アカマイとサイバーソースは2013年12月12日、東京、虎ノ門のアカマイ本社にて「不正アクセスによる情報漏えいの影響とPCI DSS準拠による予防対策セミナー」を開催した。
セミナーではビザ・ワールドワイド・ジャパンのディレクター/リスクマネージメントの井原亮二氏による講演も行われ、PCI DSS準拠の必要性を解説した。
7年後、海外のお客様がクレジットカードを持ってやってくる
井原氏はまず、先日開催が決定した2020年の東京オリンピックについて、海外から多くの観光客がやってくることが、情報セキュリティも関係してくることに言及した。「日本の加盟店で海外のカードを使っても、PCI DSSが普及する先進国と同様、情報を安全に処理していることが期待される。その視点でも、今後セキュリティを意識しなければならない」と指摘した。
ビザの調査によると、2012年のビザカードによる決済額は約4兆ドル(クレジット、デビット取引の合計)を超えている。決済額は右肩上がりになっているが、売上に占める不正の比率は右肩下がりとなっている。これはペイメントカード業界が、企業の枠を超えて不正利用に対応してきた成果といえる。
日本の加盟店におけるカード情報流出事件の傾向は、SQLインジェクションのように単純な手口も横行しており「加盟店、関係者、サービスプロバイダのセキュリティ意識がまだ十分ではない」(井原氏)と述べる。これは日本におけるペイメントカード関連の法律が「割賦販売法」に基づいており、加盟店が当事者になるのではなく、加盟店向けにサービスを提供する事業者(アクワイアラ)が責任を持つとされる、法律上の問題も関係しているのではないかと井原氏は指摘した。
カード情報流出にかかわる損害補償制度では、一定の範囲内でアクワイアラに対して補償を求めるようになっているが、「事故発生時にPCI DSSに準拠している場合、その補償義務は免責される」という一文が付いている。
一般社団法人日本クレジット協会(JCA)が進めているPCI DSSジャパンプランでは、次の期限として年間100万件以上の決済を行うレベル2、レベル1の加盟店(対面取引)に対し、2018年3月までに要件を満たすようガイドしている。井原氏は「次回、POS端末を切り替えるときに、PCI DSSに準拠する形でリプレースしてほしい。2018年はそういうタイミングで設定している」と述べた。
カード番号をトークン化、「持たない」ことで準拠項目は減らせる
クレジットカード決済は必要だが、セキュリティをカバーするだけのリソースがないというECサイトも多いだろう。そのような現状を受け、クレジットカード決済業務をサービスとして提供する企業も多く登場している。ビザの子会社であるサイバーソースとアカマイが提供する「セキュアーアクセプタンス」も、ペイメントセキュリティを確保するサービスだ。
このサービスは、ECサイトにおいて決済時にサイバーソースが提供するページにリダイレクトさせ、その結果をECサイトに戻すというタイプの決済代行だ。セキュアーアクセプタンスではカード情報をトークン化(トークナイゼーション)し、ECサイト側がクレジットカード番号を保持することなく決済が可能となる。
支払業務を外部委託することにより、PCI DSSに必要な準拠項目を296項目から13項目にまで減らすことができるため、事業者の負担も少なくなることが特徴。
関連記事
- VISA Global Security Summit 2013レポート:「カード番号すらシェアする世代」を守るには
- 「Visaカード」のデータが集まる極秘の場所に日本メディアで初めて潜入した(Business Media 誠)
関連リンク
Copyright© 2013 ITmedia, Inc. All Rights Reserved.