3月1日に日本クレジットカード協会主催のもと「クレジット取引セキュリティ対策協議会」が行われました。
クレジットカード取引におけるセキュリティ対策強化に向けた実行計画2018(経済産業省)
(実行計画2018をとりまとめました ~国際水準のクレジットカード決済環境の整備を進めます~)
これは東京五輪(東京オリンピック)が開催される2020年に向けて日本のクレジットカード利用環境を国際レベルにまで引き上げるというものです。
この取り組みの背景には日本でクレジットカードの情報漏洩や偽造クレジットカード、不正アクセスなどの被害というのがいまだに多く存在し2016年には142億円、2017年には177億円と被害が拡大しているためでしょう。
また、これに対してクレジットカードの決済額というのは年々増加しており2017年には53兆円にも増えています。
このクレジットカードセキュリティ対策強化実行計画の主な取り組みは以下の3点です。
クレジットカード情報の適切な保護
これは利用者のカード情報を加盟店が不必要に保持しないようにする取り組みです。
従来の改正割賦販売法(かいせいかっぷはんばいほう)ではカード会社にはカード情報の保護が義務付けられていましたが、2018年6月1日からはカード加盟店にもカード情報の保護が義務付けられるようになります。
カード加盟店の事業主の人にとってはカード情報漏洩はカード会社の責任なんて考えていられなくなりますね。
この取り組みでは「PCI DSS(Payment Card Industry Data Security Standard)」にカード発行事業者とカード加盟店が準拠するように求められています。
※PCI DSS
カード情報を取り扱う事業者に対して国際ブランドが定めたデータセキュリティの国際基準。
安全なネットワークの構築やカード会員データ保護などについて大きく分けて以下の12の要件に対応していることが必要となります。
| 1 | カード会員データを保護するために、ファイヤウォールをインストールして構成を維持する |
| 2 | システムパスワード及び他のセキュリティパラメーターにベンダー提供のデフォルト値を使用しない |
| 3 | 保存されるカード会員データを保護する |
| 4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 5 | 全てのシステムをマルウェアから保護し、ウィルス対策ソフトまたはプログラムを定期的に更新する |
| 6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
| 7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 8 | システムコンポーネントへのアクセスを識別・認証する |
| 9 | カード会員データの物理アクセスを制限する |
| 10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 11 | セキュリティシステムおよびプロセスを定期的にテストする |
| 12 | 全ての担当者の情報セキュリティに対応するポリシーを維持する |
こういった取り組みによりカード加盟店が万が一不正アクセスなどの被害を受けた場合でも、カード情報の漏洩を防ぐことができるようになります。
クレジットカードの不正利用防止
こちらはクレジットカード加盟店でのカード決済端末をIC対応(EMV)にすることを義務付けるものです。
特に外国人などが訪れる主要な商業施設、宿泊施設、観光スポットにおいては「100%の決済端末のIC対応(EMV)」を目指すようです。
また、この協議会の報告書ではアメリカがかつてIC対応に遅れていた時に大規模な情報漏洩が発生し、その後2014年に大統領令でIC対応が発令されて急速にIC対応かが済んだことにも言及しています。
個人的にはこの内容を見て3年以上前の出来事にいまさら触発されたのじゃ遅すぎと・・・・、と思うと同時についにやる気が出たのかなと思いました。
日本はいまだに多くのところで磁気ストライプのみで決済出来てしまいますからね・・・。
またこの取り組みの中では本人確認不要(サインレス)取引についても言及しており、これについては決済端末CCT(Credit Center Terminal)機器メーカーにサインレス方式の実装に取り組むようにとなっています。
すぐには実現できそうにはありませんがIC対応が進んだ先には、サインレス決済に取り組むことになっていく流れが見えますね。
また、他にも非対面式(ネットや電話、メールなど)での取引を行う加盟店では、3Dセキュアによる「本人認証」、セキュリティコードによる「券面認証」、IPアドレスやデバイス情報が過去の取引と一致しているかを評価する「属性・行動分析」、
不正利用された注文の配送先情報と照合する「配送先情報」などの認証行為のうち1、2つ以上の導入が必要となることになります。
消費者などへの情報発信
こちらはラジオCMや新聞広告、日本クレジットカード協会のサイトや宣伝チラシ、講演会などで啓蒙活動をするような話なので、抜本的な対策とは言い難いですね。
そもそもそんなことやっていたことすら知らなかったくらいですから・・・。
また個人的に残念なのは情報発信の一環でIC付きクレジットカード対応マークを普及させていく取り組みも継続するようです・・・・。
以前にもこちらの記事で紹介しましたが。
「IC付きクレジットカード対応」が一目でわかるマークが誕生!・・・・でもこれって本当に必要?
このマークはICカード決済端末の導入が義務づけられたらいらなくなるような気がするんですけどね・・・。
個人的には消費者への情報普及のためにはこういったクレジットカード紹介サイトなどの協力を借りるほうが、よっぽど効果が見込める気がするんですけどね。
さいごに
今回のこの取り組みにはクレジットカード会社、加盟店・関係業界団体、PSP(Payment Service Provider)、決済端末機器メーカー、情報処理センター、セキュリティ事業者、国際ブランドおよび行政が参画しているためかなり本格的な取り組みになっていると思います。
そしてこれほどにまでクレジットカード決済について大規模な取り組みの実施をするというのは、ここ数年の間のなかでもなかなか類を見ないものだと思います。
それというのもやはり「東京五輪(東京オリンピック)」が2020年に開催されるというのがとても大きな影響があるのでしょう。
先日韓国で行われた平昌五輪(ピョンチャンオリンピック)を見ても分かる通り世界中が注目するスポーツの祭典で、世界各国の人たちが日本という国に、東京という街にやってきたときに日本の文化レベル、経済レベル、技術レベルがどれだけのものかというのも見られることになります。
欧州やアメリカではIC対応のクレジットカード端末が普及し、中国などではQRコードを用いたキャッシュレス決済まで普及しています。
そんななか日本という国が先進国に対して遅れていると見られてしまうのか、それとも日本の技術や文化を海外の人たちが称賛して、自国に帰って紹介するくらいのものになるかが問われることになると思います。
海外の人たちが「日本は日本の通貨が無いと買い物も不便でクレジットカードを使用するのもセキュリティが不安」と思うのか、「日本はクレジットカードがあれば買い物も便利だし通貨の両替をする必要もない安全でキャッシュレス決済が進んでいる国」と思われるかどうかになると思います。
後者のように思われるためにはまず日本に住む私たちがクレジットカード決済の文化を作らなければならないでしょう。
以上、2018年から2020年に向けてクレジットカード取引のセキュリティを強化する計画が発表されました。の記事でした。
読んで頂きありがとうございました。