クレジットカード決済の安全性に準拠している?
グローバルセキュリティ基準PCI DSSとは
昨今キャッシュレス化は急速に普及しています。中でも、クレジットカード決済は世界中で最も普及している決済方法といえます。日本においても2020年の東京オリンピックに向けて、政府主導でキャッシュレス化をさらに進めていく方針です。そこで、気になるのがクレジットカードの安全性についてです。
今回は、クレジット業界におけるグローバルセキュリティ基準である「PCI DSS(PCIデータセキュリティスタンダード)」の要件や範囲等を中心に、クレジットカード決済の安全性について解説していきたいと思います。
PCI DSSとは?
PCI-DSS(Payment Card Industry Data Security Standard、米国のクレジットカード協会データセキュリティ標準)は、情報をオンラインで交換する時、消費者のクレジットカード情報およびあらゆる個人情報を安全に維持するため、一連のセキュリティ測定を標準化したものであり、この方法はクレジットカード情報の取扱いに関するセキュリティ基準として世界中に急速に普及しています。日本では、2020年東京オリンピック・パラリンピックに向けて、安全なカード取引が行われる社会の実現を目標として、PCI-DSSに対する対応を進めています。
*参考記事≫≫
キャッシュレス化によるメリット・デメリット
- メリット
まず、利用者にとっては、キャッシュレス化によって買いものでも現金を持ち歩かずに済む、ネットショップで自宅から気軽に注文できる、家計簿サービスと連携させて家計管理が簡単にできるなどのメリットが得られます。
実店舗やECサイトなどを運営するネットショップにおいても、日本人だけでなく、訪日外国人の利用拡大、売上金の盗難や紛失といったトラブルの回避、現金を持ち運ぶ必要がなくなる等、双方にとって利便性や安全面のメリットが大きく得られます。
そして、政府機関にとっても、キャッシュフローがわかりやすくなることで脱税やマネーロンダリングを防げるといったメリットがあるため、今後、国策としてキャッシュレス化を推し進めていく動きがみられます。
キャッシュレス決済比率、10年で40%に 政府が端末導入支援
金融庁と経済産業省は、クレジットカードなどでお金を払うキャッシュレス決済比率を10年間で40%に引き上げる。東京や京都といった訪日外国人が多く集まる都市にある宿泊施設や商店街、観光地で決済端末を完全配置するようにし、設置への支援の枠組みを新たにつくる。米国並みの水準への引き上げで、現状から2倍に増やす。IT(情報技術)と金融を融合したフィンテックを活用して利便性を高め、消費喚起にもつなげる。
こうした点から今後、ますますクレジット決済を中心としたキャッシュレス化が進んでいくことが予想されます。
- デメリット
一方でクレジット決済をはじめとするキャッシュレスにデメリットがないわけではありません。
例えば、決済導入のための設備投資が必要なこと、決済後に返金等のやり取りが面倒になる場合があること、そしてカード情報の盗難等によるセキュリティ的なリスクがあることです。カードの盗難についてはカード会社の補償がありますが、場合によっては適用されないこともあります。また、店舗が一番気を付けなければいけないのが、個客のカード情報を安全に管理し、流出させないようにしなければならないことです。
日本カード情報セキュリティ協議会なども「カード業界を取り巻く環境とセキュリティの重要性」として
"カード・ビジネスが順調に成長を続ける一方でカード犯罪も増え続けており、犯罪に結びつく情報の流出を防ぎ信頼を維持するために効果的な対策が広く求められているのが現状です。
カード会員データの保護に対する注目は高く、法制度をも視野に入れた企業側の積極的な対応が必要となりつつあります。"
と警鐘を鳴らしています。その中で、クレジッドカード会員の個人情報や決済データの漏洩リスクを低減するよう目的のため、PCI DSS(PCIデータセキュリティスタンダード)が制定されました。
日本カード情報セキュリティ協議会が述べているように、インターネットの普及とクレジットカードの利用増加に伴って、安全性の低いネットワークや決済システムから不正行為者によるカード情報の窃盗が増加したことがPCI DSSの策定された経緯になります。金融機関や決済サービス事業者などクレジットカードを取り扱う際にはPCI DSSに準拠する必要があります。基準については次項で詳しく説明します。
PCI DSSで求められる要件
PCI DSSは クレジットカード情報および取引情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。PCI DSSでは6つの目標とそれに対応する12の要件が定められています。
- 安全なネットワークの構築と維持
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
- カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
- 脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
- 強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
- ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
- 情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する
PCI DSSの適用範囲とレベル
PCI DSSの適用範囲は、カードリーダー、POSシステム、店舗内のネットワークとルーター、カード情報の保管と伝送システム、カード情報を含む書類、オンラインでの注文や支払い情報などに渡ります。さらにPCI DSSの準拠には年間の取引数によって4つのレベルが定められています。
- PCI DSS要求される準拠事項(加盟店レベル)
レベル |
Visa Inc.(AIS) |
MasterCard(SDP) |
American Express |
Discover |
|
1 |
・当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店 |
・MastercardとMaestroの年間取引総件数の合計が600万件を超えるすべての加盟店 |
・当該ブランドの年間の取引件数が100万件以上(推奨・2018年4月1日より必須) |
・当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店 |
・当該ブランドの年間取引件数が600万件以上 |
2 |
・当該ブランドの年間の取引件数が100万~600万件 |
・結合されたMasterCardとMaestroの年間取引総件数が100~600万件である加盟店 |
・当該ブランドの年間の取引件数が100万件未満 |
・当該ブランドの年間の取引件数が5万~250万件以上またはAmericanExpressがレベル2と判断した加盟店 |
・当該ブランドの取引が100万件以上、600万件未満の加盟店 |
3 |
・当該ブランドの年間の電子商取引における取引件数が2万~100万件 |
・MasterCardとMaestroのeコマース取引を合わせて2万~100万件取り扱う加盟店 |
該当なし |
・当該ブランドの年間の取引件数が5万件未満 |
・当該ブランドの年間の電子商取引における取引件数が2万~100万 |
4 |
・当該ブランドの年間の電子商取引における取引件数が2万件未満 |
・レベル1~3以外のすべての加盟店 |
該当なし |
該当なし |
・レベル1~3以外のすべての加盟店 |
最後に
ビジネスの規模が拡大するに伴い、事業者とその顧客の機密情報を安全に保つことは重要な課題になってきます。PCI DSS遵守により、企業価値(信用、ブランド)が向上するのはもちろん、ハッカーなどからの実際の攻撃を防ぐことができます。認定取得のメリットは大きいものですが、実際に自社のレベルに応じた要求事項に応えることは簡単ではありません。一連の準拠対応作業をアプトソーシングすることも一つの選択肢におく必要もあるでしょう。
*PCI DSSの関連記事はこちら≫≫