TOUCH THE SECURITY Powered by Security Service G

ナレッジ

2017.10.17

4枚の図解でわかるカード決済セキュリティ

いきなりですが、クイズです。
「現在の5000円札には樋口一葉の肖像画が使われています。では、1000円札に使われている男性はだれ?」
うっかり、夏目漱石と答えてしまった人はいないでしょうか。正解は野口英世です。

電子マネー、スマホペイなどの電子決済が広がるにつれ、私たちは次第に現金に注意を払わなくなってきています。個人消費(対面)決済の現金比率は、統計によって数字が異なりますが、ここ数年で50%を割り込み、電子決済が優勢になりました。しかし、先進国の多くは、現金決済比率が20%以下であり、デンマークなどは2030年までに現金の発行を停止する計画を進めているほどです。

「日本人は現金が好き」と言う人がいますが、そんなことはありません。日本人が電子決済を利用しない理由はただひとつ。現金に比べて手間がかかるからです。使う前に「この店ではこのペイメントが使えるかどうか」を事前に確かめなければなりません。現金だったら、すべての店で使えるので、この面倒はありません。
例えば、グルメサイトの「食べログ」で、クレジットカード決済が可能な店を検索して見ると、全体のわずか2割程度でしか見つかりません。「カード可」の情報が登録されていない店があるにしても、電子決済可能な店が少なすぎて、いちいち事前に「この店はカードが使えるかどうか」を確認しなければならないのです。だから、面倒で使わない。そういう単純な話です。

では、なぜ加盟店が増えないのでしょう。ひとつの理由は、よく知られているようにカード会社に手数料を取られることです。手数料が5%であれば、お店は5%引きで販売したのと同じことになってしまいます。
もうひとつは、カード決済の加盟店になるには、お店のインターネットとネットワークを、カード業界が要求するセキュリティ基準に適合させなければならないことです。このセキュリティ基準はPCI DSS(決済カード産業のデータセキュリティ基準の略)と呼ばれていて、POSレジや決済カードリーダーなど、この基準に準拠した製品を使わなければなりません。
POSレジは安いものでも10万円以上はするので、ぎりぎりの利益で運営している個人商店にはかなりつらい負担になりますし、大規模チェーン店では台数が多いために大規模な設備投資になってきます。

では、なぜそもそも加盟店はネットワークのセキュリティを高めておかなければならないのでしょうか。これが今回のお話です。

その1. お店はカード情報と暗証番号をいったん預かる

カード情報とPINコード

カード情報とPINコードは、加盟店のネットワークを経由して、信用承認サーバーに渡される。

カードを使うには、あなたが本当にそのカードの持ち主であることを証明しなければ使うことができません。盗んだり、拾ったりしたカードではなくて、本当に自分のカードであることを証明しなければならないのです(信用承認)。そのために使われるのが暗証番号です。カードの世界ではPINコードと呼ばれます。これはPersonal Identification Number、個人識別番号という意味です。暗証番号は、本人しか知り得ない番号なので、正しい暗証番号を知っているということは本人に間違いないというロジックです。

ところが、問題は、この暗証番号が正しいかどうかを判定できるのは、カード会社が保有する信用承認サーバーだけなので、インターネットを使って、信用承認サーバーにカード番号と暗証番号を送らなければなりません。
ここで大きな問題が。プラスティックのカードには通信機能がないので、自力で信用承認サーバーにアクセスすることができないのです。そこで、カード番号と暗証番号を、お店にいったん預けて、それからお店のネットワークを使って、信用承認サーバーに転送して、信用承認をする仕組みになっています。

その2. お店のネットワークが弱点になっている

加盟店のネットワークのセキュリティが低い

カード情報が加盟店のネットワークを経由しているため、加盟店のネットワークのセキュリティが低いと、カード情報流出に直結してしまう。

一見これでもいいように思えますが、ダークサイドハッカーから見れば、お店のネットワークは宝の山です。なぜなら、そこには顧客のカード番号と暗証番号がセットで流れているからです。もちろん、暗号化はされていますが、これをなんらかの方法で盗聴したり、あるいはお店のネットワークにマルウェアを送り込んで、外部に送信させたりすれば、自由に使えるカード情報と暗証番号のセットが手に入ることになります。
だからこそ、お店のネットワークに高いセキュリティ基準を設けて、カード業界はそれに準拠することを求めているのです。

お店から見れば、プラスティックカードが通信手段を持っていないばかりに、代理で信用承認サーバーにアクセスしてあげているわけです。それなのに、セキュリティの負担が大きい。これがカード加盟店が増えない大きな障壁になっています。

その3. スマホ決済はトークンを使う

スマホ決済

スマホ決済では、顧客は自分のスマホ回線を使って信用承認を行う。ここがセキュアであればよく、加盟店のネットワークのセキュリティは無関係になる。

この複雑な信用認証の仕組みは、スマートフォンの登場で実にシンプルなものになりました。なぜなら、スマホは自分で自分の通信手段を持っているので、お店に信用承認サーバーへのアクセスを頼む必要がありません。即ちApple Pay、Android Pay、Samsung Payなどのスマホ決済の仕組みでは、お店のネットワークに高い水準のセキュリティが要求されないのです。

スマホ決済で支払いをしようとすると、まずカード番号と暗証番号をカード会社の信用承認サーバーに、"自分の回線"を使って送信します。信用承認が通ると、スマホ決済はトークンと呼ばれるデータを発行します。トークンというのは、ゲームセンターの中で使えるコインによく似ていて、スマホ決済の中でだけ有効なコインのようなものです。お店側では、このトークンを信用承認サーバーサーバーに送信し、信用承認を取ります。

その4. トークンは流出しても無意味な数字にしかすぎない

トークンを使って信用承認

信用承認が済んだ顧客は、トークンと呼ばれる情報だけを加盟店に渡す。加盟店はこのトークンを使って信用承認を行う。トークンは流出をしても、悪用のしようがない。

重要なのは、お客は自分の回線でカード番号と暗証番号を使って信用承認をし、お店はトークンを使って信用承認をするという点です。もし、このトークンが盗まれたり流出したりしても不正使用される心配はありません。トークン情報は、一見カード番号とよく似た16桁の数字ですが、カード番号としてはこの世には存在しない番号になるので、悪用しようとしても無効になってしまい利用できないのです。カード業界の天才たちが数学理論を駆使して、このトークンの仕組みを考え出しました。

スマホ決済は、お店のネットワークセキュリティを必要としません。ごく普通のインターネット回線があればいいですし、レジやカードリーダーもPCI DSSに準拠していない安物のレジでもかまいません。お店が加盟店になるための負担は、クレジットカードの加盟店になるときに比べてぐっと小さくなるのです。
極端な話、スマホ決済だけしか扱わないのであれば、セキュリティ基準に準拠する必要はありません。加盟店になりたいお店にとってはとてもありがたい話ですし、小さい負担でスマホ決済の加盟店になることができるので、加盟店が急増することが期待できます。加盟店が増えれば、スマホ決済が現金並みに便利に感じられ、利用者が増えるということになるはずです。

でも、そういう好循環が回り出すためには、まだ時間がかかるかもしれません。なぜなら、Apple Payなどのスマホ決済は、カードそのものではなく、決済の仕組みを提供しているだけですから、Apple Payの中に、例えばVISAカードなどクレジットカードを登録しなければなりません。しかし、Apple Payに対応したお店が、入り口に「Apple Pay」のロゴシールしか貼っていないとすると、「Apple Payは使っているけど、私はApple Payの中にVISAカードを登録している。果たして、私のVISAを登録したApple Payは使えるのだろうか?」と、迷ってしまう顧客が出てきてしまいます。
お店としては、お客に余計な心配をさせないためには、Apple Payの他にもVISAと契約をして加盟店になり、それぞれのロゴシールを並べて掲示した方が得策ということになります。しかし、VISAにはプラスティックカードもあります。結局、PCI DSSに準拠しなければならないという堂々巡りになってしまうのです。

この悪循環を断ち切る方法はひとつ。自分で通信手段を持たないプラスティックカードを廃止することです。今後、電子決済の世界は、いかに早くプラスティックカードを廃止して、スマートフォンに移行するか、その競争が始まることになります。

記事一覧に戻る