「クレジット決済をとりまく環境とキヤノンの取り組み」 「PCI PTS4.1」準拠の決済端末で安心・安全な取引を(上)

2017年5月30日8:50

■キヤノンマーケティングジャパン株式会社

国家・行政の主導により、2020年に向けてクレジット決済を取り巻く環境がIC化に向け急速に動き出しています。キヤノンでは、「PCI PTS 4.1」や「EMV Level1,2」に対応し、NTTデータのクラウドサービス「CAFIS Arch®」に接続するシンクライアント型のモバイル決済端末「CA-P1」、PINPAD一体型の「AT-3300」の提供により、安全・安心かつ、便利な決済ソリューションの提供に努めています。

世界中に決済端末を提供するキヤノン
安心・安全な対面決済に向けて取り組む

キヤノングループはグローバル企業としてワールドワイドで幅広い事業を展開しています。キヤノングループの中にはアメリカ、ヨーロッパ、オーストラリア、そして中国にマーケティング統括会社がありますが、日本国内を中心としたマーケティング活動やお客様へのソリューション提案を行っているのが、キヤノンマーケティングジャパングループです。

キヤノンマーケティングジャパン株式会社 モバイルソリューション企画部 今村雄平氏

キヤノンの業務用モバイル端末は1982年から約35年間継続して提供しています。最近では、スマートデバイス関連の製品からパッケージソリューション、あるいは通信回線ソリューションといったものまで幅広く取り揃えております。

キヤノンは業務用の端末を扱うかたわら、モバイル決済端末にも力を入れてきました。1993年にヨーロッパの航空会社の機内販売における業務用の端末として導入いただいたことを皮切りに、国内大手航空会社の国内線・国際線にも多数のモバイル決済端末を導入しました。また、航空会社以外でも鉄道会社など、国内外で20年以上、数10社の導入実績があります。さらに最近では、鉄道内のワゴン販売や百貨店、イベント販売会社、飲食店など、幅広いお客様に導入をいただいております。

対面決済のセキュリティ強化に向け、2014年7月に、経済産業省から『2020年にむけクレジットカードおよび決済端末の100%IC化を目指す』という方針が出されました。また、2015年3月よりクレジット取引セキュリティ対策協議会が発足。日本のクレジット決済環境は、来るべき2020に向け国際基準の対応が求められるようになりつつあり、大きく環境が変わっていくことが予想されます。決済端末ベンダーであるキヤノンは、『キャッシュレス』『いつでもどこでもだれでも』『セキュリティ』をキーワードに、お客様の課題を解決していかなければならないと考えています。

キヤノンでは、セキュリティの高い決済端末の提供に力を入れてきました。クレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、対面取引を行う加盟店に対し、カード情報非保持化の「①カード情報保護」と、決済端末を100%IC対応させる「②不正使用対策」を挙げています。

まず、①のカード情報保護は、カード情報の非保持化をする、外回り運用のお客様とカード情報の非保持化をしない、あるいはできない内回り運用されているお客様とによって対策の取り方が変わってきます。

外回り運用されるお客様に関しては①外回りソリューションの導入と、共同利用端末方式・CCT方式の決済端末の導入が選択肢としてあります。一方、加盟店の事情でカード情報を保持しなければならないケースの場合、選択肢として出てくるのが②PCI DSS準拠となります。しかし、PCI DSS準拠には大変な労力がかかるので、③P2PEソリューションの導入という選択肢が新たに出てきています。

NTTデータ社「CAFIS Arch®」で外回り決済ソリューションを提供
シンクライアント型のモバイル決済端末「CA-P1」

まずカード情報保護に関して、社内システムを経由せず、カード情報を保持せずにカード会社まで届ける方式が外回り、反対にカード情報がPOS端末やPOSシステム、あるいは社内システムを通過する、または保持する状態でカード会社に届く仕組みが内回りとなります。カード情報を非保持化する場合の対応として、キヤノンが提案するのが外回り決済ソリューションです。その第一弾としてNTTデータ社と協業し、クラウドサービス「CAFIS Arch®」とキヤノンのモバイル決済端末のセットで外回り決済ソリューションを提供します。CAFIS Arch®は、クレジット決済・デビット決済・口座振替などの決済機能、また、電子サインや領収証発行、ポイント管理などの決済付帯機能、さらには免税対応やDCC(多通貨決済)、中国銀聯の決済といったインバウンド向け機能を、決済端末に対して提供するNTTデータ社のクラウド型総合決済プラットフォームとです。CAFIS Arch® はこれまでの決済端末運用では手間となっていた決済端末へのアプリケーション実装を廃して、端末側のアプリケーションで行っていた機能をArch センタに代替させるシンクライアント方式を採っており、それによって加盟店の運用を大幅に軽減して、低コストで安心・安全な決済運用を実現するソリューションです。端末がシンクライアント型になるので、日計処理などの日々の運用処理が不要になるなどの簡単さや、Arch センタ側へ追加登録するだけで、端末側は何もいじらずに新機能が利用可能になるといった拡張性の高さが特徴です。

CAFIS Arch®と連携するキヤノンのモバイル決済端末「CA-P1」は、タブレットやスマ―トフォンと連携して動作するシンクライアント型のモバイル決済端末で、大きく2つの特徴があります。1つ目はクレジット決済のみならず、口座振替や電子マネー、銀聯、デビットカード決済など、マルチ決済の環境を提供できるということ。2つ目は端末とプリンタが一体になっており、領収証やレシート発行の際に必要なモバイルプリンターを別途持つ必要がない、決済機能+プリントアウトという構成になっていることです。

P2PE認定ソリューションに対応した端末を開発中
端末でカード情報を読み取った瞬間に暗号処理

一方、カード情報を非保持化しない場合、あるいはしたくてもできない場合、(代表例としては、カード情報を使って過去の取引を確認して返品・キャンセルに対応するケースや、提携カードや自社カードを発行しており、お客様にポイントアップや割引サービスをするケース、あるいは決済センタから還元データが返ってくる際にその中にカード情報が入っているといったケース等)があり、大手流通では実に約7割が内回り運用をしているといった情報もあります。そこで出てくるのがPCI DSS準拠ですが、準拠するためには定められた約400もの要件をクリアし、QSA(認定審査機関)の審査をパスしなければなりません。弊社のお客様でも専任のプロジェクトを立ち上げて、また、コンサルティング会社を入れて、1年以上の期間をかけて準拠対応に取り組まれているお客様もいらっしゃいます。大手企業であれば人も期間もかけられることもありますが、多くの労力がかかることなので、その労力、コストを削減する効果があると期待されているのがP2PEソリューションの導入です。

P2PEとは、店舗等でカード情報を読み取った瞬間から決済ネットワークに至るまで、クレジットカード情報を暗号化した状態のまま処理する技術のことをいいます。P2PEソリューションでは、現在CCTで採用されている固定鍵方式ではなく、まず、P2PE認定されたデバイス・決済端末を使って、さらにDUKPTに代表される高度な暗号化技術を併せて使うことで、現在よりも端末のセキュリティあるいは暗号化の強度を高めることになります。また、決済端末がPOSシステム等に接続して、内回り運用したとしても、POS端末あるいはPOSシステム内ではカード会員データを複号化しない、という特徴があります。

P2PEソリューションは内回り運用する加盟店におけるPCI DSS準拠のコスト・労力を大幅に軽減することが期待されています。加盟店の選択肢としては、①P2PEソリューションの認定を受けたプロバイダによるサービスを加盟店が利用する、②加盟店自身が自社システムについてP2PEソリューションの認定を受ける、のいずれかになりますが、大手企業でもそこまで労力はかけられないといった場合には、ソリューション・プロバイダーが提供するP2PEソリューションを採用することで対応が可能です。

P2PEは、端末のセキュリティ規格であるPCI PTS、PCI DSS同様に、PCI SSCによって規定されています。昨今、PCI DSSやP2PEが着目されるにつれて、PCI PTSにもお客様の注目が集まっています。これまでPCI PTS準拠を弊社端末の売り文句としてきましたが、加盟店の体制やPOSシステムを含めて、すべてにまたがる新たなセキュリティ概念として登場してきたこのP2PEソリューションにも、弊社の端末で対応ができると考えています。

しかし現在、国内発のP2PE認定ソリューションは存在していません。そこでキヤノンは、P2PEソリューションへの早期対応のため、P2PE認定QSA(審査機関)のコンサルを受けながら、端末開発及び環境整備を進めています。また、キヤノンの端末はP2PEソリューションに対応できると考えていますが、その根拠となるのが「SRED(エスレッド)」への対応です。P2PEソリューションでは、端末でカード情報を読み取った瞬間に暗号処理をしなくてはならず、そのために、PCI SSCが定めた規格がSREDとなります。P2PEに対応する決済端末にはSRED規格取得がマスト要件となっており、弊社の「CA-P1」は2016年に規格に対応しています。また、実際のソリューション構築に向けては、P2PEソリューションベンダーと、具体的な検討を現在も続けています。

キヤノンのP2PE対応(カード情報保護)

▶▶後編へ続く

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のキヤノンマーケティングジャパン株式会社 モバイルソリューション企画部 今村雄平氏の講演をベースに加筆を加え、紹介しています。

※CAFIS Arch®は国内における株式会社NTTデータの登録商標です。

■お問い合わせ先
キヤノンマーケティングジャパン株式会社
モバイルソリューション企画部
〒108-8011 東京都港区港南2-16-6 CANON S TOWER
http://cweb.canon.jp/ht/index.html
TEL:03-6719-9847

page toppagetop