近年、キャッシュレス決済は我々の生活に定着しつつあるが、残念ながらクレジットカードの不正利用やQRコード決済の不正アクセスなどのさまざまな手口のセキュリティインシデントが後を絶たない。不正アクセスによる情報漏洩は個人の財産を失わせ、企業としての信頼を大きく失墜させるため、キャッシュレス決済のさらなる促進にはセキュリティ対策は不可欠であり、もはや経営リスクとして取り組むべき課題である。

筆者は、数多くの金融決済インフラの導入提案を経験していることから、日本における決済市場の最新動向やクレジットカードのグローバルセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)について、事業継続の視点で解説する。

国内のキャッシュレス決済はクレジットカードが8割

キャッシュレス推進協議会が2022年8月に公表した「キャッシュレス・ロードマップ 2022」によれば、日本におけるキャッシュレス決済の比率は2010年に13.2%だったのに対し、2021年の比率は32.5%まで上昇し、オリンピックやコロナ禍の影響もあり当初の予測よりは早い速度で普及しつつある。その反面、世界の主要各国のキャッシュレス決済の比率は40~60%台と高く、隣国の韓国にいたっては90%を超えていることを鑑みると、日本市場は未だ伸びしろが大いにあると言えよう。

日本政府は少子高齢化や人口減少による労働者不足、インバウンド消費への対応として、キャッシュレス決済のさらなる促進が不可欠であると謳っており、2025年にはキャッシュレス決済の比率を40%程度、将来的には80%まで上昇させることを目指している。そのため、キャッシュレス決済のさらなる普及は今後の日本経済の発展にも重要なファクターとして位置づけられる。

一口にキャッシュレス決済と言っても、クレジットカード、デビットカード、電子マネー、QRコードなどさまざまな決済手段があり、国によって利用頻度の高い決済手段は異なる。前述の通り、日本の2021年のキャッシュレス決済比率は32.5%で、そのうちクレジットカード決済は27.7%と8割以上を占めており、欧米各国と比較してクレジットカードの利用率が非常に高い傾向にある。このような状況を踏まえ、ここからはクレジットカードのセキュリティ対策に焦点を当てて説明しよう。

6つの目標と12の要件で構成されるPCI DSS

クレジットカードのグローバルセキュリティ基準と言えば、2004年に国際カードブランドであるAmerican Express、Discover、JCB、Mastercard、Visaの5社が共同で策定したPCI DSSが最も有名で、近年日本においても浸透しつつある。PCI DSSが策定される以前は明確なセキュリティ基準はなく、各カードブランドや決済事業者は独自のセキュリティ基準に基づいて決済システムを運用していた。

だが、インターネットの普及やサービスが多様化するとともに個人情報の流出事故が増加していったため、セキュリティリスクの低減と効率的なセキュリティ管理・運用を目指してPCI DSSが策定された。PCI DSSが策定されて以降、クレジットカード会員の情報を取り扱うイシュア(カード発行会社)、アクワイアラー(加盟店管理会社)、決済サービスプロバイダ、加盟店などの事業者には、PCI DSSの遵守が求められるようになった。

PCI DSSは、6つの目標とそれに対応する12の要件から構成されている。小項目にいたっては400件以上に細かく規定されており緻密な基準と言える。また、最新のセキュリティ動向に合わせて定期的にバージョン改変がなされ、2022年3月に最新のPCI DSS v4.0がリリースされている。

決済事業者の立場から見れば、PCI DSSの認証を得るということは、最新かつ包括的なセキュリティ基準に沿ってシステム運営を行っているという信頼性のアピールにつながる。仮に不正利用が発生した場合でも、カード会社に求められる損害の補償の義務が免責されるため大いにメリットがあると言える。

  • PCI DSSの6つの目標と12の要件

    PCI DSSの6つの目標と12の要件

決済システムのPCI DSS準拠ではカード会員情報の保管先に注意

PCI DSSに対応していくうえで、ITインフラや運用の視点から目を向けるべきは、社会インフラたる決済基盤にふさわしい可用性と、サービスの変化や年々増加するトランザクションに柔軟に対応できる拡張性を備えたインフラ基盤を整備できているかという点だ。さらに、シンプルなシステム運用が可能であることも重要だ。

また、アプリケーション運用についても忘れてはならない。セキュリティの実装は、単に何らかのソリューションを導入すればいいわけではなく、アプリケーション側にも取り込む要素が多数あるため、開発方法や運用方式についても生産性、効率性の整備が重要となってくる。脆弱なインフラ基盤の上では、せっかくのPCI DSS準拠の効果も薄れてしまうため、まずは根本的なインフラ面での対策が不可欠だ。

それでは、決済システムをPCI DSSに準拠させるプロセスにおける具体的なポイントを紹介したい。最も重要なのは、カード会員情報を取り扱っているシステムの範囲を特定し、どのシステムがPCI DSSの準拠が必要かスコープを確定することだ。昨今のITシステムは、合併や分社によりシステムの乱立や重複を引きずったまま運用し複雑化が増す一方だ。セキュリティにおいても、この点が落とし穴になり情報漏洩が発生するケースが多く見られる。

従って、最も漏洩を防ぎたいカード会員情報がシステム内のどこにどのように保管されているのかを丁寧に棚卸し、保護対象となるデータがさまざまなシステムに点在している場合は、なるべく特定のシステムに集約していくことがその後のプロセスの難易度を左右する。

対象システムの絞り込みが済んだら、セキュリティ対策状況をPCI DSSの要件に照らし合わせて具体的に確認し、改善が必要であれば改善計画を策定。改善計画に基づいてセキュリティの実装を行ってゆく。最後に実装の効果をさまざまな角度から試験し、本審査を受けPCI DSSの認証を得る。

このようにPCI DSS準拠には時間とコストもかかるが、要所においてはセキュリティベンダーが提供するソリューションを活用することで効率性を高めることができる。例えば、トークナイゼーションは従来の暗号方式と異なり、遡って暗号データの復号が行えない不可逆な暗号化方式であるが、安全性の強化だけでなく保護対象となるデータの範囲を狭める効果がありコスト削減も期待できる。

また、自社だけで手に余る場合は、PCI DSS準拠に関する専門知識を持ったアウトソーサーは多数存在するため、そうした専門家にアドバイスを仰ぐことも人的リソースの解決策の1つになるであろう。

PCI DSSをはじめとするセキュリティ対策は一度実施して終わり、というものではない。PDCAのサイクルを継続的に行っていく必要がある。また、セキュリティインシデントを発生させてしまうと、企業規模に関わらずブランドイメージを失墜させ、信頼回復には長い期間を要して大きな損害につながるため、セキュリティリスクはBCP(事業継続計画)と同列の経営リスクと捉える必要がある。

セキュリティ対策を情報システム部門など1つの組織に任せるのではなく、経営者が事業継続の重要なテーマとしてリーダーシップを発揮して対策をしてゆくことが肝要だ。日本でも欧米のように、セキュリティの意思決定に経営層が関わる割合が増え、セキュリティ対策にどのよう臨むか、意識改革がさらに進むことが期待される。