カード番号非保持化、PCI DSS、IC対応……etc。2016年12月に成立・公布された「改正割賦販売法」の全面施行までに、小売業が行うべき対策をまとめた。
・前編<店側にも義務づけられるカード犯罪防止策>から読む
「PCI DSS」とは、クレジットカード業界の国際的なセキュリティ基準である。情報システムはもちろんのこと、入退室のような物理的なアクセスに関しても高度な管理体制が要求されるなど、一般の小売店にとって対応するうえでのハードルは高い。大手を除く多くの加盟店では、カード情報の「非保持化」に向けて動くしかない。加盟店がカード番号等の情報を保持しなければ、万が一、店のシステムが攻撃された場合でもカード情報が漏れるおそれはない。
店舗で問題となるのがPOSレジのシステムだ。外付けの決済端末から、カード会社や決済業者に直接カード情報を伝送している場合は、店が保有する情報システムにカード情報が流れることはないので、非保持化を達成できる。
しかし、カード決済機能を内蔵したPOSレジを使用している場合、カード情報がPOSシステム上を「通過」するだけでも、これは非保持化とは認められない。仮にPOSレジがマルウェアに感染した場合、カード情報を一時的に読み取っただけでも、データが不正に外部へと送信される可能性があるからだ。前述のように、ICチップ搭載カードにも対応しなければならないため、レジの入れ替えやシステム改修のコストは巨額となり、カード決済のセキュリティ対策が進まない要因となっていた。
ICチップ搭載カードに対応した「iRITSpay」の決済端末。電子マネーにも対応する
POS側に流れるのは「○○円の決済が完了。利用カード会社は△△」という情報だけで、顧客のカード番号等は含まれない。既存システムの改修を最小限に抑えながら、新制度に対応できるのが特徴だ。電子マネーや、WeChatペイ・アリペイの導入も合わせて実現できる。
「iRITSpay」による既存POSのICクレジットカード対応
対応期限までにはまだ3年弱の時間があるが、アイティフォー 流通・eコマースシステム事業部の望月忍・シニアスペシャリストによると、「iRITSpayの商談は、今年後半から来年度上期が中心になる」とみている。予算化から導入作業、テスト完了までに必要な時間を考えると、20年3月に間に合わせるには、店側も来年秋までには対応方針を固める必要がありそうだ。望月氏は「どこかで大きな不正使用が起きて初めて対応が加速する、という事態は避けたい」と話し、提案活動をいっそう強化する考えだ。
アイティフォー 望月忍シニアスペシャリスト
また、スマートフォンやタブレット端末などのモバイル機器を利用した新たな決済サービスが相次いで登場しており、国内では楽天の「楽天ペイ」、コイニーの「Coineyターミナル」、リクルートライフスタイルの「Airペイ」などがある。POSシステムを持たない小規模の店舗では、IC対応を契機として、カード会社が設置した既存の決済端末から、これらモバイル系決済サービスへの置き換えが起こる可能性もある。
中小店舗向けに、スマートフォンやタブレットと決済端末を組み合わせて使う
決済サービスが広がっている(右下が「Airペイ」用決済端末)
換金性の高い商品を多く取り扱う家電量販業界では、カードセキュリティに関しては比較的早期から取り組みが進んだといわれている。しかし、日々何気なく触れているカードやレジが重大な犯罪の入り口になり得るという意識は、あらためて高めておく必要がある。(BCN・日高 彰)
・前編<店側にも義務づけられるカード犯罪防止策>から読む
対策の足かせになっていたPOSレジのカード決済機能
今回の制度改正では、加盟店における「カード情報の非保持化、またはPCI DSS準拠」が必要とされている。かみくだいて表現するならば、「店が自分でカード番号を取り扱うのはやめなさい。どうしても扱いたいのであれば、国際基準に沿った高度なセキュリティ体制を整えること」といった意味になる。「PCI DSS」とは、クレジットカード業界の国際的なセキュリティ基準である。情報システムはもちろんのこと、入退室のような物理的なアクセスに関しても高度な管理体制が要求されるなど、一般の小売店にとって対応するうえでのハードルは高い。大手を除く多くの加盟店では、カード情報の「非保持化」に向けて動くしかない。加盟店がカード番号等の情報を保持しなければ、万が一、店のシステムが攻撃された場合でもカード情報が漏れるおそれはない。
店舗で問題となるのがPOSレジのシステムだ。外付けの決済端末から、カード会社や決済業者に直接カード情報を伝送している場合は、店が保有する情報システムにカード情報が流れることはないので、非保持化を達成できる。
しかし、カード決済機能を内蔵したPOSレジを使用している場合、カード情報がPOSシステム上を「通過」するだけでも、これは非保持化とは認められない。仮にPOSレジがマルウェアに感染した場合、カード情報を一時的に読み取っただけでも、データが不正に外部へと送信される可能性があるからだ。前述のように、ICチップ搭載カードにも対応しなければならないため、レジの入れ替えやシステム改修のコストは巨額となり、カード決済のセキュリティ対策が進まない要因となっていた。
対応期限は2020年3月末 新制度に対応するシステム導入も解決策の一つ
小売業向けの業務システムなどを手がけるITベンダーのアイティフォーでは、このような問題に対する解決策のひとつとして、クラウド型の決済サービス「iRITSpay(アイ・リッツペイ)」の提供を昨年末に開始した。既存のPOSシステムに、ICチップ対応の小型決済端末を追加し、決済時はカード情報を端末から同社の決済クラウドに直接送信する。ICチップ搭載カードに対応した「iRITSpay」の決済端末。電子マネーにも対応する
POS側に流れるのは「○○円の決済が完了。利用カード会社は△△」という情報だけで、顧客のカード番号等は含まれない。既存システムの改修を最小限に抑えながら、新制度に対応できるのが特徴だ。電子マネーや、WeChatペイ・アリペイの導入も合わせて実現できる。
「iRITSpay」による既存POSのICクレジットカード対応
対応期限までにはまだ3年弱の時間があるが、アイティフォー 流通・eコマースシステム事業部の望月忍・シニアスペシャリストによると、「iRITSpayの商談は、今年後半から来年度上期が中心になる」とみている。予算化から導入作業、テスト完了までに必要な時間を考えると、20年3月に間に合わせるには、店側も来年秋までには対応方針を固める必要がありそうだ。望月氏は「どこかで大きな不正使用が起きて初めて対応が加速する、という事態は避けたい」と話し、提案活動をいっそう強化する考えだ。
アイティフォー 望月忍シニアスペシャリスト
また、スマートフォンやタブレット端末などのモバイル機器を利用した新たな決済サービスが相次いで登場しており、国内では楽天の「楽天ペイ」、コイニーの「Coineyターミナル」、リクルートライフスタイルの「Airペイ」などがある。POSシステムを持たない小規模の店舗では、IC対応を契機として、カード会社が設置した既存の決済端末から、これらモバイル系決済サービスへの置き換えが起こる可能性もある。
中小店舗向けに、スマートフォンやタブレットと決済端末を組み合わせて使う
決済サービスが広がっている(右下が「Airペイ」用決済端末)
法改正で求められる 店舗の当事者意識
これまでカード会社は、手数料収入を拡大するための加盟店開拓を繰り広げてきた。いうなれば、頭を下げて店に決済端末を置いてもらう営業活動である。しかし、今後、セキュリティリスクの高い加盟店とは、毎月、大きな売り上げが見込めても取引関係を見直すようになるかもしれない。カードの不正使用がこのまま増え続けると、被害を補填するコストがいつかは割に合わない額に達するからだ。換金性の高い商品を多く取り扱う家電量販業界では、カードセキュリティに関しては比較的早期から取り組みが進んだといわれている。しかし、日々何気なく触れているカードやレジが重大な犯罪の入り口になり得るという意識は、あらためて高めておく必要がある。(BCN・日高 彰)
※『BCN RETAIL REVIEW』2017年7月号から転載