小売業の情報セキュリティ対策

2019 年 10 月 1 日の消費税率引上げに伴い、キャッシュレス・ポイント還元事業が開始されキャッシュレス決済が注目を浴びています。現在では、小規模な店舗でもキャッシュレス決済が浸透してきています。一方、情報セキュリティ対策をあまり考慮していないサービスやシステムが、大規模な金銭的被害をもたらす事案が起きてしまいました。

クレジットカードのセキュリティ

2019 年 3 月、経済産業省は国際水準のクレジットカードセキュリティの実現に向けて「実行計画 2019 」を発表しました。
この中で小売りの現場で留意しておくべき事項がいくつかあります。

加盟店におけるカード情報の非保持化

クレジットカードを利用できる加盟店はカード情報の非保持が原則となります。
非保持化の定義では、カード情報を「自社で保有する機器・ネットワークにおいて、保存、処理、通過しないこと」となっています。通過も認められない点に注意が必要です。自社内の LAN に繋げることができません。カード情報を保持できる業者が提供する端末・ネットワークの導入が必須となります。

カード情報を保持する事業者の PCI-DSS 準拠

保持業者を選ぶ際には PCI-DSS 準拠を確認する必要があります。PCI-DSS は認証規格ですので、認証審査を通っている業者を選ぶことが望ましいでしょう。自社が保持業者になれれば良いですが、日本の小売業の現状から見れば、PCI-DSS 認証は、かなりハードルが高いと思われます。

決済端末の「100% IC 対応の実現」

基本的に PCI-DSS に準拠していなければクレジットカード情報を保持できないのですから、決済端末は保持業者に提供して貰うことになるでしょう。手記によるサインで対応する形のクレジット決済は減っていくことになります。

現金による支払いと比較してクレジットカード決済は便利ですが、スキミング（磁気ストライプ情報の読み取り）も容易ではあります。スキミングでは読み取れない IC チップデータを使い、加盟店でデータを保持しない対策が猛スピードで進められています。これからキャッシュレス対応を考えている小売業者の方は、クレジットカードのセキュリティ要求を知っておきましょう。

QR コード決済アプリ

キャッシュレス決済の一方の主役は QR コード決済アプリです。消費者還元制度に伴い、爆発的にサービス参入業者が増加しました。そのため、セキュリティ対策不足のままサービスを開始し、大混乱を引き起こす業者も現れました。

クレジットカードには PCI-DSS という国際基準がありますが、QR コード決済アプリにはそういうものはありません。国内では「キャッシュレス推進協議会 (JPQR) 」という組織が作られ、技術仕様ガイドラインもありますが、PCI-DSS のように詳細にセキュリティ対策が纏められているものではありません。

問題が発生し既に廃止されたサービスにおいては、成り済ましが大問題になりました。JPQR のガイドラインでは、本人認証の重要性は記載されているものの、方法について詳細に定義しているものではありません。

しかし QR コード決済アプリも Web アプリの一つである以上、最低限守らなければならないセキュリティ標準というものはあります。国際的な団体として OWASP (Open Web Application Security Project) という組織があります。ここが発行している「OWASP ASVS 」は、Web アプリのセキュリティに対する事実上の世界標準となっています。

OWASP ASVS にある基本中の基本であるレベル１の項目として「ログイン機能，パスワード再設定機能，またはアカウントを忘れた場合の機能を使ってアカウント情報の取得はできない」というものがあります。当該サービスではこれができておらず、当該サービスの脆弱性の一つとして挙げられていました。

基本的なセキュリティ対策ですら実装できていないまま、お金に直接関わる決済サービスを提供してしまっていたのです。

これは大手企業が提供したサービスだったこともあり、大きな話題を呼びました。QR コード決済の採用に於いても、JPQR ガイドラインに準拠しているのか、OWASP ASVS に準拠しているのかの確認は自衛の為だけではなく、結果的に利用者を守るためにも必要と考えるべきです。

キャッシュレス決済は急激に広まったために、情報セキュリティ対策が整っていないサービスが存在します。小売業の方がサービスを導入する場合には、提供側の情報セキュリティ対策がしっかりしていることを確認しましょう。