Webセキュリティの第一人者である徳丸浩氏に、2017年後半に気になったセキュリティ事案を語ってもらった。3回目となる本記事では、2018年3月までと期限が切られている、クレジットカード決済のセキュア化について聞いた。

(聞き手はITpro Active編集部)


3月までにクレジットカード決済のセキュア化が進む

では次のお題は、クレジットカード情報の「非保持化」です。

徳丸 こちらは経産省の絡みですね。オリンピックに向けて日本をセキュアに、という一環なんだと思うんですけど、クレジット取引セキュリティ対策の強化を行っています。

2018年3月までに頑張りましょうという話ですね(図1)

図1●クレジットカード情報を扱う場合、カード情報の非保持化かPCI DSS準拠が義務付けられる
(日本クレジット協会の「クレジット取引セキュリティ対策協議会 実行計画 -2017-の概要について」から引用)
[画像のクリックで拡大表示]

徳丸 カード情報漏洩を防止するために、カード情報を非保持にするか、PCI DSS準拠にするか、いずれかに対策しろということになっていまして、これはかなり本気でやっておられるようです。PCI DSS準拠というのは全体としてはとてもよいことですが、加盟店は小さな企業が多いので、現実的には難しい面があります。カード情報非保持で対応する店舗が大半だろうと思います。たぶん決済代行業者などから連絡がいっていると思うんですが、これをちゃんとやりましょうねという話ですね。

これはけっこう大きな話だと思うんですが、あまり話が聞こえてこないのです。まだ3月まで多少、期間はありますが、あっと言う間でしょうからね。

日程的には、そろそろ限界じゃないしょうか。システムをそうとう変えないといけないはずだし。

徳丸 いや、そうでもないと思います。今時は自前でカード決済を扱っているサイトはほとんどないはずで、決済代行会社を使っています。使い方が何種類かあるんですが、その中でカード情報非保持というタイプに変更しようということなんで、決済という重要な箇所ではありますけど、小規模な改修だろうと思います。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。