service)やスマートフォン向けアプリでワンタイムパスワードが発行される仕組みを採用し、そのパスワードで3-Dセキュア認証が利用されているケースもある。

さらに、顧客の属性情報やカード券面情報(セキュリティコード)による認証も有効な手段として採用している事業者が増加している。

認証強化とともに重要なのが情報漏洩対策だ。ここ数年、加盟店のECサイトからカード会員情報が漏洩する事件が相次いでいる。そのため、ECサイトなどの加盟店側で、カード会員情報を所有せず、決済代行事業者などに預ける「非保持サービス」(画面遷移型)を導入するケースが増えている。決済代行事業者と加盟店との契約形態も「加盟店がカード会員情報を保持するケース」「加盟店がカード会員情報を処理するが、その履歴を削除するケース」「加盟店側でカード会員情報を処理しないケース」などさまざまだ。

なお、加盟店が決済代行事業者にカード会員情報を委託した場合、ペイメントカードのセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)」の準拠に必要な要件が削減されるメリットもある。

また、不正と思われる取引パターンをルールとして事前に登録することで、それに合致する取引を検知するとリアルタイムに取引停止し、事業者に通知するサービスを提供する企業もある。従来はカード会社を中心に不正検知システムを提供していたが、NTTデータの「CAFIS Brain」をJALが導入したように、加盟店が不正利用対策を行うケースも出てきた。

さらに、忘れてはならないのは加盟店のPCI DSSの準拠である。PCI DSSはVisa、MasterCard、JCB、American Express、Discoverの国際ペイメントブランド5社が定めた、ペイメントカードのセキュリティ基準だ。国際ブランドが付与されたカード情報を処理、伝送、保存する加盟店、サービスプロバイダが対象となる。カード決済に関するデータ保護が目的とされ、6項目12要件が定められているが、自社のセキュリティを客観的に把握するためにも準拠が広がることに期待したい。

ペイメントカードの国際セキュリティ基準「PCI DSS」(MasterCardの資料より)

ペイメントカードの国際セキュリティ基準「PCI DSS」(MasterCardの資料より)

カード番号を乱数に置き換えるトークナイゼーションに注目

近年、クレジットカード情報の漏洩事件が相次いでいるが、その対策としてクレジットカード情報に置き換わる別の数値(乱数)で情報処理を進める「Tokenization(トークナイゼーション)」方策がある。特に、Appleが開始した「Apple Pay」で採用されて以降、注目を集めている。

25

トークナイゼーションは、データベースの暗号化以上に強固なセキュリティ技術であると言われており、米国では広く採用が進み、PCI DSSの新技術として注目されていた。すでにEMCジャパンや日本セーフネットなどが関連ソリューションを販売している。

トークナイゼーションで機密データを別の文字列(乱数)に置き換えて保存・利用することにより、PCI DSSの審査対象範囲の縮小、機密データの範囲極小化や集中管理によりセキュリティを向上することが可能となる。

国内の企業としては、日本最大級のゴルフポータルサイトを運営するゴルフダイジェスト・オンライン(GDO)において、トークナイゼーションの技術が採用されている。GDOでは、ペイメントカード情報の保護にEMCジャパンのトークナイゼーションを導入。GDOでは、SQLインジェクションなど、外部からの攻撃に圧倒的に強い点なども含め、導入の成果を感じているそうだ。

リアル加盟店での不正利用対策

リアルでの不正利用対策においては、カード会社のカードのIC化対応、加盟店のPOSや決済端末のEMV対応が挙げられる。日本では銀行系カード会社を中心に2001年から、磁気カードにICチップを搭載する動きが広まっている。また、カード会社、ブランドなどは大型加盟店に対し、積極的にPOSのIC化を推し進めている。

POSのIC化については、2004年に東武百貨店が他の百貨店に先駆けて導入。その後、ヨドバシカメラ、ビックカメラの家電量販店などが、対応を発表している。

経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告でも「2020年までに流通しているクレジットカードの100%IC化を目指す」と発表されている。また、決済端末についても「IC端末の導入促進を図り、2020年までに100%IC化を目指す」とされている。特に、大手流通事業者のPOS端末におけるIC対応の促進を図るということだ。さらに、ATMについてもIC対応を進めるよう、ATM設置者に求めていくそうだ。

2014年末に日本クレジット協会が、2020年にICクレジットカード化100%を目指すと決定したことも追い風となるだろう。

欧州ではSEPAによるEMV ICカード化の取り組みが進んでいるが、米国では磁気カードによる取引が中心となっている。Visaは、米国内外の偽造カードが米国店頭のPOS端末で使用された場合の取引についてのライアビリティシフト(偽造カードによる不正利用の際の被害額の責任がICカード未対応のイシュアまたはアクワイアラから移行すること)を、2015年10月1日から施行する予定となっている。ガソリンスタンドの加盟店に関しては、セルフの給油機における取引についてのライアビリティシフトについても、2年後の2017年10月1日から適用する予定だ。MasterCardやAmerican Express、Discover、Dinersも同様の“ライアビリティシフト”の導入を予定している。

VisaならびにPLUSのATMの“ライアビリティシフト”の導入スケジュールは、2015年10月より日本、中国、インド、タイ以外のアジア太平洋地域で開始し、2017年10月より日本、中国、インド、タイ、アメリカで実施する予定だ。

2005年からライアビリティが導入されたイギリスなど西欧や、カナダ、中南米およびカリブ海地域、中欧・東欧、中近東・アフリカでは、すでに段階的に実施されており、オーストラリア、ニュージーランドでも2013年4月に導入済みとなっている。

大特集「カード決済&セキュリティのすべて」の紹介ページへ

paymentcardsecurity

 

page toppagetop