Webセキュリティの第一人者である徳丸浩氏に、2017年後半に気になったセキュリティ事案を語ってもらった。3回目となる本記事では、2018年3月までと期限が切られている、クレジットカード決済のセキュア化について聞いた。
(聞き手はITpro Active編集部)
3月までにクレジットカード決済のセキュア化が進む
では次のお題は、クレジットカード情報の「非保持化」です。
徳丸 こちらは経産省の絡みですね。オリンピックに向けて日本をセキュアに、という一環なんだと思うんですけど、クレジット取引セキュリティ対策の強化を行っています。
2018年3月までに頑張りましょうという話ですね(図1)。
図1●クレジットカード情報を扱う場合、カード情報の非保持化かPCI DSS準拠が義務付けられる
(日本クレジット協会の「クレジット取引セキュリティ対策協議会 実行計画 -2017-の概要について」から引用)
[画像のクリックで拡大表示]
徳丸 カード情報漏洩を防止するために、カード情報を非保持にするか、PCI DSS準拠にするか、いずれかに対策しろということになっていまして、これはかなり本気でやっておられるようです。PCI DSS準拠というのは全体としてはとてもよいことですが、加盟店は小さな企業が多いので、現実的には難しい面があります。カード情報非保持で対応する店舗が大半だろうと思います。たぶん決済代行業者などから連絡がいっていると思うんですが、これをちゃんとやりましょうねという話ですね。
これはけっこう大きな話だと思うんですが、あまり話が聞こえてこないのです。まだ3月まで多少、期間はありますが、あっと言う間でしょうからね。
日程的には、そろそろ限界じゃないしょうか。システムをそうとう変えないといけないはずだし。
徳丸 いや、そうでもないと思います。今時は自前でカード決済を扱っているサイトはほとんどないはずで、決済代行会社を使っています。使い方が何種類かあるんですが、その中でカード情報非保持というタイプに変更しようということなんで、決済という重要な箇所ではありますけど、小規模な改修だろうと思います。