POS加盟店向けクレジットカード会員情報非保持化に関する考察
クレジット取引セキュリティ対策協議会による実行計画とは?
経済産業省が主導する「クレジット取引セキュリティ対策協議会」は、2016年2月23日、国際水準のクレジットカード取引のセキュリティ環境を整備することを目的に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 」を取りまとめて発表した。
「実行計画」は、1.カード情報の保護について、2.カード偽造防止対策について、3.ECにおける不正利用対策の三つの章から成り立っているが、ここでは、1.カード情報の保護についての考察を行っていく。実行計画にて、発表されたポイントは以下の通り。
1.加盟店
- EC加盟店及びEC以外の非対面加盟店については、2018年3月末までにカード情報の非保持化(※1)又は PCI DSS(※2) 準拠完了を目指す。
- 対面加盟店(POS加盟店)については、2020年3月末までにカード情報の非保持化またはPCI DSS 準拠完了を目指す。
2.カード会社(アクワイアラー)及び 決済代行業者
- カード会社及び決済代行業者は、2018年3 月末までにPCI DSS準拠完了を目指す。
- カード会社及び決済代行業者は、加盟店のカード情報の非保持化またはPCI DSSの準拠に向けて、必要となる技術的な情報提供や、サポート体制を構築するJCDSC 等への誘導等による早期の準拠が実現できるよう協力する。 また、加盟店の非保持化の完了については、カード会社が確認する。
- カード会社は契約等を有する決済代行業者に対して、包括加盟店契約等を有するEC加盟店に非保持化(非通過型システムへの移行を含む)させることを要請し、さらに決済代行業者がPCI DSSに準拠していない場合は可及的速やかに準拠するよう必要な指導を行う。なお、カード会社は、2018年4月を目処に、PCI DSSに準拠していない決済代行業者との取引の見直しについて検討を進める。
3.カード会社(イシュアー)
- カード会社(イシュアー)は 2018年3月末までにPCI DSS準拠完了を目指す。
- フィッシングやウィルス感染など、カード会員から直接カード情報等を詐取する手口も存在するため、消費者に対する注意喚起・啓発等を行う。
※2 PCI DSS は、安全なネットワークの構築やカード会員データの保護など、12 の要件に基づいて約400の要求事項から構成されており、「準拠」とはカード情報を取り扱う業務範囲において、この要求事項にすべて対応できていることをいう。
PCIDSS準拠の検証方法としては、カード情報の取扱い形態や規模によって、@オンサイトレビュー(認証セキュリティ評価機関(QSA)による訪問審査)またはA自己問診(SAQ、自己評価によってPCI DSS 準拠の度合いを評価し、報告することのできるツール)による方法がある。
対面加盟店(POS加盟店)の非保持化の方法論
上記の対面加盟店(POS加盟店)に対する非保持化の要請に対して、対面加盟店(POS加盟店)には、ネット加盟店のような決済代行事業者やプロセッサが加盟店に代わってカード会員データを保存してくれるサービスが国内にない状況である。そのため論理的には以下の2つの方法に絞られる。
非保持化に対する対策例
手法A データの部分削除
カード会員データのトランケーション処理
(例):1234 5678 9123 4567 → 1234 56XX XXXX 4567
手法B データのトークン化
(例):1234 5678 9123 4567 → 3496 4758 0154 4567
トランケーション処理をした場合は、売上処理などはバッチ的な対応に活用できる可能性があるが、データ処理会社との連携方法の検討など課題は多い。また提携カードなどでポイント連動している場合には、リアルタイムの正確な処理が必須となるため不向きといえる。 よって、POS加盟店における非保持化の手法は、現在のところデータのトークン化が最も現実的なアプローチといえよう。ただし後述の「オンプレミス型」のトークン化システムの導入を選択した場合は、どうしても正規カード会員データの保存が加盟店の環境内に残ってしまうため、非保持を実現にするためには「クラウド型」のアプローチが必須となる。詳細は後述する。 (2016.3.22掲載)
本記事の続き(非保持化を実現にするための具体的な方法)は、株式会社リンクのサイトに掲載されています。
