銀行系のクレジット・カード会社で組織する日本クレジットカード協会(JCCA)は2004年12月から,クレジット・カード利用明細に記載する情報を制限する。

 これまで,日本では買い物をした後に手渡される利用明細書に,ほとんどの場合クレジットカード発行会社名,会員番号,氏名,カード有効期限などが子細に記載されていた。この利用明細書を盗み見られたり,不用意に捨てた明細書を拾われて,インターネット・サイトなどで不正利用される事件が発生していた。こうしたなりすましの被害を少しでも抑制しようとの動きである。

世界に遅れること5年

 筆者はかつて,「危険なクレジット・カード伝票,なぜ国内では対策されないのか」()という記事を「記者の眼」で書いた。クレジット・カードの主な情報すべてが,領収書代わりに発行される書類に細かく記載される不気味さが看過できないと強く感じたからだ。

 インターネットの販売サイトでは,名前とクレジット・カード番号さえ入力すればソフトウエアなどをダウンロード購入できる。こうしたサイトにアクセスし,不正入手したカード情報でソフトウエア製品や音楽コンテンツを購入するのは難しい話ではない。

 なりすましで物品を購入される被害は,あるいは少ないかもしれない。物理的なモノの場合には,「なりすまし犯」にも危険が伴う。ネット上で適当な送付先を指定してしまうと,そこから「足」がついてしまう恐れがある。1回は成功するかもしれないが,2回目は宅配便と一緒に警察が踏み込んでくるかもしれない。従って,大きな被害には発展する可能性は小さい。しかし,危険な状況を作り出す可能性があることは確かだ。放置してよいわけがない。

 日本と異なり,欧米のサイトでクレジット・カードを使う場合は,必要情報として,そのクレジット・カードの所有者の住所を入れなければならない。さらに厳格なサイトでは,カード識別番号という付加情報を入力し,それがカード会社の保有するデータと一致しなければ売買が成立しない。条件は日本よりはるかに厳しい。

 したがって,欧米では名前とクレジット・カード番号が流出しただけでは,直ちに詐欺犯罪に発展する恐れは少ない。にもかかわらず,こうした問題に敏感に反応した。

 1999年には,個人情報保護の観点から「カード番号は下4桁のみ表示にする」といった法律がカリフォルニア州で制定された。その後,ワシントン,オレゴン,コロラド,ハワイ,ネバダ,アイダホなどの各州でも同様の法律が制定され,現在では全米で同様の取り組みが行われている。

ようやく動き始めたが,浸透には時間がかかる

 ところが,日本ではこうした問題になかなか積極的に取り組む機運が盛り上がらなかった。多くの加盟店が使う認証端末機に対する改善策が具体的に議論されてこなかったからだ。それが,ようやく実現することになった。JCCAが運営管理するカード・システムの加入企業が設置している共同端末から印刷される利用明細には,カード番号の下4桁のみ表示されるようになる。世界に遅れること5年。しかも,そうした対応が一斉に始まるかというと,そうもいかないようだ。

 JCCAでカード端末機の仕様などを策定するCAT事務局の滝川庸之介事務局長代行は「12月からスタートするが,すぐに全部の共同端末で利用可能になるわけではない」と苦しい胸中を打ち明ける。カード端末にはさまざまな機種があり,ソフトウエアをアップデートするだけで新しい仕組みに対応できる機種がまだ少なく,全部を更新するまでにはかなり時間がかかるだろうという。

 ハードウエアそのものを入れ替えなければ,新しい仕組みに対応できない機種が60万台近くある。これをすべて更新するのは,設置するカード会社のコスト負担を考えても,容易ではない。

 とりあえずの方策として,複写式の伝票を使う機種では,新しい伝票用紙を供給することで対応する。会員番号の4桁のみを複写し,氏名などは複写しないなどの対策を施した伝票用紙を,12月の時点で流通させる。これにより,古い機種への対応は少し進む。しかし,控え伝票まで印刷する機種の場合,ソフトのアップデートないしは機種交換まで,対応はお預けとなる。

自社でPOSシステムを持つ企業は独自に対策を進める

 一方,JCCAの共同端末を利用せず,自社開発のPOSシステムを持つ企業は独自の対応を進めている。百貨店の三越,高島屋,コンビニエンス・ストアの「サンクス」,家電量販店の「ビックカメラ」「ヨドバシカメラ」,パソコン機器販売の「ソフマップ」などでは既に,カード会員番号の一部のみ表示するようにしている。

 しかし,これらはあくまでも一例。すべての企業にこうした意識が十分に浸透しているとは言いがたい。POSソフトの改善をすませた企業は数えるほどしかない。

 全国展開しているコンビニ,スーパー,書店,日用雑貨販売などのチェーン店は自社で独自のPOSシステムを開発し導入している。これらPOSシステムの明細書発行部分にほんの少し手を加えるだけで,簡単に対応できるはずのものが,ほとんど対策されていないのは,システム開発にかかわる人たちの間で,情報漏えい対策に対する認識が極めて希薄だということを意味している。言ってみれば技術的な問題ではなく,単にシステム導入にかかわるメンバーの意識改革ができていないということだ。

 しかも,古くからオンラインシステムを自ら構築してきたような企業でも対策が施されていないのに出くわすことも多く,あぜんとする。

 例えば,ジェイアール各社のみどりの窓口でクレジット・カードを使うと,利用控えにはカード会員番号が全桁表示された紙片を渡される。また,インターネット上の販売サイト「えきネット」で乗車券や特急券,指定席券などを買うと,その確認画面にはカード番号をはじめとするすべての情報を記載した画面が表示される。

 画面を盗み見される可能性やその画面をプリント・アウトする利用者がいることを考えれば,「通信はSSLで保護されているから大丈夫」とは言えないだろう。ジェイアールではこの問題を認識しており,今年中には対策を施すための検討を始めるとしている。

 一般に交通費などの精算には,利用明細がわかる伝票の現物かそのコピーを添付して関係部署にまわすこととなる。すべての情報が記載されていると,こうした場合にも困る。こうしたときに,いちいちスミで塗りつぶした添付資料を作らなければならない。

 経理関係の社員/職員の名誉のために付け加えると,筆者はそういった方々を疑っているわけではない。利用明細に記載されるようなクリティカルな情報は,担当の経理部員から漏れるわけではない。利用明細のような資料は,保管のため,あるいは他部署の了承を得るためにコピーされ,複数の経路に配布される。そのいずれかの経路の途中,あるいは公的機関への資料提供などの経路上で発生する。

 どれだけ注意しても,危険な経路ができることを防ぐことは難しい。こうした危険性のある経路を経由したとしても安全が確保できる方策をとることがセキュリティ対策の第一歩だ。

 米国のオンライン・サイトでホテルやレンタカーの予約,本の購入などをすると,画面上に現れる確認書にも,クレジットカードの4桁のみ表示になっているのに気がつくだろう。こうした確認書はプリント・アウトして,出張計画書などに添付され,経費処理されることが多い。そんなときにも,安全に扱えるようにという配慮からだ。

 日本でも,システムを設計・開発する際に,こうした配慮を十分に払い,安心して積極的に使える仕組みづくりをどんどん進めてほしいものだ。

(林 伸夫=編集委員室 主任編集委員)