• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠

〜クレジットカード取引におけるセキュリティ対策の強化の要請
及びPOS加盟店における課題〜
記事提供:株式会社リンク

2016年2月23日、クレジット取引セキュリティ対策協議会から『クレジット取引におけるセキュリティ対策強化に向けた実行計画-2016-』が発行された。

  資料はこちらをご覧ください(PDF)

POS加盟店など対面加盟店は、カード情報の非保持化またはPCI DSS準拠を2020年3月末までに対応する必要がある。加えてIC(EMV)対応も2020年3月末までに実施しなければならない。2016年末に予定されている割賦販売法の改正では、加盟店側にもPCI DSSや非保持化などの情報管理対策や、IC対応などの本人確認対策も義務化される議論がなされている。

ところが、POS加盟店がそれらの施策を実施していくためには、ECなど非対面加盟店と比較し、特有の課題がある。一つ目は、リアル店舗で必要なICカード(EMV)対応のためのカードリーダー端末の導入費用である。従来型の磁気ストライプ取引のようにPOS端末にカードリーダーを内蔵するのではなく、カードリーダー端末を外付けでPOS端末に接続することが、EMVやPCI基準の認定を考慮すると、総合的にコスト負担は低いといわれている。ただしそれでも、導入しているPOS端末と同じ数の外付けカードリーダー端末と、POSシステムの改修費用には、多額の投資を要することが予想される。

二つ目は、非保持化の方法がEC加盟店と比較して少ないことである。EC加盟店向けには「リダイレクト(リンク)型決済」、「JavaScript型決済」など、非保持を実現する決済サービスがすでに提供されているが、POS加盟店向けには、非保持化を推進するためのサービスはほとんどない。非保持化が選択できないとなると、POS加盟店はPCI DSSの準拠をしなければならない。

三つ目は、仮にPCI DSS準拠を選択したとなると、POS加盟店のコスト負担は、EC加盟店と比較するとはるかに大きい。例えば、店舗内の POS 端末のパッチ適用の運用や、無許可の無線 LAN の検査など、店舗の数だけ対応する必要がある。POS加盟店の店舗を含んだPCI DSS運用コストは莫大である。最後に、すでに延期されたとはいえ、いずれ対応が必要な消費税変更によるPOS改修、そして軽減税率対応など、POS加盟店にはクレジット取引セキュリティと同等、もしくはそれ以上の優先順位でやらなければならない課題が山積みなのである。

CCTをPOS端末と連動させる外回り接続における様々な課題

実行計画に話を戻したい。実行計画(P12)では、共同利用端末(以下CCT)をPOS端末と連動させる外回り接続(POS端末の内部を伝送経路として経由しない)を導入した加盟店は、カード情報非保持、すなわちPCI DSS準拠が不要と扱われているが、本当にそれでよいのだろうか。
POS端末を経由しなくとも、店舗内のスイッチやファイアウォールのみならず、Wi-Fiアクセスポイントなどのネットワーク機器を経由して伝送されている場合もあるので、何も対策しなくていいということはないだろう。
なおPCI SSCから公式に提供されているSAQ(自己問診)のタイプB(ダイアルアップ接続)及びSAQのタイプB-IP(インターネット経由の接続)は、スタンドアロンのカードリーダー端末のみの加盟店に適用することを意図している。これはすなわち、外回り接続CCT連動型におけるカード決済も、PCI DSS準拠が必要ということになる。


※本記事の詳細は、株式会社リンクのサイトに掲載されています。>>

  1. 外部のサイトへリンクします。
    • PマークとPCI DSS
    • ISMSとPCIDSS
    • 参考資料
    • 関連リンク