クレジットカードのセキュリティ対策は2018年3月までに!(第1回)

齊藤 元彦

【経済産業省が発表したEC事業者が2018/3までにするべきこと -第1回-】

①クレジットカードのセキュリティ対策の採用指針が、経済産業省よりEC事業者に対して発表された

②EC事業者は2018/3までに「カード情報の非保持化」もしくは「PCI DSS準拠」が求められる

③「カード情報の非保持化」対策には、「JavaScriptを使用した非通過型(トークン決済)」と「リダイレクト型(リンク型)」がある

クレジットカードのセキュリティ対策について

クレジットカードのセキュリティ対策の採用指針が、2016年2月に発表されました。
これは、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないというものです。

詳しくは、経済産業省などからなる「クレジット取引セキュリティ対策協議会(*1)」より発表された、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、実行計画)」に書かれているのですが、専門用語が多く、なかなかボリュームのあるこの資料を理解するのは大変です。
*実行計画 http://www.meti.go.jp/press/2015/02/20160223005/20160223005.html

そこで、私たちがEC事業者の皆さまに必要なところをピックアップし、解説や対応方法などを、このコラム連載を通して説明させていただければと思います。

私は、EC事業者の皆さまなどに、決済代行サービス等を提供している「GMOペイメントゲートウェイ」の情報セキュリティ担当、齊藤と申します。



この「実行計画」が発表された背景の一つに、近年不正に入手されたカード情報による不正使用被害の増加が挙げられます。不正使用の被害額は、2012年の68億円から2015年には120億円(*2)と拡大をしています。

では、なぜ不正使用被害の増加が、EC事業者へのクレジットカードのセキュリティ対策要請に繋がるのでしょうか。それは、セキュリティ対策が不十分なECサイトを狙った不正アクセスによりカード情報が盗まれ、盗まれたカード情報が、偽造カードや本人なりすましにより、不正に使用されているからです。

カード情報を盗み取る手口が巧妙化し、ECサイトを攻撃してカード情報を盗むという方法が拡がっているのです。

また、先日、第31回オリンピック競技大会(リオデジャネイロオリンピック)が終わりましたが、次の2020年「東京オリンピック・パラリンピック」の開催等も踏まえ、クレジットカード取引のセキュリティ環境を国際水準まで高めなければならないという全体的な動きも、「実行計画」が発表された背景にあります。

このような背景のもと発表された「実行計画」の内容は、「カード情報保護」「カード偽造防止対策」「ECにおける不正利用対策」の3本の柱からなっています。



2018年3月までに、EC事業者の皆さまが対応しなければならないこと

「実行計画」の3本柱のうち、EC事業者の皆さまに直接関係があるのは「カード情報保護」です。
「カード情報保護」つまり、カード情報を盗まれないように、「カード情報の漏えい対策」をきちんとしましょうというもので、「実行計画」では、対策方法として「カード情報の非保持化」もしくは「PCI DSS準拠」が求められています。

先ほどお話ししましたように、カード情報を盗み取る手口は年々巧妙化しており、ECサイト側で「PCI DSS準拠」をするくらい十分な対策を取っていなければ、不正にアクセスされ、カード情報が漏えいする可能性があるほどまでになっています。

それならば、いっそのことECサイトでカード情報を保持しなければ、不正アクセスの攻撃を受けてもカード情報の漏えいは防げるとの考えから、「カード情報保護」で求められている対策の一つが、「カード情報の非保持化」です。


「カード情報の非保持化」とは、カード情報がECサイトのサーバー上を「保存」「処理」「通過」をしない状態を指しています。
少し難しくなってきましたね、簡略化して言いますと、購入者が次のようにECサイトで商品を買う場合、

--------------------------------------------
1.ECサイト上で商品を選択
2.氏名・配送情報を入力
3.カード情報入力
 →カード決済処理
--------------------------------------------

『3.カード情報入力』が、ECサイトのサーバー上で行われていなければ、「カード情報の非保持化」に対応できていることになります。
『3.カード情報入力』がECサイトのサーバー上で行われている場合は、対策として、「カード情報の非保持化」となるカード決済システムを利用することが必要となります。

もう一つの「カード情報保護」の対策は、「PCI DSS準拠」です。

これは準拠のためのコスト・時間、それに準拠後の運用継続が必要となるので、ある程度余裕のあるEC事業者様でないと対応が難しいかと思います。このコラムでは、触れる程度とさせていただきますが、私たちGMOペイメントゲートウェイでは、「PCI DSS準拠」を希望されるEC事業者の皆さまのご相談にものっておりますので、お気軽にご連絡ください。



「カード情報の非保持化」となるカード決済システムとは?

「実行計画」では、「カード情報の非保持化」となるカード決済システムとして、「JavaScript を使用した非通過型」「リダイレクト(リンク)型」という2種類が推奨されています。

まず、「JavaScript を使用した非通過型」は、先ほどの購入者がECサイトで商品を買う流れで見ると、『3.カード情報入力』で購入者が入力したカード番号をトークン(乱英数字の文字列)に置き換えて決済するシステムです。

これにより、ECサイトのサーバー上では『3.カード情報入力』ではなく『3.トークン入力』となります。それ以降もトークンで決済処理がされるため、ECサイトのサーバー上は「カード情報の非保持化」となるのです。
私たちGMOペイメントゲートウェイでは、「トークン決済」という名前で、このカード決済システムを提供しています。

次に、「リダイレクト(リンク)型」は、『3.カード情報入力』を最初から、ECサイトのサーバー上ではなく、私たちのような決済代行事業者のサーバー上で行う決済システムのことです。

このように見ますと、「JavaScript を使用した非通過型」でわざわざ「トークン」にせず、「リダイレクト(リンク)型」を使えば良いように思いますね。しかしながら、トークン決済を使うメリットもあるのです。それは、次回からのコラムのなかでお話していきたいと思います。


最後に、本日のまとめとして、EC事業者の皆さまには、下記2つを覚えていただければ幸いです。
--------------------------------------------------------------------------
●EC事業者は2018年3月までに対応しなければいけないことがある
●「カード情報の非保持化」となるカード決済システムは「トークン決済」か「リンク型」
--------------------------------------------------------------------------

GMOペイメントゲートウェイでは、「実行計画」の内容や対応すべき内容に関する「セキュリティセミナー」を開催しています。
皆さまの疑問に直接お答えすることができる場でもありますので、ご興味がございましたら是非ご参加ください。


(*1)クレジット取引に関わる幅広い事業者及び経済産業省が参画して2015年3月に設立
(*2)出典:一般社団法人日本クレジット協会「クレジットカード不正使用被害額の発生状況」


著者

齊藤 元彦 (Motohiko Saito)

通信系教育会社のシステム運用担当、情報セキュリティコンサルタントを経て、2010年GMOペイメントゲートウェイに入社。情報セキュリティ担当として、ISO27001・Pマーク・PCIDSSなどの取得・継続運用、社内セキュリティ体制の構築などを実施。情報セキュリティ業務に15年以上携わる経験を活かし、セキュリティセミナー講師なども行う。

・GMOペイメントゲートウェイ : https://www.gmo-pg.com/
・カード情報の漏えい対策について : https://www.gmo-pg.com/service/function/execution/