2018年3月まで！カード情報非保持化の対応期限が迫る今、選ぶべきは『トークン決済』

経済産業省が主導となり、国際水準のクレジットカード決済のセキュリティ環境整備を進めるとして2016年2月に策定、翌年3月に改訂した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画（以下、実行計画）」の中で、EC事業者は「カード情報の非保持化(もしくはPCI DSS準拠)」が求められている。また、2016年12月に改正割賦販売法が公布されEC事業者のセキュリティ対策が義務となった。なぜ今、このような厳格なルールづくりがされているのか、具体的にはどのようなルールなのか、ソニーペイメントサービス株式会社 取締役・専務執行役員の南 啓二氏に話を聞いた。

近ごろザワついている「カード情報非保持化」とは？EC事業者は何をするべきか

「近年、カード情報漏えいや不正取引が相当増えています。以前は韓国やアメリカなど海外で情報漏えいが多発していましたが、それぞれの国がセキュリティ対策をしたことで、最近では対策が遅れている日本がセキュリティホールとなり、世界の標的とされるリスクが非常に高くなっているという背景があります。その認識と危機感を政府や業界も持っているのでしょう」と南氏は語る。

犯罪の手口は常に変化し巧妙化している。そのために、よりセキュアな環境を求められていると南氏は言う。「データベースから情報を抜き取るだけではなく、サーバーに残っているログからも大規模な情報漏えいが発生しています。EC事業者様がカード情報を保持しなければ安心ということはなく、情報を“通す”ことでさえ漏えいのリスクがあることから、実行計画ではカード情報を保存、処理、通過しないこと、すなわちカード情報の非保持化をEC事業者様に求めているのです」

　　　　ソニーペイメントサービス株式会社 取締役・専務執行役員 南 啓二氏

では、具体的にカード情報の非保持化を実現するために、EC事業者は何をすべきなのか。

「カード情報を保存、処理、通過しない非通過型決済システムへの移行が必要です。今まで通りカード情報を通す決済システム（通過型）を使用するには、PCI DSS の準拠が必要になりますが、多額の費用と労力を要します。そこでこれから対策をされるEC事業者様は、堅牢なセキュリティで守られているクレジットカード決済代行サービス会社のサーバーのみにカード情報を通していただく、という対策を行う必要があります。そのような対策ができなければ、今後、クレジットカードでの取引ができなくなる恐れがあります」そう南氏は語気を強める。

各決済代行会社、もちろん同社においても、EC事業者へ向けてさまざまな手段で対策の告知をしているが、実行計画の内容が理解しづらく、多くのEC事業者の対策が進んでいない。「セキュリティに敏感な企業はすでに何重にもセキュリティ対策を行っています。不正を企む悪意ある第三者は、セキュリティ対策が緩いEC事業者様を狙う方が楽ですから、対策がまだ済んでいないネットショップが攻撃の標的となることは明白です」と南氏は警鐘を鳴らす。

カード情報の非保持化に有効な『トークン決済』で、カード情報を保存・処理・通過させない

購入者のカード情報をネットショップのサーバーに通さない非通過型決済とは、一体どのような仕組みで行うのか。

「非通過型決済サービスで特に注目を集めているのが『トークン決済』です。『トークン決済』サービスは、購入者が入力したカード情報を、別の文字列“トークン”に置き換えて決済処理を行うことができます。トークンとは使い回しのできないワンタイムパスワードのようなもので、それを使用すれば、EC事業者様はカード情報に一切触れずに取引を完了することができます」そう南氏は話す。

“トークン”はカード番号とは関連性のない全く別の文字列のため、万が一トークンが漏えいしたとしても、カード情報の盗用とならない。そのトークンをカード情報の代わりに使用することで、同社が従来のカード決済と同様の決済処理をしてくれるというのだ。

しかし、カード情報を別の文字列に置き換えることで、取引に弊害はないのであろうか。

「例えば、EC事業者様がカード取引の不正検知を独自に行っている場合、『同じカード情報での取引履歴』等の確認を行うと思います。それがトークンでは決済毎に違う文字列になってしまうため、同じ番号が使われているかどうかがEC事業者様側では全くわからなくなり不正検知ができなくなるという問題が出てきます。

そこで弊社では、購入者がカード情報を集中的に連続して入力してきた場合には、オーソリを行わせない機能をご提供しています」と南氏。

クレジットカード決済代行でできる『不正取引させない』セキュリティ対策

たとえ自店からの情報漏えいが防げたとしても、不正取引被害にあってしまっては目も当てられない。情報漏えいと同時に対策を講じたいのが、不正取引の問題だ。クレジットカードの利用人数が増えれば犯罪件数が増えるのは当然と考えておくべきだろう。

「弊社の『トークン決済』の特徴として、同じクレジットカード番号が短時間に複数回入力された場合、無効発行ステータス(有効性チェック未実施)のトークンを返戻してオーソリを行わせないことができます。また、同一のエンドユーザ端末から一定時間内に連続して決済を行っている場合も同様です」

南氏は「サービスの詳細については、セキュリティの観点から多くは語れない」と詳細は避けたが、同社のトークン決済は、不自然に重複して利用されているカード番号とIPアドレスをチェックするシステムが備えられているようだ。

さらに３Dセキュアに加え、同社独自の本人認証サービスとして、オーソリと同時にクレジットカード所有者の属性データを直接カード会社の会員データベースにマッチングさせることで、不正利用を抑止する仕組みもあるという。

「独自の不正対策ソリューション『認証アシストサービス』は業界で唯一、カード会社とダイレクトにネットワーク接続をしていることで実現した当社ならではのサービスです」

2018年3月、そして2020年を見据えた決済業界と新しいサービスの必要性

今回の実行計画では、カード情報を紙媒体のまま保存する場合はカード情報非保持とされているが、紙媒体から電子化した時点でカード情報を保持しているとみなされるケースがある。そのため、同社には電話や郵便・FAXなどの紙で受注する通販事業者からの相談が増えているという。

「ネットだけではなく一切カード情報に触れずに決済処理を行う事はできないか。そういった事業者様が最近とても多くいらっしゃいます。紙媒体の記録は、いつかのタイミングで電子化する必要が出てきますし、カード会社への問い合わせやチャージバック窓口対応など、カード情報を取り扱う業務は必ず発生します。そのようなリスクに対応するために弊社では業務受託のサービスを行っております」

ソニーグループ各社の決済も担っている同社では、グループの中で活用していた事務的なバックヤード機能を他社にも向けてサービス提供し、事業者がオフラインでもカード情報に触れることなく、本来の業務に全力を注げるようなサポートをしてくれるのだという。

「カード情報非保持化の期限はもう迫っています。まだ対策をしていないならすぐに決済代行会社に連絡をとってください。これから決済代行会社を利用するのであれば、『EC決済協議会』に加入している信頼できる企業から選ぶことをおすすめします。私もEC決済協議会の理事ですが、みな真剣に先を見据えたセキュリティ対策を議論しています。収益的に厳しいと価格重視で決済サービスを選びがちですが、誤った対策をしては本末転倒です。こと決済に関しては質を重視して選ぶ必要があると思います」南氏は熱く語る。

セキュリティ対策期限の2018年はもうすぐそこまで来ている。対策に頭を抱えるEC事業者を全面的にサポートする同社の今後の詳報に期待したい。