2018年6月までは、Windows VistaやWindows XP、ガラケーでも、ECサイトでクレジットカード決済ができる。ただし、データ漏えいのリスクを抱えながら――。

 クレジットカードを扱う店舗やEC(電子商取引)サイトなどに遵守を求めるセキュリティ国際基準の策定団体PCI SSC(Payment Card Industry Security Standards Council)は2016年4月28日、国際基準の新版「PCI DSS(Payment Card Industry Data Security Standard) 3.2」を公開した。

 旧版の「v3.1」は6カ月後の2016年10月末に失効し、それ以降の全てのPCI DSS認定の審査基準は「v3.2」を使用することになる。

 この新版では、ECサイトにアクセスするWebブラウザーの暗号通信技術のうち、脆弱性が存在するバージョン(SSLの全バージョンおよびTLS 1.0と、TLS 1.1の一部実装)の利用を停止する期限を、2018年6月30日に設定した。旧版の「v3.1」では期限を2016年6月30日としていたのを、2年延長した。

 Vista以前のWindowsが搭載できるInternet Explorer(IE)、ガラケー(日本のフィーチャーフォン)のブラウザー、Androidの旧版ブラウザーなどは、脆弱性が修正されたTLS 1.1以降の暗号通信に対応していない。こうしたブラウザーによるクレジットカード情報のやり取りが、2018年6月まで事実上容認されることになる。

 延長の方針は、PCI SSCが2015年12月にサイトで表明していたが、「v3.2」の公開で正式に期限が定まった格好だ。

「コミュニティの間で意見のバランスを取った」

 旧版の「v3.1」では廃止の期限を2016年6月としていたところ、なぜPCI SSCは2年の延長を決めたのか。

PCI SSC インターナショナルディレクターのジェレミー・キング氏
[画像のクリックで拡大表示]

 PCI SSC インターナショナルディレクターのジェレミー・キング氏は本誌の取材に「世界中のECサイト事業者などにヒアリングした結果、延長の判断を下した」と語った。

 PCI SSCは、2015年4月に発効した「v3.1」で、「すべてのバージョンのSSLおよびTLSの初期のバージョン(1.0および一部の1.1の実装)は『強力な暗号化技術』とみなされない」と規定し、新規サイトについてはTLS 1.0以前の利用を禁止、既存サイトについても2016年6月30日までにTLS 1.1以降に移行することを求めた。

 だがこの決定に、ECサイト事業者を中心に反対の声が挙がった(関連記事:Vistaやガラケーで買い物できない? カードセキュリティ新基準が波紋)。

 そこでPCI SSCがECサイト事業者などにヒアリングした結果、事業者が抱える二つの懸念が明らかになった。

 一つは、2017年4月にサポートが終了するWindows Vistaや既にサポートが終了したWindows XPのIEからアクセスする消費者がいまだに多い点だ。

 あるECサイト事業者は「これらのアクセスを遮断すると、売り上げの3割が失われる」と主張したという。「地域を問わず、高齢の利用者ほど旧ブラウザーを継続して使っている傾向があるようだ」(キング氏)。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら