2018年6月までは、Windows VistaやWindows XP、ガラケーでも、ECサイトでクレジットカード決済ができる。ただし、データ漏えいのリスクを抱えながら――。
クレジットカードを扱う店舗やEC(電子商取引)サイトなどに遵守を求めるセキュリティ国際基準の策定団体PCI SSC(Payment Card Industry Security Standards Council)は2016年4月28日、国際基準の新版「PCI DSS(Payment Card Industry Data Security Standard) 3.2」を公開した。
旧版の「v3.1」は6カ月後の2016年10月末に失効し、それ以降の全てのPCI DSS認定の審査基準は「v3.2」を使用することになる。
この新版では、ECサイトにアクセスするWebブラウザーの暗号通信技術のうち、脆弱性が存在するバージョン(SSLの全バージョンおよびTLS 1.0と、TLS 1.1の一部実装)の利用を停止する期限を、2018年6月30日に設定した。旧版の「v3.1」では期限を2016年6月30日としていたのを、2年延長した。
Vista以前のWindowsが搭載できるInternet Explorer(IE)、ガラケー(日本のフィーチャーフォン)のブラウザー、Androidの旧版ブラウザーなどは、脆弱性が修正されたTLS 1.1以降の暗号通信に対応していない。こうしたブラウザーによるクレジットカード情報のやり取りが、2018年6月まで事実上容認されることになる。
延長の方針は、PCI SSCが2015年12月にサイトで表明していたが、「v3.2」の公開で正式に期限が定まった格好だ。
「コミュニティの間で意見のバランスを取った」
旧版の「v3.1」では廃止の期限を2016年6月としていたところ、なぜPCI SSCは2年の延長を決めたのか。
PCI SSC インターナショナルディレクターのジェレミー・キング氏は本誌の取材に「世界中のECサイト事業者などにヒアリングした結果、延長の判断を下した」と語った。
PCI SSCは、2015年4月に発効した「v3.1」で、「すべてのバージョンのSSLおよびTLSの初期のバージョン(1.0および一部の1.1の実装)は『強力な暗号化技術』とみなされない」と規定し、新規サイトについてはTLS 1.0以前の利用を禁止、既存サイトについても2016年6月30日までにTLS 1.1以降に移行することを求めた。
だがこの決定に、ECサイト事業者を中心に反対の声が挙がった(関連記事:Vistaやガラケーで買い物できない? カードセキュリティ新基準が波紋)。
そこでPCI SSCがECサイト事業者などにヒアリングした結果、事業者が抱える二つの懸念が明らかになった。
一つは、2017年4月にサポートが終了するWindows Vistaや既にサポートが終了したWindows XPのIEからアクセスする消費者がいまだに多い点だ。
あるECサイト事業者は「これらのアクセスを遮断すると、売り上げの3割が失われる」と主張したという。「地域を問わず、高齢の利用者ほど旧ブラウザーを継続して使っている傾向があるようだ」(キング氏)。
