全6077文字

 日本は今まさに「キャッシュレス・ブーム」の様相を呈している。従来のクレジットカード決済、デビット決済、電子マネーでの決済に加えて、スマートフォンを用いたQRコード決済など、様々な決済手法やサービスが登場し始めた。

 経済産業省は、現在20%程度の水準にあるキャッシュレス決済の比率を2025年までに約2倍の40%とする目標を打ち出している。キャッシュレス社会の実現へ、日本は官民挙げて大きく舵(かじ)を切ろうとしている。

 そのような中、2018年6月に改正割賦販売法が施行され、クレジットカード情報を取り扱う事業者はカード情報保護のためのセキュリティー対策が義務付けられることとなった。決済基盤を根本から支えるセキュリティーの強化はますます重要性を増してきている。

 本稿では、対面加盟店(店舗)におけるクレジットカード決済に関するセキュリティー強化に大きな効果をもたらす「P2PE」などの話を取り上げつつ、暗号鍵の運用管理設計における重要性についても触れていきたい。

キャッシュレス社会に不可欠となるデータ暗号化とP2PE

 前稿(第1回)でも述べた通り、暗号にはアクセス権のない者への情報漏洩を防ぐ「守秘/秘匿」という機能がある。例えばクレジットカードの利用を想定した場合、ユーザーは通常、カードそのものを店舗で提示するか、EC(電子商取引)サイト上でカード情報を入力する。この際、決済に必要となるユーザー固有の情報(カード番号、セキュリティーコードなど)を漏洩から保護することが重要となる。

 特に対面加盟店では、これまで業務上の理由や対策にかかるコストなどがネックとなり、カード情報を保護する具体的なセキュリティー対策は後手に回ってきた。割賦販売法改正などをはじめとするデータ保護への機運の高まりもあり、よりセキュリティー水準を高める手段として「P2PE」が注目されている。P2PEとは、Point-to-Point Encryptionの略で、クレジットカード情報を読み取る端末から決済ネットワークに至るまで、クレジットカード情報を一気通貫で暗号化したまま送信するソリューションのことである。

 一般にP2PEのソリューションは、暗号化処理を行う決済端末(以下、POIデバイス)と復号処理を実施するためのセンターから構成される。クレジットカード情報を読み取る端末は対面加盟店内に設置されるが、この端末とセンターを含めた提供形態全体がP2PEソリューションと見なされる。

 このPOIデバイスにはSRED(Secure Reading and Exchange of Data)という機能を備えており、クレジットカード情報を読み取った瞬間に暗号化できる。

P2PEソリューションのイメージ
P2PEソリューションのイメージ
[画像のクリックで拡大表示]

 P2PEソリューションによって対面加盟店にもたらされる効果としては、大きく以下の2点が挙げられる。

(1)情報漏洩リスクの縮小(セキュリティー面):決済完了後のクレジットカード情報を、店舗側には電子的に残さない。

(2)対面加盟店の運用負荷の低減(運用面):端末のセキュリティー管理(鍵管理、脆弱性対応)などはP2PEソリューションプロバイダが責任を負う。

 つまり対面加盟店にとっては、安全かつ効率的にクレジットカード情報を扱えることになるため、導入のメリットが大きい。

 ただ、P2PEはクレジットカード情報を店舗側には電子的に残さない、というセキュリティー上の特性(メリット)があるがゆえに、クレジットカード番号を加盟店業務で必要とするケース(例えば、店舗側でのポイントプログラムや顧客管理に利用しているようなケース)では、導入に向けた前提として業務プロセスやシステム改修などが少なからず発生する可能性がある。

 そのため、P2PEソリューションを実現するうえでは、求めるセキュリティーレベルと利便性とのトレードオフで検討すべきだとも言える。

普及のきっかけは米ターゲットの大量漏洩

 P2PEソリューションに対するセキュリティー基準として「PCI P2PE」が定められており、この基準を満たしたPCI P2PE認定ソリューションが注目されている。「PCI P2PE」は、国際クレジットカードブランド5社(VISA、MasterCard、JCB、American Express、Discover)が設立したPCI SSC(Payment Card Industry Security Standards Council)によって策定・維持されている。

 2011年に初期バージョンがリリースされ、以降数回の更新を経て、現在に至る。2019年6月時点で70以上におよぶソリューションがPCI P2PEの準拠・認定を受けており、国内でもすでに6社が認定取得済みである。

 PCI P2PE認定ソリューションが世界的に注目されるきっかけとなったのが、米大手流通チェーンのターゲット(Target)で2013年末に発生したクレジットカード情報大量漏洩事件である。店舗のPOSシステムの脆弱性を突いた攻撃によってマルウエアを仕込まれ、クレジットカード情報が不正に大量詐取された。