IC対応とライアビリティシフトの現状 日本におけるIC対応義務化の背景は経済産業省が2018年4月に公開している「改正割賦販売法について」(PDF)という資料が詳しい。 近年、クレジットカード取引における不正利用被害額が上昇しており、その対応を強化するのが目的だ。クレジットカード決済には主にリアル店舗で行なわれる「対面決済」と、ECや一部店舗で行なわれている「非対面決済」の2つが存在するが、ここで情報管理の甘いシステムが存在することで利用者のカード情報が漏洩する危険性がある。昨今ニュースで報じられている「○○が△万件のカード情報流出」という事件はこれに起因する問題だ。 ケースの2つめとして考えられるのが、こうした漏洩済み情報を用いて磁気カードを偽造し、店舗決済やキャッシングに利用する問題だ。2016年5月にセブン銀行ATMを中心に都市部のATMで18億円の現金が一斉に引き出されるという事件が発生したが(NHKの参考記事)、これがまさに該当する案件だ。 3つめはなりすまし被害で、ケースとしては昨年2018年12月にPayPayで発生した「他人のクレカ情報を登録してPayPayで決済を行なう」というものが該当する。 このうち、2つめのケースについてはIC付きクレカの利用で防げる可能性が高く、世界的にみてもこの対策が甘い日本が集中的に狙われたという意見がある。IC付きクレカに付属するICチップの標準規格はEMV(Europay, Mastercard and Visa)という仕様に準拠しており、同標準はEMVCoという国際カードブランドらが中心となって運用される標準化団体によって定められている。 従来まで、偽造クレジットカードによる被害はカードを発行するイシュアが加盟店規約を基に負担してきたが、より安全で偽造の難しいIC付きクレカへの業界全体での移行を促すため、IC非対応の決済端末で行われたクレカのトランザクションで発生した不正被害は、決済端末を利用する加盟店側が負担するという責任権限の委譲、いわゆる「ライアビリティシフト(Liability Shift)」が行なわれるようになった。 これは欧州やカナダなどの地域で先行して実施され、米国でも2015年10月1日より有効となった(ガソリンスタンドの自動給油機については2017年10月1日から)。これが2020年3月のタイミングで日本でも実施されるというのが全体の流れだ。

PCI DSSとカード情報非保持化 もちろん、単純に「IC付きクレカが利用できる決済端末を導入しました」というだけではダメで、きちんとICチップ内の決済情報が安全に処理され、場合によっては保持されていることが前提となる。 そこで登場するのが「PCI DSS(Payment Card Industry Data Security Standard)」と呼ばれるクレジットカードの利用や処理に関するセキュリティ標準で、システム全体できちんとカード情報が保護され、安全な形で処理されているかが求められることになる。 本稿執筆時点で最新のPCI DSS 3.2.1が発行されているが、その趣旨としては国際カードブランド各社でまちまちだったカード取り扱いのためのセキュリティ標準を一本化し、アクワイアラや加盟店各社にきちんとした形で実装してもらえるようにしたものだ。 下記は、NTTデータがCAFISを利用してPCI DSSならびに「カード情報の非保持化」にいかに対応するかを紹介したページから引用した図版だ。 IC対応を行なう場合、小売店舗である加盟店各社は「カード情報の非保持化」を行なうか、あるいはカード処理を行なう事業者と同様にPCI DSS標準への準拠を求められる。一般に、カード処理にはCCTなどの外部端末を通して直にセンター側に処理する「外回り」と、POSに接続された決済端末を通してセンター側に接続する「内回り」の2つのパターンがある。後者は大手やチェーン店などのケースで多いが、POSを含むセンターへの接続経路まで一定のセキュリティ基準を満たしている必要がある。 また、内回りのケースでもPCI DSSに準拠していれば必ずしも安全というわけではなく、例えば2013年に4,000万件のカード情報漏洩を起こした米Targetのケースでは、POS端末に直接マルウェアを潜り混ませる形でカード情報の送信が行なわれ続け、システムそのものはPCI DSS準拠だったにも関わらず被害を出している。これはカード情報がセンターに送信されるタイミングで暗号化された情報が平文に戻されるなど、仕組み上攻撃の余地を残していることによるものだ。そのため、エンド・ツー・エンドでカード情報の安全性を保つ「PCI P2PE(Point to Point Encryption)」といった標準も定義されており、このP2PE対応でより高いセキュリティを訴えるシステムベンダーもある。 つまり、カード加盟店はIC対応にともない、今回のファミリーマートのケースのように決済端末を変更するだけでなく、多くの場合はPCI DSS対応やカード情報非保持化のためにソフトウェア更新やシステム更新という形でバックエンドに手を入れなければいけなくなるという話。これがコストと時間を要する要因であり、なかなか業界全体で対応が進まない理由でもある。ライアビリティシフトとは一種の強制力のようなもので、業界全体のセキュリティ強化のためにボトムラインを上げることが念頭にある。もちろん、4年前にライアビリティシフトが実施された米国においてもIC化率はいまだ100%に達しておらず、少なからぬ加盟店が移行の狭間で揺れている。大手小売各社についても、IC対応についてはライアビリティシフト実施から1-2年ほどの混乱が見られた。 ただ、日本では一度IC対応が進むと割と厳格化されるという印象もある。例えば、筆者の自宅近くに今年2019年8月に天然温泉がオープンし、せっかくということで利用してみたのだが、ここでのカード決済はICカードのみしか許されなかった。その理由を聞いてみたところ、中小の加盟店が新規に申請を出してもICカードの取り扱いのみしか許可されず、磁気カードの扱いが拒否されるのだという。安全性の理由によるものだと考えられるが、割と同様のケースでICカード以外の取り扱いを拒否される加盟店もいるのではないかと考えている。