東京オリンピック開催でさらに重要となる「カード決済の安全性」：セキュリティでもおもてなし

ビザ・ワールドワイド・ジャパン ディレクター／リスクマネージメント 井原亮二氏

　アカマイとサイバーソースは2013年12月12日、東京、虎ノ門のアカマイ本社にて「不正アクセスによる情報漏えいの影響とPCI DSS準拠による予防対策セミナー」を開催した。

　セミナーではビザ・ワールドワイド・ジャパンのディレクター／リスクマネージメントの井原亮二氏による講演も行われ、PCI DSS準拠の必要性を解説した。

7年後、海外のお客様がクレジットカードを持ってやってくる

　井原氏はまず、先日開催が決定した2020年の東京オリンピックについて、海外から多くの観光客がやってくることが、情報セキュリティも関係してくることに言及した。「日本の加盟店で海外のカードを使っても、PCI DSSが普及する先進国と同様、情報を安全に処理していることが期待される。その視点でも、今後セキュリティを意識しなければならない」と指摘した。

　ビザの調査によると、2012年のビザカードによる決済額は約4兆ドル（クレジット、デビット取引の合計）を超えている。決済額は右肩上がりになっているが、売上に占める不正の比率は右肩下がりとなっている。これはペイメントカード業界が、企業の枠を超えて不正利用に対応してきた成果といえる。

ビザ全体の決済額（青：デビット、黄：クレジット）

ビザにおける全世界の売上に占める不正の比率

　日本の加盟店におけるカード情報流出事件の傾向は、SQLインジェクションのように単純な手口も横行しており「加盟店、関係者、サービスプロバイダのセキュリティ意識がまだ十分ではない」（井原氏）と述べる。これは日本におけるペイメントカード関連の法律が「割賦販売法」に基づいており、加盟店が当事者になるのではなく、加盟店向けにサービスを提供する事業者（アクワイアラ）が責任を持つとされる、法律上の問題も関係しているのではないかと井原氏は指摘した。

カード情報流出手口の傾向

　カード情報流出にかかわる損害補償制度では、一定の範囲内でアクワイアラに対して補償を求めるようになっているが、「事故発生時にPCI DSSに準拠している場合、その補償義務は免責される」という一文が付いている。

　一般社団法人日本クレジット協会（JCA）が進めているPCI DSSジャパンプランでは、次の期限として年間100万件以上の決済を行うレベル2、レベル1の加盟店（対面取引）に対し、2018年3月までに要件を満たすようガイドしている。井原氏は「次回、POS端末を切り替えるときに、PCI DSSに準拠する形でリプレースしてほしい。2018年はそういうタイミングで設定している」と述べた。

PCI DSSジャパンプランの期限と要件。次の期限は対面取引加盟店のカード番号非保持要件などが挙がっている

カード番号をトークン化、「持たない」ことで準拠項目は減らせる

　クレジットカード決済は必要だが、セキュリティをカバーするだけのリソースがないというECサイトも多いだろう。そのような現状を受け、クレジットカード決済業務をサービスとして提供する企業も多く登場している。ビザの子会社であるサイバーソースとアカマイが提供する「セキュアーアクセプタンス」も、ペイメントセキュリティを確保するサービスだ。

　このサービスは、ECサイトにおいて決済時にサイバーソースが提供するページにリダイレクトさせ、その結果をECサイトに戻すというタイプの決済代行だ。セキュアーアクセプタンスではカード情報をトークン化（トークナイゼーション）し、ECサイト側がクレジットカード番号を保持することなく決済が可能となる。

　支払業務を外部委託することにより、PCI DSSに必要な準拠項目を296項目から13項目にまで減らすことができるため、事業者の負担も少なくなることが特徴。

外部委託した場合、リンク型であれば13項目、同一ページ内に決済情報を表示するモジュール型では80項目まで減らすことが可能

セキュアーアクセプタンスではカード情報をトークン化するため、加盟店はクレジットカード情報を持たずに決済が可能