鈴木淳也のPay Attention

第18回

2020年3月のクレカIC対応義務化が日本の決済を変える?

一部ファミリーマート店舗での導入が始まっているIC付きクレジットカード対応決済端末]

先日、ファミリーマートに立ち寄ったところ、POSに据え付けられている決済端末が新しいものに切り替わっていた。従来、ファミリーマートでクレジットカード決済するときは店員にカードを渡してPOSのリーダーでスワイプし、電子マネーの場合は客側に向けられた決済端末にタッチする形で運用されてきた。だが今回新端末に移行したことで、少なくともICチップ付きクレカについては顧客自らが手元で操作する形となった。

コンビニ大手3社では、ローソン、セブン-イレブンに次ぐ形でのICクレカ対応となったファミリーマートだが、これはクレジット取引セキュリティ対策協議会が実行計画の中で示した「2020年3月までの『加盟店のIC対応』ならびに『PCI DSS準拠』または『カード情報の非保持化』」という期限に間に合わせるために実施されているもの。おそらく、ファミリーマート店舗の大部分はいまだ旧端末で運用されている。ファミリーマート広報に確認したところ、端末の入れ替え計画は2019年9月にスタートし、2020年2月時点での完了を目指しているという。

今回は、「IC対応」ならびに「PCI DSS」といったキーワードに焦点をあて、クレジットカード処理のセキュリティ向上と東京五輪をにらんだインバウンド施策の実際について現状をまとめたい。

IC対応とライアビリティシフトの現状

日本におけるIC対応義務化の背景は経済産業省が2018年4月に公開している「改正割賦販売法について」(PDF)という資料が詳しい。

近年、クレジットカード取引における不正利用被害額が上昇しており、その対応を強化するのが目的だ。クレジットカード決済には主にリアル店舗で行なわれる「対面決済」と、ECや一部店舗で行なわれている「非対面決済」の2つが存在するが、ここで情報管理の甘いシステムが存在することで利用者のカード情報が漏洩する危険性がある。昨今ニュースで報じられている「○○が△万件のカード情報流出」という事件はこれに起因する問題だ。

ケースの2つめとして考えられるのが、こうした漏洩済み情報を用いて磁気カードを偽造し、店舗決済やキャッシングに利用する問題だ。2016年5月にセブン銀行ATMを中心に都市部のATMで18億円の現金が一斉に引き出されるという事件が発生したが(NHKの参考記事)、これがまさに該当する案件だ。

3つめはなりすまし被害で、ケースとしては昨年2018年12月にPayPayで発生した「他人のクレカ情報を登録してPayPayで決済を行なう」というものが該当する。

クレジットカード犯罪で考えられる3つのケース(出典:経済産業省)

このうち、2つめのケースについてはIC付きクレカの利用で防げる可能性が高く、世界的にみてもこの対策が甘い日本が集中的に狙われたという意見がある。IC付きクレカに付属するICチップの標準規格はEMV(Europay, Mastercard and Visa)という仕様に準拠しており、同標準はEMVCoという国際カードブランドらが中心となって運用される標準化団体によって定められている。

従来まで、偽造クレジットカードによる被害はカードを発行するイシュアが加盟店規約を基に負担してきたが、より安全で偽造の難しいIC付きクレカへの業界全体での移行を促すため、IC非対応の決済端末で行われたクレカのトランザクションで発生した不正被害は、決済端末を利用する加盟店側が負担するという責任権限の委譲、いわゆる「ライアビリティシフト(Liability Shift)」が行なわれるようになった。

これは欧州やカナダなどの地域で先行して実施され、米国でも2015年10月1日より有効となった(ガソリンスタンドの自動給油機については2017年10月1日から)。これが2020年3月のタイミングで日本でも実施されるというのが全体の流れだ。

PCI DSSとカード情報非保持化

もちろん、単純に「IC付きクレカが利用できる決済端末を導入しました」というだけではダメで、きちんとICチップ内の決済情報が安全に処理され、場合によっては保持されていることが前提となる。

そこで登場するのが「PCI DSS(Payment Card Industry Data Security Standard)」と呼ばれるクレジットカードの利用や処理に関するセキュリティ標準で、システム全体できちんとカード情報が保護され、安全な形で処理されているかが求められることになる。

本稿執筆時点で最新のPCI DSS 3.2.1が発行されているが、その趣旨としては国際カードブランド各社でまちまちだったカード取り扱いのためのセキュリティ標準を一本化し、アクワイアラや加盟店各社にきちんとした形で実装してもらえるようにしたものだ。

下記は、NTTデータがCAFISを利用してPCI DSSならびに「カード情報の非保持化」にいかに対応するかを紹介したページから引用した図版だ

カード処理におけるネットワークの構成例(出典:NTTデータ)

IC対応を行なう場合、小売店舗である加盟店各社は「カード情報の非保持化」を行なうか、あるいはカード処理を行なう事業者と同様にPCI DSS標準への準拠を求められる。一般に、カード処理にはCCTなどの外部端末を通して直にセンター側に処理する「外回り」と、POSに接続された決済端末を通してセンター側に接続する「内回り」の2つのパターンがある。後者は大手やチェーン店などのケースで多いが、POSを含むセンターへの接続経路まで一定のセキュリティ基準を満たしている必要がある。

また、内回りのケースでもPCI DSSに準拠していれば必ずしも安全というわけではなく、例えば2013年に4,000万件のカード情報漏洩を起こした米Targetのケースでは、POS端末に直接マルウェアを潜り混ませる形でカード情報の送信が行なわれ続け、システムそのものはPCI DSS準拠だったにも関わらず被害を出している。これはカード情報がセンターに送信されるタイミングで暗号化された情報が平文に戻されるなど、仕組み上攻撃の余地を残していることによるものだ。そのため、エンド・ツー・エンドでカード情報の安全性を保つ「PCI P2PE(Point to Point Encryption)」といった標準も定義されており、このP2PE対応でより高いセキュリティを訴えるシステムベンダーもある。

つまり、カード加盟店はIC対応にともない、今回のファミリーマートのケースのように決済端末を変更するだけでなく、多くの場合はPCI DSS対応やカード情報非保持化のためにソフトウェア更新やシステム更新という形でバックエンドに手を入れなければいけなくなるという話。これがコストと時間を要する要因であり、なかなか業界全体で対応が進まない理由でもある。ライアビリティシフトとは一種の強制力のようなもので、業界全体のセキュリティ強化のためにボトムラインを上げることが念頭にある。もちろん、4年前にライアビリティシフトが実施された米国においてもIC化率はいまだ100%に達しておらず、少なからぬ加盟店が移行の狭間で揺れている。大手小売各社についても、IC対応についてはライアビリティシフト実施から1-2年ほどの混乱が見られた。

ただ、日本では一度IC対応が進むと割と厳格化されるという印象もある。例えば、筆者の自宅近くに今年2019年8月に天然温泉がオープンし、せっかくということで利用してみたのだが、ここでのカード決済はICカードのみしか許されなかった。その理由を聞いてみたところ、中小の加盟店が新規に申請を出してもICカードの取り扱いのみしか許可されず、磁気カードの扱いが拒否されるのだという。安全性の理由によるものだと考えられるが、割と同様のケースでICカード以外の取り扱いを拒否される加盟店もいるのではないかと考えている。

インバウンド対応とEMV Contactless

磁気タイプのクレジットカード利用における問題は、スキミング行為により簡単にカードの偽造が行なえる点だ。ICチップも100%安全というわけではないが、少なくともICチップ自体の偽造は難しいため、磁気カードを「擦られなければ」安全だ。

ゆえにIngenicoやVerifoneなどの決済端末で、「スーパーでも個人商店でも、顧客がカード挿入やPINパッドの操作が可能なように決済端末が手元にある」という状態が好まれ、日本のように店員にカードを渡してカウンターの奥や死角にある端末で処理されるのを嫌がる傾向があるという話がある。設計思想の問題だが、先日クレカと電子マネー対応で話題になったサイゼリヤのケースでも、ICチップの挿入口はPINパッド裏側にあり、基本的にPIN入力以外の操作は店員がすべて行なう。

サイゼリヤでのICクレカ決済の様子。基本的には店員が操作する

これについて、以前に機器を開発製造する東芝テックの関係者に話を聞いたことがあるが、その理由として挙げていたのが「カードは店員が処理するものという日本の文化を反映した」というものだった。

電子マネーもそうだが、利用者側が不慣れなため、オペレーションを店員に委ねないと処理がスムーズに行なえず、レジは行列を捌けないということなのだろう。

だがこれは世界的なトレンドからみれば逆行した動き、決済端末においても日本独特のルールを生み出してしまっている。個人的意見だが、こうした部分も含め日本の利用者にカード取り扱いの習慣をつけさせるよう促し、可能な限り世界的なトレンドに合わせることが、今後のインバウンド対応と決済端末の普及において重要なのではないかと考えている。

世界的なトレンドでいえば、このIngenicoの端末のように利用者自身がすべて決済操作を行なう方が主流

もう1つ、ICチップ対応とインバウンドで重要なのが「NFC Pay」などとも呼ばれるクレジットカードやデビットカードの国際ブランドのネットワークを使った「非接触決済」だ。EMV準拠のカードで行なう非接触決済のため、「EMV Contactless」の名称で呼ばれたりもする。これがなぜ重要かは前回の欧州周遊レポート「欧州はタッチ決済が常識? 3都市滞在をクレカ+タッチ決済のみで生き残る」をご覧いただくのが一番だが、とにかく便利だからだ。会計もスムーズに行なえるため、コンビニや自販機などでの利便性が非常に高い。

実はこのEMV Contactless、仕組みとしては加盟店のIC対応とほぼ同義で、IC対応の際に「接触」と「非接触」の2つのオプションが用意されたものから選んでいるに過ぎない。

そのため、2010年代前半にライアビリティシフトの話で盛り上がる米国で金融系のセミナーに多数出席していたとき、カードブランド各社は「IC対応するなら、ついでに非接触もオプションでつけよう」ということを盛んに訴えており、「多少のコスト増でも今後集客が見込めるならいいじゃないか」とアピールしていた。

そのおかげかは知らないが、米国ではちょうどこの時期にApple Payが登場したことで非接触決済の重要性が広く認知されたこともあり、かなり初期から非接触対応の決済端末が導入されるケースが相次いだ。IC対応は一種の非接触決済を広げるチャンスであり、これを機会に日本でもEMV Contactlessの市場が広がることに期待したい。

欧州ではすでに一般化しつつある非接触決済。銀行発行のカードの大部分が非接触対応という英国やフランスのケースでは、比較的どこでもサービスが利用できる)。実際に日本発行のカードが通るかは別として……

鈴木 淳也/Junya Suzuki

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)