セキュリティのトピックス-PR-

危険なクレジット・カード伝票,なぜ国内では対策されないのか

2003/08/27
林伸夫

 2003年7月,新聞に「カード伝票 ぽい捨て危険/拾われ ネット詐欺」という文字が踊った(2003年7月17日朝日新聞朝刊)。長野県警は「スーパーのごみ箱から拾った伝票などから他人のクレジット・カード番号を使い,インターネットを通じて商品をだまし取った」として男女3人を詐欺の疑いで逮捕した。県警によると,この件だけで被害総額は2000万円を超えているという。

 重要な会員情報が印刷してあるカード伝票を,不用意に捨ててしまう人にも非はある。しかし,待てよ? そもそも,カード番号(会員番号)のすべての数字と利用者名をカード伝票に印字する必要があるのだろうか。

 端末機器が,センターのホスト・コンピュータから売上承認を得るのには,カード情報をすべて送信する必要があるだろう。しかし,承認を得た後,店舗が保管する伝票やお客に渡す控えには,取引内容が分かる必要最低限の情報(売上金額やカード会社が発行した承認番号など)が書かれていれば十分なはずだ。

米国では先刻対応済み

 米国で最近,クレジット・カードを使った方は,ちょっと,その売上伝票を確認してみてほしい。お店から受け取る売上伝票にはクレジット・カード番号,利用者名などが表示されていないことにお気づきだろうか。すべてのカード会社の伝票は確かめられないが,ほとんどの売上伝票には,下4桁のカード番号しか印字されていない。利用者名は通常,印字されていない。

 筆者の手元にある伝票で確認してみよう。サンフランシスコのレコード店舗「Virgin Megastore」で,VISAのカードを使って買い物をした際に受け取った伝票である。伝票には,買ったDVDやCDのタイトルと金額,売上税を加算した合計金額が記載されている。続いて,カード番号が記載されているが,数字が表示されているのは下4桁だけで,残りは「XXX」とバッテンで消されている。

 カード会社名,カードの有効期限,承認番号はあるが,利用者名は記載されていない。重要な情報は印字されず,買った商品の内容はきちんと確認できる。利用者から見て,望ましい対応といえる。

 一方,日本の場合は,冒頭で書いたとおりである。一般的に,クレジット・カード売上伝票には,買った商品の詳細を記したレシートに,クレジット・カード売上票が添付されている。売上票には,16桁のカード番号のすべての数字,利用者名,有効期限といった,事細かな情報がぎっしり詰まっている。

 カード伝票を不用意に捨てたり,人目に付くところに置いておくと,カード情報を盗まれて,インターネット通販などで悪用される危険性があることは,以前から指摘されている。しかし,何ら改善されることなく,現在に至っている。

 また,店舗が保存するカード伝票にも,重要な情報が記載されている。この伝票を第三者に盗み見られ,悪用される危険性もある。この場合は,いくら本人が注意しても防げない。

 カード情報を盗まれるだけにはとどまらない。カードを偽造される恐れもある。その道のプロにかかってしまうと,入手したカード会員番号や利用者名などにクレジット・カード会社のコードなどを付加して,偽造カードを作ることなど簡単である。

 こうしたさまざまな危険性を排除するために,米国ではいち早くシステムの見直しを行った。2002年ごろまでに,ほとんどのカード会社がシステムに手を加えて,対応を済ませた。法整備も進んでいる。1999年には,個人情報保護の観点から「カード番号は下4桁のみ表示にする」といった法律がカリフォルニア州で制定された。その後,ワシントン,オレゴン,コロラド,ハワイ,ネバダ,アイダホなどの各州でも同様の法律が制定され,現在では連邦法に盛り込む準備が進められているという。

 EU諸国でも,ほとんどで同様の対応が既に済んでいる。フランスやイタリアではクレジット・カードの会員番号は印刷されるものの,名前は印字されていなかった。

日本のカード会社を取材してみたが・・・

 しかし,国内ではこういった動きはない。MasterCardやVISAでは,世界ルールとして,「カード伝票などには会員番号の一部だけ表示する」といったガイドラインを制定している。当然,日本でもそのルールが守られてしかるべきなのに,なぜ,そうなっていないのだろうか? 欧米では国際ルールにのっとった運用がされているのに,なぜ,ブロードバンド普及国の日本でこれほどまでにのんきな対応が続いているのだろう。

 早速,三井住友カードやユーシーカード,ジェーシービーなどを取材した。そこでの答えは一様に,「端末の仕様は日本クレジット・カード協会(JCCA)が制定し,各メーカーに共同利用端末を作ってもらっている。従って,カード会社が独自に対応させられるものではない」というものだった。

 取材の過程で驚いたのは,カード会社の広報担当者の中には,「カード伝票などには会員番号の一部のみ表示する」といった対策が,米国などで進んでいることを全く知らない人がいたことだった。個人情報保護に関する意識やセキュリティに対する認識が甘いと言わざるをえない。

 しかし,カード端末の仕様はJCCAが決め,それにのっとった形でシステムが組まれていることは分かった。では,JCCAはどのように考えているのだろうか。

国内のカード業界はICカード化を優先

 JCCAの山田淳司事務局長代行は,対応が進んでいない理由を「国内でのなりすましによる被害はそれほど大きくないため,優先度が低い」と説明する。国内における最大の課題は偽造カード対策。偽造カードによる被害額は年間300億円にのぼっている。これを防ぐ決め手として,カードのICカード化を現在積極的に進めているという。

 しかし,ICカードへの移行が完了するまでの道のりは遠い。ICカードへ切り替えるための総費用は,ざっと見積もって1000億円。また,消費者にカードを切り替えてもらうのに時間がかかるのはもちろん,端末の入れ替えにも時間がかかる。現在,国内に設置されている端末はおよそ90万台。そのうち,2007年ごろまでにICカード対応になるのは40万台の見込みだという。2007年になっても半数以上の端末は磁気ストライプしか扱えず,偽造された磁気カードに対しては犯罪防止効果が薄い。

 ICカードへの移行が望まれるのは分かる。しかし,カード伝票の問題とは話が別だ。なぜ,目の前にある危機にすぐに対応できないのか?

 できない理由を,同じくJCCAの原田淳CAT事務局長代理 国内クレジットアプリケーション認証局利用システム事務局長代理は「印字される情報は,端末がカードから取得するもの,ホスト・コンピュータから送り返すものとさまざま。このため,対策を施すには,端末のファームウエアを一台一台出張して改修する必要がある。これを実施するにはコストがかかりすぎる」と説明する(CATとはCredit Authorization Terminalの略で,JCCAが仕様の策定を行っている)。

 対策が進む米国では,どう対処しているのか。米国の端末は,ファームウエアをリモートからアップデートできる仕組みのものが多い。また,PCをベースにしたPOS端末も多く,これらも,ソフトウエアの一部改良で即座に対応できる。

 国内においても,ネットワーク経由で保守できる端末が増えてはいるが,多くの端末は一台ずつ改修するしかないのが現状だ。こうした背景もあり,JCCAでは,カード伝票のフォーマットに関する新しい仕様を制定するに至っていない。仕様を制定しても,コストがかかる割には得られる効果が少ないと認識しているのだ。

 しかし,PCベースの最近のPOSシステムは,コスト削減効果もあるので,導入を進める店舗は少なくない。新規に開店する店舗ではなおさらである。そういったPOSシステムでは,ソフトウエアのアップデートはかなり柔軟にできるようになっている。JCCAが国際ルールにのっとって個人情報保護を重視した仕様に書き換えさえすれば,新しいシステムから順次セキュリティの高いものになっていくはずだ。

日本的“合議制”が改革を遅らせる

 対策が進まない背景には,日本特有の事情もある。日本でのクレジット・カードは,スタート当初,銀行が直接クレジット・カードを発行できなかったため,銀行とは独立した別会社を立ち上げ,そこでクレジット・カード運用を行うというスタイルになった。後にVISAやMasterCardなど国際クレジット・カード会社との提携などが進み,複数のブランドを同時に扱うデュアル・カードなどもたくさん登場した。

 これらカード会社が複雑に存立するなかで,端末は共同利用できる仕組みが編み出された。当然,共同利用端末には,これらのクレジット・カード発行会社ごとの差異を吸収するため,複雑な機能が盛り込まれた。

 対して,米国ではブランドの運用を代行する数社の“アクワイアラ(acquirer)”がサービス・プロバイダとして,全米を分割カバーする。アクワイアラは広い国土を低コストでカバーするため,簡素で,しかもリモート・メンテナンスができる端末が配備されていった。

 さらに欧米では支払いはアクワイアラに対して1回払いが基本であるのに対し,日本ではボーナス一括払い,分割払い,リボルビング払いなど多くの支払い形態が並立し,カード端末がすべてに対応できなければならない。その結果,カード端末は重装備となり,端末価格を押し上げることとなった。

 JCCAの原田氏が言う通り,カード端末が高ければ,端末の入れ替えなどを要する業務改善は簡単にはできないということになる。

 また,CATの策定は,JCCAの会員となっているカード会社との合議の上行う。各カード会社が持ち寄る問題提起に対し,会員企業のコスト負担や問題の重要度を勘案しながら策定が進む。米国のアクワイアラは自らのコスト効率向上を目指して,自ら経営判断しながら改革を進めて行くのに対し,日本では会員企業間の調整が済まなければ何事も進まない。

 そもそも,そのような協議会組織では,カード売上伝票に関する改善提案などを持ち出し,細かく検討してみるといった流れに持っていくのはなかなか難しい。問題提起があったとしても,優先度やコストの問題が最初に懸念され,全体の議論には発展していかない。

 日本的な“合議制”が社会の発展を遅らせている。

せめて名前は印字しない

 このような事情で端末の入れ替えが大変なのであれば,せめてホスト・コンピュータ側だけで可能な対策を施してもらえないだろうか。

 例えば,ホスト・コンピュータが送り返す情報のうち,重要な情報については,最初から“バッテン”でマスクするのだ。まずは利用者の名前情報。この情報は,カード(磁気ストライプ)には書き込まれていない。センターのホスト・コンピュータが,端末から送られてきたカード番号とマッチングさせ,端末に送り返している。端末に送り返す前に,マスクしてしまえばよい。

 これならば,端末はそのままでも,ホスト側のプログラムの一部を改良するだけですぐにでも対応できそうである。他人のカード伝票を入手しても,利用者の名前が分からなければ,少なくともインターネット・ショッピングでの悪用は避けられる。こうした仕様変更なら,コストはそれほどかからないのではないだろうか。1000億円のICカード化より,はるかに低コストで,今すぐ施せる対策のように思える。

カード会社も認識は甘い

 JCCAばかりではない。カード会社自体も,利用者の重要な情報に対して認識が甘い。例えば,毎月利用者に送っている利用代金明細書に,カード番号の16桁の数字すべてを堂々と印字してくるカード会社は多い。複数のカードを持っている利用者でも,16桁すべての数字は必要ない。どのカードかを特定できる情報さえ記載されていれば十分だ。

 利用者の中には,支払いの証明書として,明細書のコピーを第三者に渡す場合がある。そんなときに,悪意を持った第三者がそれに接触しないとは限らない。

 認識が甘いのはカード会社ばかりではない。インターネット・プロバイダや電話会社なども,料金の明細書に,引き落とし口座番号の数字すべてを印字しているところが多い。これも,すぐさま“バッテン表示”に変えてほしいところだ。

 これらのことは,利用者に明細書を送る会社が,自社システムを改良することで対応できることだ。もし,関係者の方がこの記事を読んだのなら,明日からでも対応していただけないだろうか。一社が対応したからといって,すぐに世の中全体のセキュリティ・レベルが上がるわけではない。しかし,国内でもクレジット・カードを安心して使えるようにするための,確かな一歩ではないだろうか。

 できることから,順次対応する。それが情報システムの良いところだ。昔は鈍重なシステムが多く,1行のソフト書き換えも大きなコストと時間がかかるものが多かった。しかし,今はそんな悠長な話が通用する時代ではない。

(林 伸夫=日経BP社 編集委員室 主席編集委員)

今週のトピックス-PR-

今日のピックアップコンテンツ-PR-

>>もっと見る

ITpro Special

ネットワーク/通信サービス

>>もっと見る

▲ ページトップ

これからのIT投資術-PR-

ピックアップコンテンツ-PR-

>>もっと見る

日経コンピュータ Digital

ITpro partners

イベントINFO -PR-

最新号

注目のセミナー

申込受付中!

社内で一目おかれる 事例マーケター養成講座【9/9開催】

社内で一目おかれる事例マーケターになるための勘所(事例の選び方、作り方、伝え方)を伝授!