2016年10月4日19:33

東芝テックは、NTTデータが提供するカード決済ネットワーク「INFOX-NET」（インフォックスネット）に接続する新決済端末「CT-5100」を2016年10月4日に発売すると発表した。

左：CT-5100（本体） 中：PADCT-5100（ICカードリーダライタ付きピンパッド） 右：非接触リーダライタ（出典：東芝テックとNTTデータのプレスリリース）

東芝テックは、NTTデータの協力のもと、「コンパクトなボディに高い機能性を兼ね備えた端末」という従来機のデザインコンセプトを踏襲しつつ、操作性向上、性能アップを実現した新端末「CT-5100」を開発したそうだ。

同端末は、フルフラットなタッチパネルの採用やタッチパネルの感度を向上させたことで、従来機に比べてストレスを感じさせない操作性を実現したという。

また、「CT-5100」は従来機同様、狭いカウンタースペースにも設置可能なコンパクトボディながら、CPUとメモリの性能向上や高速サーマルプリンタの採用などで従来機と比較してスピーディな処理が可能となった。さらに、新たにSDカードスロットやUSBインターフェイスを備えたほか、従来のシリアル通信に加えLAN通信を利用したPOSとの連動機能等の拡張性を実現した。

そのほか、ICカードリーダライタ付きのピンパッド（PADCT-5100）は大型の覗き見防止カバーを備えたデザインとなる。ピンパッドは、EMVレベル1、レベル2および各種ブランド認定ならびに業界セキュリティ標準であるPCI PTS Ver4.1（オフライン/オンライン）認定を取得済みだ。

本体の「CT-5100」も、AndroidやLinux等のオープンなOSではなく東芝テック独自のクローズドなOSを採用し、搭載されるすべてのソフトウェアに東芝テック独自の認証および暗号機構を搭載しているので、外部からのハッキングに対して強固なセキュリティ性を保持しているという。また、センシティブデータの非保持及び保護を実現しながら、外部からの不正なアタックに対する耐タンパー機構を備えている。

「CT-5100」は、決済サービスアプリケーションとして「磁気、ICクレジット」「Jデビット」を標準で搭載。クレジットについては新たに、海外からの利用者が日本円ではなく自国通貨でクレジットカード決済が可能な多通貨決済（DCC）にも対応する。オプションで「中国銀聯カード（磁気）」、「非接触カード型電子マネー（iD、交通系IC、楽天Edy）」の決済サービスアプリケーションに対応するほか、「売上集計サービス対応」、「売上レポートサービス」、「POS接続」のオプションサービスを「CT-5100」の発売と同時に提供する。

2016年10月4日20:00

クレジット情報処理センターの日本カードネットワーク（CARDNET）とPOSベンダーの東芝テックは、フルフラットな大画面カラー液晶とタッチパネルを採用した新決済端末「JET-S端末CT-5100シリーズ」を開発した。新製品はCARDNETが2016年11月から販売を開始する。

左：CT-5100(本体) 中：PADCT-5100(ICｶｰﾄﾞﾘｰﾀﾞﾗｲﾀ付きﾋﾟﾝﾊﾟｯﾄﾞ) 右：非接触リーダライタ（出典：CARDNET）

「CT-5100」はフルフラットなタッチパネルを採用したことにより従来機に比べて操作性が向上したほか、従来機のコンパクトなデザインコンセプトを踏襲しつつさらなるセキュリティ性や拡張性を追求した決済端末となる。

具体的には、フルフラットなタッチパネルの採用やタッチパネルの感度を向上させたことで、従来機に比べてストレスを感じさせない操作性を実現したという。

また、「CT-5100」は従来機同様、狭いカウンタースペースにも設置可能なコンパクトボディながら、CPU とメモリの性能向上や高速サーマルプリンタの採用などで従来機と比較してスピーディな処理が可能となった。さらに、新たにSDカードやUSBインターフェイスを備えたほか、従来のシリアル通信に加えLAN通信を利用したPOSとの連動機能等の拡張性を実現した。

ICカードリーダライタ付きのピンパッド（PADCT-5100）は大型の覗き見防止カバーを備えたデザインとなる。また、ピンパッドは、EMVレベル1、レベル2および各種ブランド認定ならびに業界セキュリティ標準であ るPCI PTS Ver4.1（オフライン／オンライン）認定を取得済みだ。本体の「CT-5100」も、AndroidやLinux等のオープンなOSではなく東芝テック独自のクローズドな OSを採用し、搭載されるすべてのソフトウェアに東芝テック独自の認証及び暗号機能を搭載しているため、外部からのハッキングに対して強固なセキュリティ性を保持しているそうだ。また、センシティブ データの非保持及び保護を実現しながら外部からの不正なアタックに対する耐タンパー機能を備えている。

東芝テックは、多くの流通企業向けのPOSシステム開発・導入経験から、POSシステムと決済端末の親和性において、多彩なアプリケーションラインアップを用意している。「CT-5100」は、決済サービスアプリケーションとして「磁気、IC クレジット」「J-Debit」「中国 銀聯カード」を標準で搭載。クレジットについては新たに、海外から訪れた利用者が日本円ではなく自国通貨でクレジットカード決済が可能な多通貨決済（DCC）にも対応し、中国銀聯カードに関しては従来の磁気カードに加えICカードにも対応している。

またオプションとして「非接触カード型電子マネー（QUICPay、iD、交通系 IC、楽天Edy、WAON、nanaco）」、複数のポイントカードやサーバ管理型マネーに対応可能な「CARDNET 標準ポイント」のほか、「売上データ集計サービ ス」、「売上レポートサービス」そして「POS 接続」の決済サービスアプリケーションを「CT-5100」 の発売と同時に提供するという。

2016年10月5日11:57

三井住友カードと協力し、便利で安全なサービスの提供を目指す

米Stripeの日本法人であるストライプジャパンと、カード会社の三井住友カードは、2016年10月4日に記者会見を開催し、オンライン決済サービスの国内提供を開始すると発表した。

左からStripe CEO and co-founder パトリック・コリソン（Patrick Collison）氏、三井住友カード 取締役会長 島田秀男氏、ストライプジャパン 代表取締役 ダニエル・ヘフェルナン（Daniel Heffernan）氏

2年間にわたり本格展開に向けた準備を慎重に進める
決済手数料は一律3.6％のシンプルな体系に

Stripeは、Webサイトやアプリケーションにコードを組み込むことでクレジットカード、デビットカードなどによる決済サービスを提供できる仕組みとなる。Stripeでは、2014年6月にストライプジャパンを設立。2016年5月から日本において招待制のベータ版のテスト運用を行ってきた。Stripe CEO and co-founder パトリック・コリソン（Patrick Collison）氏は、「日本のユーザーが何を必要としているのか、何が重要なのかを特定するため、慎重に2年間調査を重ねてきました」と説明する。ベータ版では、Peatix、Gengo、ANAなどからフィードバックを受け、日本市場にあったサービスの提供に努めたという。

日本での導入企業。日本では導入企業がその良さを他の企業に伝えてもらうことがサービス拡大につながるとした

また、決済手数料は一律3.6％。コリソン氏は、「料金の上乗せなく、より簡単に簡潔なモデルにしたかったため、ワンプライスにしました」と話す。

Stripeでは、インターネットを通じて複数の売り手と買い手の売買を実現するマーケットプレイスを対象とした決済システム「Stripe Connect（ストライプ・コネクト）」を提供しているが、日本国内でも利用が可能となる。また、サードパーティ内のアプリで商品を直接表示したり、アプリで購買ボタンを表示して決済につなげることができる「RELAY（リレイ）」も提供する。

さらに、「Dashboard（ダッシュボード）」機能では、全取引、顧客情報、定期支払い、振込などを直接管理。また、Stripe 上のデータは、Netsuite、Quickbooks など既存のシステムと同期して経理担当者の会計管理とレポーティングを効率化させることが可能だ。

世界の名だたる企業がStripeを利用
130通貨の決済を提供

コリソン氏は、米国の2015年のオンライン購入のうち40％でStripeが利用されていることを紹介。また、Kickstarter、Pinterest、Twitter、Facebook、Salesforceなど、世界の名だたる企業で利用されているとした。

日本でも越境ECに取り組む企業が増えているが、130通貨に対応した多通貨決済へのサポートにより、サイトの開始当初からグローバルな展開を行うことが可能だ。さらに、不正への対応として、機械学習ベースの不正検知システムを搭載している。

スモールマーケットを中心にカード決済のすそ野を拡大
売上代金は週に1回精算

記者会見では、日本でのビジネス展開における戦略的パートナーである三井住友カード 取締役会長 島田秀男氏も登壇。今回のStripeと提携した理由について紹介した。

まずは、ECマーケットにおいてスモールマーケットを中心に裾野を拡大し、ク同社のプレゼンスを高める狙いがある。クレジットカード決済市場はこの5年間で2倍弱の規模に成長を遂げており、さらなる拡大が期待されている。スタートアップ企業は自身でECサイトを構築するのはハードルが高いが、Stripeのチェックアウトサービスを利用すれば、簡単に素早くクレジット決済機能を導入できるとともに、売上代金は週に1回精算されるため、キャッシュフローの面でも現金決済に近い形で処理が可能とした。

「チェックアウトサービスは、顧客がWebサイトで入力したカード情報が加盟店のサーバを通過しない非通過型の仕組みとなっています。カード情報の漏洩リスクは非常に低く経済産業省や日本クレジット協会からも推奨されている方式の1つとなるなど、安心・安全な決済サービスとなります」（島田氏）

さらに、Stripeのサービスを継続的に導入することにより、消費者やECサイトへのサービスを強化できる。ネット決済の拡大、モバイル端末、マーケットプレイスやソーシャルネットワークの普及により消費者の購買行動は変化し、多様化している。そういった潮流の中で、複数のWebサイトやアプリ間の取り引きをサポートできる「RELAY」のサービスは生かされるという。

また、多通貨決済を本格展開に合わせてリリースしたが、インバウンド需要の高まりを背景に、グローバルに事業を拡大させたいと考える企業に対応できる。

加盟店管理、カード不正防止を三井住友カードと協力して実施
Stripeのノウハウを今後の事業展開へ役立てる

今回のStripeのサービス展開は三井住友カードの事業の拡大にもつながるそうだ。Stripeが包括加盟店としてカード会員のオーソリや加盟店管理を行うが、三井住友カード自身でもブランド精算や加盟店管理を行うWチェック体制となる。特徴的なのは、加盟店管理、カードの不正防止についての管理を両社がそれぞれ行い、安心・安全な決済取引を目指すことだ。

島田氏は、「Stripeは25カ国で事業展開をしていますので、不正利用のグローバルな傾向も分析することができ、その精度は日に日に高まっていると思われます。こうしたEC決済にかかわる不正検知はもとより、各種商品、サービス開発における高度な技術やノウハウを本提携によってしっかりと吸収し、今後の事業展開に役立てていきたいです」と語った。

2016年10月6日8:00

■キヤノンマーケティングジャパン

キヤノンは、ＮＴＴデータの「CAFIS Arch®」に対応し、PCI PTSに準拠した安心・安全な決済端末を提供いたします。

航空会社の機内販売で多数の実績
PCI PEDに対応しPCI PTSにも対応するキヤノン

キヤノンのモバイル端末ビジネスは、1982年に大手飲料ベンダー様から、「印刷ができ、カメラのように屋外で使え、演算機能を持ったモバイル端末が作れないか」というご相談を受け、「HT-3000」というモバイル端末を製造した事をきっかけに始まっています。決済端末ビジネスは、1993年に欧州航空会社の機内販売システムに採用いただいた事が始まりです。今では国内の航空会社を含め、世界で数十社の航空会社にご採用をいただいております。また、国内では他に鉄道会社、百貨店、イベント会社など幅広く実績があります。

2015年6月には、株式会社ＮＴＴデータの新しい決済センターサービス「CAFIS Arch」に対応し、PCI PTSに準拠したセキュリティの高い決済端末を発売するという発表をさせていただきました。
　

訪日外国人旅行者急増の中で
国が重要インフラのひとつに位置付けるクレジットカード取引

一般的にはあまり知られていないと思いますが、クレジットカード取引は国が設置した情報セキュリティ政策会議にて、国民生活に重大な影響を与える重要インフラ13分野のひとつと定義されています。重要インフラというと、電力、ガス、水道や、航空や鉄道といった主にライフラインに関連するものがイメージされると思いますが、クレジットカード取引も重要インフラの1つです。そのため端末を製作するハードウェアメーカーは、重要インフラを脅かす「悪意」からクレジットカード情報を守るための対策を確実に行わなければなりません。

クレジットカード取引を脅かす「悪意」とは、例えばクレジットカード情報の盗難が考えられます。有名な盗難の方法として「スキミング」という方法があります。スキミングは、スキマーとよばれる装置を通すことでカード情報を一瞬にして抜き出す手口です。日本人は慣習的に店でクレジットカード決済をする際、クレジットカードを店員に渡してしまう事に対し抵抗がありませんが、例えば文化・慣習が異なる外国人旅行者がこの慣習を目のあたりにすると、「自分のクレジットカードを渡すなんて信じられない」と皆さん口を揃えていいます。なぜなら自分の見えないところでスキマーに通されて、クレジットカード情報が盗まれると考えているからです。

クレジットの「磁気カード」はスキマーで簡単にスキミングできます。「磁気カード」に対し、「ICクレジットカード」は高度なセキュリティ機能が実装されているため、カード情報を盗難する事が極めて困難です。そのため、安全なクレジット取引を行うためには、「ICクレジットカード」取引が必要ですが、日本ではICクレジットカードは数多く発行されているものの、実際にICクレジットカード取引ができる店舗はまだまだ少ないのが現状です。海外ではICクレジット取引が100％普及している国も多いため、外国人旅行者がこのような意識を持つのも当然だと考えられます。

内閣の「日本再興戦略」では、2013年に東京オリンピック・パラリンピックが決まったことを受けて、2014年に改訂された際に、「キャッシュレス決済の普及による決済の利便性・効率性向上を図る」といった事が盛り込まれています。具体的には面前決済の一般化、クレジットカード番号や個人情報管理等のセキュリティ対策の強化、クレジットカード取引のIC化、POS端末を含むキャッシュレス決済端末のセキュリティ仕様の標準化など、国際的なセキュリティ基準に対応しようという方針です。

訪日外国人旅行者は過去10年前と比較すると、約3倍増になっています。政府は、2020年までに2,000万人という目標を掲げていましたが、2015年に過去最高の1,973万人を達成したことを踏まえて、2020年までに3,000万人にすると目標値を引き上げており、2020年に向けて国を挙げて世界標準の「クレジットカード取引」が実現できる環境を整えようとしています。

日本でも2020年までの100％IC化を目指す方針
キヤノンではお客様目線でグローバルスタンダードのセキュリティに対応

経済産業省ではクレジットカード決済について、「2020年までに流通しているクレジットカードの100％IC化を目指す」「決済端末についても2020年までに100％IC化を目指す」という方針を示しています。また、カード情報の保護、偽造カード防止、なりすまし等の不正使用対策、という3つの課題を中心に検討を進めていくため、クレジット取引セキュリティ対策協議会が2016年に発足しています。

この環境の中、キャッシュレス化を推進するため、決済端末は世界標準の決済仕様に対応していかなければいけません。このような環境下にあるからこそハードウェアメーカーはお客様目線で考え、訪日外国人旅行者にも安心いただけるように面前決済の端末をつくり、世界標準のセキュリティに対応する必要があります。
　

端末メーカーに求められるセキュリティ基準「PCI PTS」
決済を安全に行うためのリスク対策

PCI SSCが策定しているセキュリティ基準の中で、最も有名なものは「PCI DSS」だと思いますが、PCI SSCが策定しているセキュリティ基準には端末メーカーに求められるセキュリティ基準として、「PCI PTS」という規格があります。「PCI PTS」 はPIN入力を行う決済端末で確保されるべきセキュリティ要件をまとめた規格であり、PIN入力を行う端末を開発するベンダーに求められる要件です。スキミングやデータ盗難被害に対するリスク対策の基準をまとめたハードウェアとしてのセキュリティ基準が「PCI PTS」です。

「PCI PTS」の施行以前、ハードウェアメーカーは独自にセキュリティを考え、事故事例などを調べて、端末にセキュリティ機能を実装していました。ただ、ハードウェアメーカー独自で情報収集をするには限界があり、また、メーカー毎にどのようなセキュリティ機能を実装しているかは非公開でした。

それに対して「PCI PTS」は、ペイメントブランドに集まった世界中で起きた事故事例に対する対策方法を随時更新しています。一般ユーザーの視点で考えると、この基準に対応した端末を使うことで、一定以上のセキュリティが確保されているため安全です。結果として、安心して端末を使用する事ができるようなります

「PCI PTS」の試験は、PIN入力を行う端末を対象としていましたが、最近では対象範囲が広がっています。決済端末に磁気クレジット機能が備わっていれば、「スキミング配線をつないでスキミングできないか」など、対象範囲が広がっています。実際の「PCI PTS」の試験では、極端な例ですが、「液体窒素に漬けることでCPUが止まり、データを抽出できないか」「CPUを拳銃で打ち抜けば簡単にデータが盗れるのではないか」など、グローバルで発生した事故の事例を元に多様な試験が行われており、それらをクリアしないと「PCI PTS」準拠のハードウェアになれないのです。

「PCI PTS」は、有効期間が定義されています。1つのマイナーバージョンで「PCI PTS」規格として認められる有効期間は9年間で、さらに3年ごとにマイナーバージョンアップが行われ、新しいバージョンがリリースされています。現在の最新規格はPCI PTSの4.x台です。この4.x台でもバージョンが更新されており、現時点では4.1が最新バージョンとなっています。「PCI PTS」はバージョン更新ごとに、実際に発生した脅威に対策するため、セキュリティポリシーが追加されています。

EMVとPCI PTSは何が違うの？ という質問をよく受けます。ICクレジット取引を行う際はEMV仕様に準拠する必要があります。ここでいうEMV仕様は大きく2つに分かれており、ICカードリーダーの互換性を確保するための、ハードウェアに依存する部分がEMV Level 1、クレジット取引を行うための各種処理内容や処理方法、ソフトウェアに関連する部分がEMV Level 2と定義されています。このLevel 1、2に対応してEMV準拠の端末ということになります。EMVはあくまでICクレジット決済を行うために必要な規格/仕様です。EMVに対し、PCI PTSは規格/仕様ではなく、クレジットカード取引を安全に行うためのセキュリティ対策です。

キヤノンは端末メーカーとして、お客様に安心・安全な決済を行っていただくために、決済端末はPCI PTS準拠が必ず必要だと考えています。PCI PTSは世界基準のクレジットカード決済における情報漏えいリスク対策であり、決済端末のハードウェアに求められる基準なのです。

⇒⇒後編へ続く

※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のキヤノンマーケティングジャパン株式会社 BSソリューション企画本部　モバイルソリューション企画部 モバイルソリューション企画課　山本 大輔氏の講演をベースに加筆を加え、紹介しています。

※CAFIS Arch®は国内における株式会社ＮＴＴデータの登録商標です。　

■お問い合わせ先
キヤノンマーケティングジャパン株式会社
モバイルソリューション企画部
〒108-8011 東京都港区港南2-16-6 CANON S TOWER
http://cweb.canon.jp/ht/index.html
TEL：03-6719-9847

2016年10月7日8:00

■キヤノンマーケティングジャパン

クラウド型総合決済プラットフォーム「CAFIS Arch®」とは
デビット、クレジット、NFCなど多様な決済に対応可能

「CAFIS」は株式会社ＮＴＴデータが運営する国内最大級の決済ネットワークです。その新サービスとして「CAFIS Arch®」という決済プラットフォームが2015年にリリースされています。「CAFIS Arch®」の大きな特徴は、デビット、クレジット、NFCといった「多様な決済への対応」です。また、ポイントカードや電子サインと連動する「決済付帯機能の充実」、「CAFIS」の多通貨決済サービスなどと連携する「インバウンド対応」、キヤノンの端末も含まれる「多彩な端末形態」も特長と言えます。

「CAFIS Arch®」は、クラウド型の総合決済プラットフォームです。決済端末には当然、決済を行うためのアプリケーションがインストールされており、従来のCCT（Credit Center Terminal）端末では端末側にアプリケーションを持っていました。それに対して「CAFIS Arch®」では、決済端末側にアプリケーションを持つ必要がありません。端末側にアプリケーションを持つ場合、端末のソフトウェアの更新があった際には誰かが更新を行わなければなりませんが、クラウド型のサービスにはこの手間がなくなるというメリットがあります。

また、例えば決済手段を増やしたい、新たなサービスを導入したいといった場合には、決済端末のアプリケーションを更新する必要がありますが、「CAFIS Arch®」は、クラウド型決済プラットフォームであるため、サーバ側の更新で決済商品を増やすことができます。さらにお客様の用途によりますが、日計もサーバ側で管理していますので、日計処理を端末側から行う必要もなくなります。

「CAFIS Arch®」に対応するキヤノンのモバイル決済端末
スマートデバイスと連携した決済を安全に実現

「CAFIS Arch®」に対応したキヤノンの決済端末のラインナップとして、従来のCCT端末と同様に通信モジュールを内蔵しているモデルと、スマートフォンやタブレットといったスマートデバイスと連携して、それらに付いている通信機能を利用するモデルの2モデルをリリースする予定です。直近では、スマートデバイス連携型をリリースいたします。

「CAFIS Arch®」対応のキヤノンの決済端末には大きく3つの特長があります。1つが「『お客様視点』安心デザイン」。2つがキヤノンの特長である「プリンター一体型モバイル端末」であるということ。3つがPCI PTSの最新バージョン、「PCI PTS4.1」に準拠する端末であり、同時に「国内製造・国内保守」であることです。

特長の1つである「『お客様視点』安心デザイン」ですが、モバイル決済で実際に暗証番号を入力するときには、お客様に端末をお渡ししていると思います。キヤノンの端末ではカバー部分を開けることで初めて暗証部分のPINパッドが出てくる構造にしています。目隠し機構によって、店員からお客様の暗証番号入力が見えないという配慮です。そもそも、PCI PTSでは暗証番号入力時に手元を隠す機構をつけるという決まりがあります。据え置き型の決済端末では、暗証番号入力の手元を隠すために小さな壁が設けられていますが、これもPCIの考え方に準拠して備えらえたものだと思います。　モバイル端末にはこのような壁は適しませんので、運搬時にはカバーになり、使う際には目隠しになるようなデザインをお客様と一緒に考え、実装しております。暗証番号入力時の不安をお客様に与えない面前決済という考え方に特化した端末なのです。

2つめの特長の「プリンター一体型」ですが、日本国内の決済シーンでは、まだまだお客様控えが求められると思います。例えば、口座振替を行う場合には口座振替確認証、また、クレジットカード決済の中でも特に分割払いの場合には控えを印刷する場合があります。モバイル端末に対応するモバイル用プリンターもありますので、モバイルプリンターを持つのも1つの考え方かもしれませんが、取り回しを考え、また、ランニングコストの点でも、プリンターを一体化した方が望ましいと考えました。また、キヤノンはもともとプリンター自体を得意分野としており、プリンター一体型モデルの導入実績が評価され、航空業界や鉄道業界、また百貨店業界にも端末を採用いただいているという実績があります。業務用端末業界では「ハンディターミナル」といいますが、プリンター一体型ハンディターミナルではキヤノンがシェアNo.1をいただいており、多彩な業界でご愛顧いただいています。

特長の3つめ、「PCI PTS4.1準拠」ですが、前段でお話しした通りハードウェアメーカーとして安心・安全なクレジットカード取引を実現するためにPCI PTSへの準拠が必要だと考えています。またキヤノン製モバイル端末は「国内製造・国内保守」にもこだわっています。国内製造については海外の情勢の影響を受けないという点が大きなポイントです。さらに、国内の製造部門で一括して保守も行っています。キヤノンの決済モバイル端末は、キヤノングループのキヤノン電子株式会社で製造を行っています。

最後にキヤノンだけの大きな特長として、端末の製造終了から7年以上、全パーツの保有をお約束しています。例えばお客様によって、リースを延長したいけれどもう保守はできないよね、と相談された場合にも、安心して長期間使っていただける体制を構築しています。

2020年に向けてIC化の波がますます進んでいく中で、決済端末はPCI PTSという世界標準のセキュリティ基準に準拠し、お客様の安心・安全を考え続ける事が大切だと思います。

⇒⇒前篇へ戻る

※本記事は2016年3月12日に開催された「ペイメントカード・セキュリティフォーラム2016」のキヤノンマーケティングジャパン株式会社 BSソリューション企画本部　モバイルソリューション企画部 モバイルソリューション企画課　山本 大輔氏の講演をベースに加筆を加え、紹介しています。

■お問い合わせ先
キヤノンマーケティングジャパン株式会社
モバイルソリューション企画部
〒108-8011 東京都港区港南2-16-6 CANON S TOWER
http://cweb.canon.jp/ht/index.html
TEL：03-6719-9847

2016年10月12日15:07

テュフズードザクタは、「EMV Mobile Level 1 Phase 2」の試験機関としてEMVCoから認定を受け、同試験のサービスを開始した。これにより、アナログ試験・デジタル試験に加え、パフォーマンス試験、互換性試験もあわせPhase 2のすべての試験が可能となった。

Mobile Level 1 試験はPhase 2以降、 各決済スキームの試験が不要となり、すべてEMVCoとしてUICC、Embedded Secure Element (eSE)、HCEの各方式での試験が実施されることになる。

EMV Mobile Level 1 Phase 2試験の開始により、モバイル製品ベンダーは応答時間だけでなく、世界中の支払い端末との互換性の確認がテュフズードザクタで可能になる。テュフズードザクタでは試験システムの自動化を集中的に進めており、試験期間の短縮により、ベンダーは新製品をより早くマーケットに投入できるようになるという。

テュフズードザクタはアジアで初めてのEMVCo認定試験所となり、国内の決済システム市場で15年を超える経験を有している。現在は電波暗室やシールドルームを備えた試験設備を持ち、ワンストップでの試験サービスを提供できるように努めているそうだ。

2016年10月12日20:20

決済加盟店（ネット・リアル）、サービスプロバイダに求められるセキュリティ対策を徹底網羅した無料セミナー

【以下の対策を把握したいECサイト、リアル加盟店必見！】

■ECサイトがチャージバックの被害を防ぐために有効な不正検知対策は？

■2018年までにEC事業者はPCI DSS準拠もしくは非通過型サービスが必要に

■カード情報の漏えいを防ぐ安全な管理のために必要は施策とは？

■経済産業省や業界団体から「セキュリティ対策の強化に向けた実行計画」が公表

カード決済は、利便性と同時に厳格な“セキュリティ”が求められます。近年では、さまざまなEC加盟店からのクレジットカードの漏洩事件が継続して起こっており、減少する気配はありません。また、カード番号を保存していない加盟店からもカード情報が漏洩しています。

経済産業省／日本クレジット協会が2016年2月に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、EC加盟店でも2018年3月末までにカード情報非保持化もしくはPCIDSS準拠が求められます。最近では、PCIDSSやセキュリティ対策関連のセミナーも増えてきました。

また、カードを提示しない非対面でのCNP（CardNotPresent）の不正が目立っており、クレジットカードが第三者に不正利用される被害も顕在化しています。その対策として、不正なカード決済を未然に防ぐフラウドツール（不正検知システム）にも注目が集まっています。さらに、対面ではEMV ICカード化の進展、非対面では本人認証の強化の対策もさらに進むでしょう。

そこで、TIプランニング ペイメントナビ編集部では、無料でさまざまなセキュリティ対策を知ることができる「不正使用対策・PCI DSSセキュリティセミナー」を開催します。本セミナーの開催が加盟店、サービスプロバイダの皆様のセキュリティ対策につながれば幸いです。

☆開催概要

※本申し込みにあたりお預かりしたお客様の個人情報（氏名、住所、電話番号等）は、主催、協賛各社において、今後の営業、マーケティング、各社取り扱い製品またはサービスに関するご案内のために利用させていただく場合があります。なお、ご記入いただきました個人情報につきましては、各企業の個人情報保護ポリシーに則って、適切に扱われます。

■講演プログラム

※本セミナーはセッションごとのお申込みが可能です。
※セミナーのプログラムは、予告なしに内容を追加や変更することがございます。ご了承ください。

■お申し込みフォーム

2016年10月13日10:09

パナソニック システムネットワークスは、経済産業省の公募委託を受け、三井住友カード、大日本印刷（DNP）との協働プロジェクトとして、大阪の商業施設「天保山マーケットプレース」（海遊館）等で、ユーザーのスマートフォン等で利用登録が可能な生体（手のひら）認証を用いた決済、LED光源を利用したスマートフォン等への多言語情報サービスの実証実験を行っている。「天保山マーケットプレース」で記者が実際にサービスを体験した。

経済産業省「IoT活用おもてなし実証事業」
「miQip」と連携し、全国3地域のサービスが利用可能

経済産業省「IoT活用おもてなし実証事業」（関西/大阪）は、2016年10月1日～2017年2月12日まで、関西国際空港（関西エアポート）、なんばCITY（南海電気鉄道）、天保山マーケットプレース（海遊館）での実証を予定している。

天保山マーケットプレースでは、訪日外国人にサービスの利用を告知

同事業では、訪日外国人の属性情報・行動履歴等を事業者間で活用可能な全国共通IDサービス基盤「おもてなしプラットフォーム」の「miQip（マイキップ）」に登録された基本属性情報と連携。今回の経済産業省実証事業は、「関東実証（湯河原・箱根・鎌倉）」、「九州実証（福岡）」も行われているが、利用者はmiQipに自身の情報を登録することで、IDとパスワードが1セット発行される。これを利用して、miQipと連携する3地域のサービスが利用可能だ。なお、miQipでは、DNPのVRM（Vendor Relationship Management）システムを採用している。

「miQip（マイキップ）」

今年度の実験では、観光情報提供による旅前からの観光誘客施策、関西国際空港 国際線到着ロビー、南海電気鉄道/関西空港駅構内、なんばCITY免税カウンター前、天保山マーケットプレースでのデジタルサイネージ配信、三井住友カードが新たに提供する訪日外国人向け旅行メディア「JOURNEY of JAPAN」による観光地・観光施設の紹介等を実施。また、カード番号を事前に登録した人に対し、手のひら認証によりキャッシュレスで支払いが可能な実証実験も行っている。さらに、デジタルサイネージや実証参加店舗に設置する光ID対応LED看板にはスマートフォン・タブレットをかざすだけで、さまざまな情報を受信できる光ID送信機能が搭載されており、6言語で情報提供を行う多言語情報サービスを提供している。

店舗では手のひら決済が利用できることを示したアクセプタンスマークを掲示

事前に手のひらとカード情報を登録
店舗では手のひら認証で支払いが可能

「生体認証（手のひら認証）決済サービス」の試行は、天保山マーケットプレース25店舗で実施。利用者は、「miQip」を利用して、自身で掌紋（手のひら）を撮影し、決済に利用するクレジットカード情報（Visa/MasterCardブランドが利用可能）と併せて、手のひら認証決済サービスに登録する。手のひら認証技術は、ユニバーサルロボットが技術提供パートナーとなっている。

事前にスマホで生体情報とクレジットカード情報を登録。手のひら決済の利用履歴もスマホで確認できる

手のひら認証では、事前にスマホで3回、ユーザー自身の手のひらを登録。また、カード情報はPCI DSSに準拠したDNPの「DNPマルチペイメントサービス」を活用して厳格に管理される。ユーザーは、対象店舗での買い物時に、手のひらを店舗設置のタブレットにかざすことで支払いが完了する。決済時には、タブレットにユーザーの生年月日を入力してもらうことで本人確認を強化している。

スマホで3回、自身の手のひらを登録

クレジットカードはVisaとMasterCardブランドを登録可能

「異国の地で生体情報やカード情報を登録するという障壁もありますが、案内を工夫しながら登録を促しています。たとえば、手のひら認証では、生体情報から特徴点だけを抽出しており、数値化したデータで複合できない仕組みとなっています。また、カード情報はPCI DSSに準拠した環境で安全に取り扱いを行っています」（三井住友カード 商品企画開発部兼アクワイアリング企画部 部長代理 松尾和明氏）

認証強化のために生年月日を入力

手のひらをタブレットにかざして認証を行う

光ID技術を利用して母国語で情報の受け取り可能
ユーザーの基本属性を店内に設置したタブレットに通知

「光ID多言語情報サービス」は、英語、中国語（簡体・繁体）、韓国語、タイ語の6言語でサービスを提供。スマホに光IDのアプリをダウンロードした人は、デジタルサイネージにアプリを近づけると、母国語で情報を受け取ることが可能だ。同サービスは、天保山マーケットプレース（実証参加 27店舗）、なんばCITY（国慶節イベントに参加する10店舗）で展開している。

デジタルサイネージにアプリを近づけると、母国語で情報を受け取リ可能

今回利用しているパナソニックの光ID技術は、可視光通信技術を発展させ、LED光源の高速点滅によって発信される固有のIDをスマホ搭載のイメージセンサ（カメラ）と専用アプリケーションを用いて高速受信するものだ。

実証実験では、店舗に設置した光ID対応LED看板を活用し、来店者の国籍、言語、性別、年代といった基本属性を店内に設置したタブレットに通知するサービスを実施。これにより、「店舗では、国籍等に応じた声掛けを実施するなど、さらなるおもてなしサービスを行うことが可能になります」と、パナソニックシステムネットワークス 物流ビジネスシステム部 ソリューション1課 高橋丈氏は話す。

基本属性を店内に設置したタブレットに通知

店舗と協力したスタンプラリーも実施
「JOURNEY of JAPAN」で全国の観光地・観光施設を紹介

たこ焼きが貯まるスタンプラリーも実施

なお、同実証における誘客施策の一環として、天保山マーケットプレース（10/8 ～ 10/14 ）となんばCITY（10/1 ～ 10/7 ）店舗の協力を得て、光IDを利用したスタンプラリー企画「Takoyaki Rally」を展開。ユーザーは、店舗の前で光IDの読み取りボタンを押すと、スタンプに見立てた「たこ焼き」が貯まり、10個貯まると景品と交換可能となっている。

10個たこ焼きが貯まると景品に交換できる

同実証実験では、三井住友カードが新たに提供する訪日外国人向け旅行メディア「JOURNEY of JAPAN」による観光地・観光施設の紹介およびスマホを用いたクーポン配信機能を連動させ、送客・誘客を促す情報提供サービスを本実証において活用している。同アプリは、観光情報や加盟店の情報等を発信することで、訪日外国人の観光地や加盟店への送客を行うとともに、加盟店にとってWEBサイトでの幅広いPRに加え、アプリでの効果的な集客が可能となるプラットフォームとして提供するそうだ。

「JOURNEY of JAPAN」

■カード決済、セキュリティ、関連するテクノロジを凝縮して紹介、様々なリアルシーン、ネットで紹介！

2020年に向け、カード決済の裾野はさらに広がることが期待されています。国内でも後払いのクレジットカードに加え、前払いのプリペイドカード、即時払いのデビットカードの発行が増えてきました。また、Apple Payの開始やインバウンド対応などにより、モバイルを活用した決済も注目を浴びています。

TIプランニングでは、国内のカード決済、セキュリティ、関連するテクノロジ等を凝縮した「カード決済＆セキュリティの強化書2017」を作成し、2017年の「リテールテックジャパン」を皮切りに各種イベント、カード情報ポータルサイト「ペイメントナビ（payment navi）」等において情報を配信する予定です。

過去にTIプランニングでは、啓蒙書として2014年の「カード決済のすべて」、「FeliCa/NFC完全ガイド」、2015年の「カード決済＆セキュリティの強化書」を発行して参りました。

冊子は、「リテールテックジャパン」、「JAPAN IT WEEK」、「地方創生フォーラム」、「FeliCa Connect」などのイベント、各種セミナーで配布させていただきました。また、ペイメントナビならびに特設サイトでの配信により、カード決済の利便性とセキュリティ対策の重要性について、多くの方に訴求することができ他と考えております。

2016年は、過去の冊子を上回る内容を作成することで、数多くの方に決済の利便性やセキュリティ対策の重要性を理解していただければと考えております。ぜひ、参加をご検討いただければ幸いです。

2020年のキャッシュレス化に向けたプロジェクトの概要
■冊子「カード決済＆セキュリティの強化書2017」（仮）
・発行は1万5,000部を予定しております。
・「リテールテックジャパン2017」（3月7日～10日）での無料配布（展示会場入り口および弊社ブース）を皮切りに、さまざまな展示会やイベントで配布する予定です。
■カード情報ポータルサイト「ペイメントナビ」での紹介
・カード情報ポータルサイト「ペイメントナビ」での冊子の紹介や記事掲載を行います。
■Web「2020 Cashless Tokyo」2017年版
・冊子と連動して特設のWebサイトを立ち上げます。サイトでは日本のカード決済やセキュリティ対策について、分かりやすく紹介する予定です。現在、加盟店はWebで情報を収集する時代であり、決済やセキュリティ対策を凝縮したサイトを立ち上げることで、キャッシュレス化を推進します。

■協賛企業募集
キャッシュレス化を推進される協賛企業を募集しております。書籍・サイト双方でプロモーションが可能です。また、サイトの貴社記事中から貴社サイトの登録フォームへ誘導が可能です。

●ご協賛の内容
・冊子での記事掲載
・カード情報ポータルサイト「ペイメントナビ（paymentnavi）」での掲載
・特設サイトでの記事掲載（特設サイトにはペイメントナビからの誘導も行います）
※特設サイト、ペイメントナビのご掲載では貴社のサイトへの誘導が可能です。
1ページの目安（本文分量1,600文字を想定）
2017年の重点紹介項目は下記となります。
・クレジットカード決済
・デビットカード決済
・プリペイドカード決済
・キャッシュアウト
・NFC/FeliCaモバイルペイメント
・QRモバイルペイメント
・ID決済/チェックアウト
・インバウンド対策
・地方活性
・決済連動マーケティング
・自治体・公共での活性化
・オムニチャネル
・海外動向
・カード会員情報保護
・EMVの推進
・トークナイゼーション
・HCE（ホスト・カード・エミュレーション）
・PCIDSS
・ブロックチェーン
・金融イノベーション

ご協賛のプラン
1.プラチナ
300万円（税抜）
表4＋記事6ページ
表2見開き＋記事6ページ
冊子300部を進呈
2.ゴールド
150万円（税抜）
記事4ページ
冊子200部を進呈
3.　シルバー
記事協賛：2ページ掲載
100万円（税抜）、冊子150部を進呈
4. ブロンズ
記事協賛：1ページ掲載
50万円（税抜）（本文分量1,600文字を想定）、冊子100部を進呈

補足
・ゴールド、シルバープランをお選びの企業の場合、1,000部の抜き刷りを無料でサービスさせていただきます（A3表裏）。ゴールドの場合は、残り2ページの広告は貴社でご用意いただく形となります。イメージは表紙、見開き記事、裏表紙。
・純広告のご掲載も可能です。詳細は編集部にお問い合わせ下さい。
・2014年12月15日までの事前振り込みの場合、料金を5％オフとさせていただきます。

■まだお申し込みが可能です。詳細につきましては、下記のご連絡先からお問い合わせください。
TEL：03－5357－7077

■協賛想定企業
「ペイメント関連企業」
・クレジット決済代行事業者
・ID決済サービス
・後払い提供企業
・コンビニ収納代行
・インターネットバンキング
・情報処理事業者
・クレジットカード決済パッケージ
・不正検知システム
・決済端末ベンダー
・ギフトカード・プリペイドカードASP事業者
・ギフトカード・プリペイドカード流通事業者
・クレジットカード発行事業者、国際ブランド
・決済連動のCRMサービス
etc
「カードセキュリティ」関連企業
・EMV関連企業
・ 3-Dセキュア関連システム提供企業
・ 不正検知システム提供企業
・セキュリティ関連製品提供企業
・ QSA（認定セキュリティ評価機関）
・ ASV（脆弱性スキャニングベンダー）
・ PCI DSS対応製品提供企業
「ICカード・ポイントカード」関連企業
・ ICカード・ポイントカード発行企業
・ ICカードリーダライタ提供企業
・ ICカードシステム提供企業
etc

ご協賛をお待ちしております。
■第一次締切日
2016年12月12日（金）

※申込企業が規定に達しない場合、企画を行わない可能性もございます

過去の参考
過去に展開した冊子は、数多くのシーンで配布していただくなど、非常に評価の高い企画となりました。

カード決済＆セキュリティの強化書（2016年版）

「カード決済＆セキュリティのすべて」（2015年）

【お問い合わせ】
ペイメントナビ書籍・セミナー係り
TEL:（03） 5357-7077
https://www.paymentnavi.com/contact

2016年10月19日22:12

デジタルセキュリティベンダーのジェムアルトは、アリババ・グループと協業し、同グループが開発した YunOS 向けにコネクティビティとセキュリティを提供すると発表した。

YunOS はクラウドベースのデータ・サービス指向の IoT（モノのインターネット）向け OS で、さまざまな業界で IoT デバイスやチップ、センサーに搭載されている。同提携において、ジェムアルトは Allynis Trusted Service Hub を提供し、アイデンティティのライフサイクル管理を通して、セキュリティに気を配る必要があるセンシティブなアプリケーションのプロビジョニングの実行を容易にするという。

セキュリティを強化することで、コネクテッドカーのドライバー、スマート家電やモバイルデバイスの利用者などの YunOS ユーザーに安心をもたらすそうだ。同協業により、異種 IoT アプリケーションに同一の ID フレームワークを提供するという YunOS のビジョンが拡大する。

2016年10月20日20:52

国際マネジメントシステム認証機構(ICMS)は、2016年10月18日、PCI DSSの認定団体であるPCI SSCからP2PEソリューション認定セキュリティ評価機関「P2PE QSA」として認定され、クレジットカード情報に関するセキュリティサービスを拡大すると発表した。

P2PEは、加盟店のクレジット決済端末からカード決済システムまで、クレジットカード情報を暗号化し伝送するセキュリティ規格となる。クレジット端末内に情報が残らないため、情報漏えいのリスクが低減される。また、PCI DSSの対象範囲の削減や、PCI DSS準拠のコストを抑える効果が期待できるという。

ICMSは2008年よりPCI DSSのQSAs（PCI SSCによる認定セキュリティ評価機関）としてPCI DSS監査を行っている。P2PEについても黎明期より規格を検証し、今回の認定によりP2PEの監査およびP2PE QSAによる準拠支援サービスを提供することとなった。

2016年10月24日13:00

国内でも流通事業者等に対し、クレジットカード番号等の適切な管理及び不正使用の防止（決済端末のIC対応化等）を義務付ける「割賦販売法の一部を改正する法律案」が閣議決定され、第192回臨時国会に提出される。海外でもEMV化の取り組みは2000年代から行われているが、トランザクションの状況など、「不正使用対策・PCI DSSガイドブック」からその一部を紹介したい。

なぜEMVなのか？

2000年代初めからカード偽造に悩まされてきたイギリスやフランスなどはEMV化を推し進め、国内におけるカード偽造による損失を大きく減少させてきた。次いで、カード偽造の損害が拡大したカナダやオーストラリアもEMV化に着手し、国内におけるカード偽造を抑え込むことに成功した。こうした中、EMVの取り組みを行っていなかったアメリカでは、EMV化によって締め出されたカード偽造の犯罪者を招き入れる結果となり、2010年頃よりカード偽造によるカード不正の損害を急激に増加させた。いわば、アメリカが偽造カードのセキュリティホール化した。アメリカのEMV化がさらに遅れるさらに甚大な損害を招く恐れがあるため、2015年10月からはライアビリティシフトやカードとPOS端末機、ATMのEMV化を始めている。EMV化に遅れをとると、アメリカのようにセキュリティホール化するリスクをはらんでいる。

EMV化はNFCベースのモバイルペイメントに向けた環境整備に

また、EMV化を成し遂げた、イギリスやオーストラリア、カナダなどを中心に、Visa pay WaveやMasterCard Contactless（旧Pay Pass）などによるEMVスタンダードによるデュアルインターフェースのクレジットカードやデビットカードによるコンタクトレスペイメントが急速に普及し始めている。さらに、コンタクトレスペイメントカードとPOSカード決済端末機を共有するモバイル財布アプリを搭載したモバイルフォンのNFC（Near Field Communication）によるモバイルペイメントもApple PayやSamsung Payなどのリリースにより、本格的な普及が見込まれている。ペイメントカードのみならず、モバイルデバイスによるコンタクトレスペイメントに対応するためにも、POSカード決済端末機などのEMV化を含めた早急な対応が求められている。EMV化は、NFCベースのモバイルペイメントに向けた環境整備となる。

オーストラリアではEMV化が進んだことにより、コンタクトレスペイメントの推進にもプラスとなった

こうしたEMVの対象は、カードブランドでは、Visa、MasterCard、American Express、ディスカバー、JCB、中国銀聯、Interac（カナダ）、Ru Pay（インド）などで、これらのブランドのクレジットカードのみならず、オン・オフのデビットカード、ATMカード、オープンループのVisaやMasterCardなどのプリペイドカードなどが対象である。EMVにはコンタクトICチップをカードに埋め込んだ“コンタクトEMV”のほか、コンタクトICとコンタクトレスICのデュアルインターフェースでアンテナをカードに埋め込んだVisa pay WaveやMasterCard Contactlessなどの“コンタクトレスEMV”、スマートフォンなどの“モバイルEMV”、アップルWatchなどの“ウェアラブルEMV”がある。

各エリアでのトランザクションの状況は？

（図表）は、EMV Coによる2014年度（2013年6月〜2014年5月）と2015年度（2014年6月〜2015年5月） における、CP（Card Present）ベースのトランザクションにおけるEMV ICカード決済の地域別のトランザクション件数ベースシェアの推移を示したものである。なお、オンライン決済や通販におけるカード決済のように実物のカードを加盟店に提示しないCNP（Card Not Present）決済は含まれていない。

EMV ICカード決済の地域別のトランザクション件数ベースシェア（出典：EMV Co）

カナダ、ラテンアメリカ、カリブエリアは、2014年度の83.77％から2015年度の86.95％へと3.18ポイント増加している。アジア・パシフィックエリアは、2014年度の19.42％から2015年度の33.55％へと14.13ポイントと大きく増加しているものの、EMV ICカード決済のシェアはまだ33％にとどまっている。アフリカ・中東エリアは、2014年度の75.90％から2015年度の83.77％へと7.87ポイント増加。

イギリス、ドイツ、フランス、ポーランド、チェコ、トルコなどSEPA （Single Euro Payment Area：単一ユーロ決済エリア、EU加盟国を中心にスイスなどEU非加盟国を含む34の国と団体が加盟）に参加する国を中心に37カ国で構成されるヨーロッパ・ゾーン1は、2014年度が96.33％、2015年度が96.94％で、ほぼ100％に近づいている。

ロシア、クロアチア、ジョージア、ウクライナなど17カ国で構成されるヨーロッパ・ゾーン2は、2014年度の50.47％から2015年度の65.41％へと14.97ポイントと大きく増加しているものの、EMV ICカード決済のシェアはおよそ3分の2にとどまっている。

2015年10月からライアビリティシフトがスタートしたアメリカは、2014年度（2013年6月〜2014年5月）と2015年度（2014年6月〜2015年5月）は共にライアビリティシフトがスタート前であり、EMV ICカード決済のトランザクションのシェアは2015年度においても2.60％にとどまっている。

■「不正使用対策・PCI DSSガイドブック」より

2016年10月26日20:45

ユーシーカード（UC カード）は、自社が提供する Wallet サービス「My Wallet」のシステムについて、ペイメントカード業界における世界標準のデータセキュリティ基準である「Payment Card Industry Data Security Standard（以下、PCIDSS）Ver3.1」の準拠認定を取得したと発表した。

My Walletは、UC カードがWalletサービスを展開するために開発したアプリケーションとなる。同アプリケーションを使用することにより、Masterpassやモバイルプリペイドによる決済が可能となる。

これらの決済サービスを使用する際、会員は自身のカード情報等を登録する必要があるが、近年、クレジットカード情報の不正取得を目的とした海外からの不正アクセスやセキュリティ事故等が増加しており、より堅牢なセキュリティ対策が求められていることから、会員により安心して利用してもらえるよう、このほどPCI DSSの準拠認定を取得した。

UCカードは、クレジットカード会社として、日本で初めてメインシステム環境における PCI DSSの準拠認定を取得している。近年では、加盟店へPCI DSSの準拠状況簡易診断サービスを無償で提供する等、その取り組みは多岐に渡るという。

2016年10月26日21:28

Visaは、米国時間の10月25日、外部パートナー企業との連携によるVisaトークンサービス（VTS）の提供を通じて、セキュアなデジタル決済の浸透を加速させると発表した。テクノロジー企業、デバイスメーカー、カード発行会社、IoT企業、ウォレットプロバイダー、加盟店など、新たなパートナーによる VTS へのアクセスを拡大することで、さらに迅速かつ容易にセキュアなデジタル決済サービスをあらゆるデバイスを介して市場に提供できるようになる。

最初の試みとして Giesecke and Devrient（G＆D）、Gemalto、INSIDE Secureの3社が、Visaのトークンサービスプロバイダープログラムのパートナーとして、新たに拡大されたVTSへのアクセスを提供する。

Visaトークンサービスは、口座番号や有効期限など、カードホルダー情報を一意的なデジタル識別子（トークン）に変換し、カードホルダー口座の機密情報を開示せずに決済を行うためのセキュリティー技術となる。トークナイゼーションにより、デジタル環境での決済時は、消費者の口座情報を含む機密情報を見えないようにすることで、デジタル決済をより安全に行えるようにする。

Visa のトークンサービスプロバイダープログラムは、テクノロジー企業がVTSなどVisaの幅広いツールやサービスのネットワークや開発およびマーケティング支援にアクセスするための標準的なアプローチを提供する。また、さまざまな企業が新しく、安心・安全なデジタル決済サービスを開発できるようにし、EMVCoトークン規格で目指す一貫性を確保するとしている。

Visa のトークンサービスプロバイダープログラムでは、イシュアーTSPとトークン・リクエスターTSPを提供する。イシュアーTSPは、Visaトークンサービス（VTS）などのネットワークに接続する認定パートナーで、金融機関向けのプロビジョニング、消費者認証、トークンライフサイクル管理のほか、Capital One Wallet、PNC Virtual Wallet、U.S. Bank Mobile Wallet、Wells Fargo Wallet、Apple Pay、Samsung Pay、Android Pay などトークン・リクエスターのトークンVTS通知などのソリューションを提供する。

トークン・リクエスターTSPでは、VTSなどのネットワークに接続する認定パートナーで、トークン・リクエスターがVTSによる消費者デジタル決済ソリューションを開発することが可能となる。トークン・リクエスターの決済アプリケーションや、携帯電話、今後拡大が見込まれるインターネット接続機器などの消費者端末でVisa決済トークンのプロビジョニングやライフサイクル管理が可能だ。

2016年10月27日11:30

「TISマネージドセキュリティサービス Powered by Trustwave」を提供

TISと、シンガポール大手通信会社Singapore Telecomunications Limited（Singtel）は、 2016 年10月26日に記者会見を開催し、マネージドセキュリティサービス（MSS）における戦略的提携契約を締結し、Singtelの子会社で北米最大級のセキュリティベンダーの1つである米国Trustwave Holdings,Inc.（Trustwave）が提供するMSSの日本市場へ展開すると発表した。今後、TISでは「TISマネージドセキュリティサービス Powered by Trustwave」を提供するが、PCI DSS準拠支援を行う「PCIマネージャ」を2016年12月から提供する予定だ（S.H）。

Trustwave SOCを日本に構築
2020年に100億の売上を目指す

TISは世界有数のICT企業であるシンガポールテレコムと提携を行い、“リアルタイムセキュリティ”というコンセプトのもと、日本で新たなセキュリティサービスを今冬スタートさせる。今回の提携ではTrustwave SOC（Security Operation Center：セキュリティ監視センター）を日本に構築し、 TISがマーケティングから営業活動を、 グローバル品質の一貫したサービスのデリバリをTrustwaveが担当する。

左から、TIS 副社長執行役員 稲葉誠之氏、Sigtel Group Enterprise CEO Bill Chang氏、Trustwave Chief Operations Officer Rick Miller氏、TIS プラットフォームサービス本部 プラットフォームサービス事業部 エンタープライズセキュリティサービス部長 茂手木隆文氏

企業のシステムに対する脅威は高まっており、被害は拡大の傾向にある。また、攻撃の手段も高度化しており、その状況の把握は難しくなってきた。そうした状況に加え、企業のグローバル化によって、状況は広域化、複雑化を増しており、全方位的な戦略が求められている。さらに、このような状況に対応できる高度なセキュリティ人材を確保するのは難しい部分もある。個々のセキュリティサービスを導入するだけでは十分な対応はできないケースもあり、企業システムの開発から、保守・運用まで総合的なセキュリティ技術と運用を実施することが重要だ。

そこで、セキュリティ事業をより強化したいTISと、アジア地域の重要市場である日本でのビジネス拡大を狙うSingtelは、相互の強みを組み合わせることで、こうした日本市場で高まっているセキュリティ対策を統合的に提供できると考え、今回の業務提携に至った。

「これまでセキュリティの対策は、ハードウェア、ソフトウェアの導入や採用などは自社で行っていましたが、これに対して弊社が提供するサービスは企業が自らの手でそれらを用意しなくても対応できるクラウド型セキュリティとなります。さらに、それらのサービスに対して、TISのノウハウ、長年セキュリティ分野で蓄積していたコンサルテーション、要因の教育などを加味して多様な課題を有するグローバル企業にハイクオリティなサービスを提供できます」（TIS 副社長執行役員 稲葉誠之氏）

2016年10月にTISはセキュリティ部門の専門部署を立ち上げた。同部署を中核として、それぞれの強みを融合して、飛躍的なセキュリティビジネスの拡大を目指す。「目標としては、2020年に売上高を100億においております」と稲葉氏は意気込みを見せる。

TrustwaveはSingtelが8億ドル強で買収
国内でリアルタイムなセキュリティ対策を提供へ

Singtelは、アジタ太平洋におけるマルチメディアソリューショングループで売上高は＄16.96ビリオン、モバイルユーザーは24カ国で6.1億人を有する。グローバルな提供能力サービスを持ち、「アジアにおけるリーディングサービスプロバイダ」であるとSigtel CEO Group Enterprise Bill Change氏は自信を見せる。

また、Singtelの子会社であるTrustewave（トラストウェーブ）は、米国・シカゴに本社を置き、世界96カ国でサービスを展開している。2015年4月に世界的なサイバーセキュリティ対策を強化する計画の一環としてSingtelが8億ドル強で買収。従業員1,600人を有し、310万以上のサブスクリプション契約者を誇る。Trustwaveは、世界で9番目となるSOCを東京に設置している。

Trustwaveと協力してTISが実施する「Trustwave Managed Security Service」では、サイバーセキュリティ対策のベースとなる『IPS』『WAF』から、最近の標的型攻撃への対策を行う『Anti-Malware』『SIEM』までフルラインナップでマネージドサービスを提供する。また、攻撃の早期検知を行うためのサービスのクラウド化を推進し、日々進化するサイバーセキュリティの脅威から顧客企業の資産の保護を実施する。

TISでは、マルウェア防御保証サービスをつけたSecure Web Gateway（SWG）や、クラウド型で提供されるSIEMサービスなど、最先端のセキュリティサービスを、オンデマンドで提供する。また、今後は日本市場でデファクトなセキュリティ製品を含めたさまざまな製品にも柔軟に対応していき、顧客企業の既存資産も活かしたグローバル品質のリアルタイムなセキュリティ対策を提供していくそうだ。

TrustwaveはグローバルでさまざまなPCIサービスを実施
2016年12月からPCI DSSの準拠支援を行う「PCIマネージャ」を提要

なお、今回の記者会見では詳しい説明はなかったが、Trustwaveは、「Payment Card Industry （PCI） サービス」についても世界トップクラスの実績を有している（関連記事）。2001年からPCI DSSのQSA（認定セキュリティ評価機関）、2003年からASV（脆弱性スキャニングベンダー）が、2005年からフォレンジック調査を行う「PCI Forensic Investigator（PFI）」と「PA-DSS」の評価機関である「PA-QSA」、2012年からPCI Point-to-Point Encryptionへの認定を調査する「P2PE QSA」として活動している。なかでもASVについては世界屈指の実績を誇っていると言われる。TISでは、2016年12月からPCI DSSの準拠支援を行う「PCIマネージャ」の提供を行う予定だ。

2016年10月27日13:11

イギリスやフランス、オーストラリアなどでは、EMV化によりカード偽造によるカード不正を大きく減少させることができた。その一方で、クレジットカードやデビットカードといったペイメントカードを提示しないで行われるオンラインや通信販売のCNP（Card Not Present）カード不正が増大している。日本でもCNPのカード不正被害は、数字に表れない部分も含め、拡大していると思われる。

（図表）は、EMV化をほぼ100％成し遂げたSEPAを含むヨーロッパとオーストラリア、カナダと当時EMV化が手つかずのアメリカのカード不正におけるCNPとCPのシェアを比較したものである。ヨーロッパとオーストラリア、カナダでは、EMV化の達成に伴い、カード犯罪者の集団はカード番号の盗用で得た情報をEMV化がなされていないアメリカなどの国、オンラインペイメントなどのCNP（Card Not Present）カード不正に振り向けているのがわかるだろう。

（図表）カード不正におけるCNPとCPのシェア（欧州中央銀行、2015年7月）

CP（POS＆ATM）における偽造・スキミングのカード不正は、ヨーロッパが15％とオーストラリアが12％に対して、カナダは29％と高い。EMV化を成し遂げた国やエリアでは、ほぼ国内における偽造による不正の抑え込みに成功しているものの、海外絡みのカード不正が残っている。カナダが29％とヨーロッパの15％やオーストラリアの12％に比べて、その割合が今なお高いのは、当時全くEMV化に手を付けていなかった隣国アメリカの存在であることは疑いが無い。

今後は米国でEMV化が進めば、大型加盟店の対応が遅れる日本にCPでの犯罪者の目が向けられる可能性もある。また、CNPでも日本では、海外発行カードを利用して、転送会社を経由しての不正など、独自の発送スタイルがあるため、犯罪者の足が掴みにくくなっている。今後は、国内のECサイトでも商品発送前の内容確認、CAFIS BrainやRed Shieldといったフラウドサービスの導入、3-Dセキュアの対応など、さらなるセキュリティ対策が求められるだろう。

■「不正利用対策・PCI DSSガイドブック」

2016年10月27日15:11

決済サービスプロバイダのゼウスは、かっこが提供するクレジットカード不正検知サービス「Fraud Finder（フロードファインダー）」を2016年11月1日より提供開始すると発表した。また、今回のサービス提供開始を記念し、期間限定で特別プランキャンペーンを実施する。2016年11月1日～12月28日までに同キャンペーンページの申込フォームより登録、且つアカウントを付与された場合、初期費用及び最大2カ月分の月額基本料金が無料となる。

『Fraud Finder』の仕組み

「Fraud Finder」は、EC事業者様がアップロードした注文データのリスク審査を、ビックデータ解析等を活用したかっこ独自のロジックに沿って実施し、OK・保留・NGの結果を3パターンで理由と共にリアルタイムに通知するサービスとなる。EC事業者は、審査結果を元に商品の発送・注文取消等の即時対応が可能なため、商品代金の未回収や第三者による不正な注文、チャージバック被害を未然に防ぐことが可能だ。

「Fraud Finder」は7,000を超えるWebサイト等での導入実績とノウハウを基に、中小規模のEC事業者様でも導入しやすいよう費用負担を抑えて開発されたため、利用にあたって追加のシステム開発や特別な機器等は必要なく、低コストかつ短期間で導入することが可能だ。

EC事業者は、ゼウスが提供する3Dセキュアやセキュリティコードといった本人認証サービスに加えて「Fraud Finder」を利用することで、経済産業省からの要請により設立されたクレジット取引セキュリティ対策協議会の「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-」が求める多面的・重層的な不正使用対策を講じることが可能となる。

2016年10月27日21:11

かっこは、月額3,000円から利用できる不正検知サービス「FraudFinder（フロードファインダー）」の提供を2016年11月 1日より開始すると発表した。

これまで不正注文などは起きていないが未然に対策を講じておきたいEC事業者、また不正対策にコストをかけづらかった中小規模のEC事業者は、「Fraud Finder」の導入により低コストで不正注文による損害から売上を守るとともに、注文確認等の業務負荷を軽減できるという。

「Fraud Finder」は、盗難などで不正に入手したクレジットカード情報を使用した注文を検知し、EC事業者が商品代金 を回収できないケースを未然に防ぐためのサービス。検知の結果は、（出荷）OK・（出荷）保留・（出荷）NG の3パターンで理由と共に表示されるので、事業者側でスムーズに判断できるそうだ。また、システム改修なく利用開始できる点が大きな特徴だ。価格は、初期費用3,000円 、月額基本使用料金3,000円（審査件数 100 件まで含む。審査件数101件目からは上限を3,000件とし別途20円/件）。

さらにEC事業者のサービス導入負荷軽減に向け、かっこでは「FraudFinder」提供開始と同時に、決済代行会社（Payment Service Provider：PSP）各社と業務提携契約を締結し、EC 事業者がすでに契約しているPSP経由での申し込みを可能とした。

業務提携の第1弾として、11月1日よりSBI AXES、ソフトバンク・ペイメント・サービス株式会社（SBPS）の両社経由で、「FraudFinder」の申し込みが可能となる。

また「FraudFinder」提供開始を記念し、2016年12月28日までにPSP経由で申し込みのうえアカウント発行が完了したEC事業者を対象に、初期費用および最長2カ月分の月額基本使用料金を無料とするキャンペーンを実施する。

2016年10月31日8:41

クレジット取引セキュリティ対策協議会では、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の策定あたり、取引の類型及び想定される不正手口について分類し、カード情報保護（WG1）、決済端末のIC対応 （WG2）、本人認証・不正使用検知の強化（WG3）という形で議論を行った。そのうち、カード情報保護については、近年被害が拡大しているため、喫緊の課題だとしている。たとえば、2016年9月には、ECのオムニチャネルや越境ECで先進的な取り組みを行っている東急ハンズに不正アクセスがあったことがわかった。また、それ以外にも大手から中小まで、さまざまな企業でカード情報漏えい事故が起こっている。

2018年3月までに非保持化もしくはPCI DSSの準拠を設定

その対策として、カード情報を取り扱うすべの事業者に対して国際ブランドが共同で策定したデータセキュリティ基準「PCI DSS（Payment Card Industry Data Security Standard）」への準拠を挙げている。カード情報を保持する加盟店はもちろん、カード会社、 PSP（ペイメント・サービス・プロバイダー）については、PCI DSS への速やかな準拠が必要となる。PCI DSSはカード会社やサービスプロバイダの準拠は年々進んでいるが、加盟店ではヤフーや楽天といったショッピングモール、ニフティやソネットエンタテインメント、NECビッグローブといったISP（インターネットサービスプロバイダ）、カード情報を漏えいした一部の加盟店など、準拠企業は数社に限られる。EC加盟店の完全準拠は決して多くはない状況だ。

実行計画では、2018年3月末までに、特にカード情報の漏えいの頻度が高いEC加盟店について、原則として非保持化（保持する場合はPCI DSS準拠）を推進するとともに、カード会社（イシュア・アクワイアラ）およびPSPについてはPCI DSSへの準拠を求めると記載されている。また、対面加盟店に関しては、2020 年3月末までにカード情報の適切な保護に関する対応（非通過型もしくはPCI DSS準拠）を完了することを目指すとしている。

PCI DSSの基準においても、カード情報の非保持化が実現できれば、準拠に必要な項目を大幅に減らすことが可能だ（PCI DSSの基準では非通過型を採用しても、一部項目への対応が必要となる）。

非通過型は保存・処理・送信でカード情報を扱わない運用

EC加盟店におけるカード決済システムにおいては、（図表1）のようにカード情報が加盟店のサーバを通過する「通過型」と、通過しない「非通過型」 に大別される。2012年5月31日、日本クレジット協会（JCA）のインフラ整備部会が経済産業省と「日本におけるクレジットカード情報管理強化に向けた実行計画」を発表したが、当時の実行計画ではPCI DSS準拠もしくはクレジットカード情報非保持への対応がうたわれていた。同実行計画に遵守してPCI DSSに準拠したEC加盟店は少なく、効果があったとは言えないが、実際にはカード情報を保持しないEC加盟店からも不正利用が発生しているため、同計画の内容自体にも問題があるものとなった。

（図表1）通過型と非通過型（出典：GMOペイメントゲートウェイ）

非対面のEC加盟店の場合、自社のサーバにモジュールを組み込むタイプ（モジュール・プロトコル型）、決済時に加盟店のWebサーバから決済処理事業者のサーバに移行して決済を行うリンク型が多く用いられてきた。リンク型では、EC加盟店側のサイトで決済処理が行われないため、保存・処理・送信は行われない。

しかし、モジュール・プロトコルタイプでは、処理・送信が行われれるため、カード情報漏えいの危険性があり、仮にカード情報を保有していなくても2018年3月末までにPCI DSSに準拠する必要がある。例えば、保存はしていなくても、外部からの不正アクセスやマルウェア等により「通過」するカード情報を窃取されるリスクがある。古くからECサービスを行う通販会社などは、モジュールタイプを利用しているケースもあり、その場合、非通過への切り替えか、PCI DSSの準拠が必要となる。また、近年はカード情報を保持していなくてもECプラットフォーマーやショッピングカートの脆弱性を突かれて、カード情報が漏えいするケースもあるので注意が必要だ。

トークン決済機能を提供する決済代行事業者も増加

また、近年では、（図表2）のようにhtmlからJavaScriptへ変換してカード番号を送信するトークン機能を提供する決済代行事業者もある。同サービスを利用すれば、カード情報を別の乱数に置き換え、カード番号の漏えいを防止することにもつながる。たとえば、GMOペイメントゲートウェイ、ペイジェント、ソフトバンク・ペイメントサービス、ベリトランスといった企業は、トークン機能を提供しており、今後は対応する決済代行事業者は増えるはずだ。

（図表2）トークンサービスの概要（出典：SBPS）

新規のEC加盟店についても、非通過型の決済システムの導入を推奨し、仮に通過型のサービスを導入する場合は、カード情報を保持することになるため、PCI DSS準拠を求めることとしている。また、カード情報が漏えいするリスクなどを鑑み、Webサーバなどにログが残っている場合、アクワイアラもしくはPSPは、加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求めることとしている。

2016年に入り、決済代行事業者では、PCI DSSやカード情報の非保持化について説明するセミナーも増えてきた。また、EC加盟店の意識も高まってきた。ただし、2018年3月までの1年半という期間は、従来のEC決済サービスを対応させるための時間軸として、決して余裕があるわけではない。1社でも多くのEC加盟店が実行計画に沿った対応をすると期待したい。

2016年11月8日8:50

日本クレジットカード協会（JCCA）では、2015年度に「IC化に関する諸外国調査」を実施した。同調査によると、ICカード化が遅れている米国や韓国での対応が進むことで、IC化対応に後れを取る日本に偽造カード不正被害が流入するリスクは否定できないとした。

米国と韓国では国家レベルでICカード化が進む
日本では加盟店部門での不正が増加

JCCAが「IC化に関する諸外国調査」を実施した背景として、諸外国のIC化の推進事例、効果とIC対応後進国への偽造カード被害のリスク流入の実態、およびクレジットカード決済端末のIC化の先進事例の調査・分析を行い、日本における「キャッシュレジスタ/決済端末のIC化」の加速度的な推進を実現するためである。同調査の目的は、公知情報に留まらない実態情報の収集を図ることで、IC化の遅延に伴う偽造カード被害のリスク流入の見極め、および日本の商慣習・インフラ環境に鑑みたIC化の推進方針の考察を行い、実現方法の検討に繋げることとしている。

日本クレジットカード協会 事務局長 山口哲史氏は、「政府で取り組みを進める韓国に加え、世界最大のセキュリティホールとなっていた米国も国を挙げてのIC化が進んでいるため、日本がセキュリティホールになる可能性を懸念し、諸外国におけるIC化の取り組みや実態等について生の声も確認することで、日本におけるIC化の参考とすべく、昨年度調査を行いました」と説明する。

右から日本クレジットカード協会 事務局長 山口哲史氏、事務局調査役菱沼孝安氏

具体的な調査対象は、前述の米国、韓国に加え、イギリス、カナダ、オーストラリア、シンガポール、中国、台湾となった。調査の方法は、各種公的情報や関係者へのヒアリング、米国現地視察（ICカード推進団体や流通店舗）により実施した。

同調査によると、SEPA（ Single Euro Payments Area）によるIC化が進んだ欧州では、同エリア内での偽造被害が減少し、セキュリティホールである米国に犯罪者が流れた。例えば、イギリス発行カードの海外での不正被害額は、欧州各国では抑えられているが、米国での被害が増加している。一方、韓国も2015年7月以降の法制化により、偽造被害額が減少するなど、効果が生まれている。

「日本の傾向をみると、2012～2014年比で、イシュイング（カード発行）部門では－23％と減少していますが、加盟店（アクワイアリング）では37％と上がっています。つまり、日本国内で海外のカード会員が使用した対面での偽造被害が目立っています」（山口氏）

米国では大型加盟店12社のICカード化が完了
日本に偽造カード被害が流入するリスクを懸念

米国のPayment Security Taskforce（ペイメント・セキュリティ・タスクフォース）の公開情報によると、2015年末の米国のICカード化目標は、発行枚数で5.7億万枚、決済端末のIC化が47％、Chip-On-Chip（ICカードとIC決済端末）取引が27％となっている。

「米国では、現時点で未対応の店舗を含め、2017年までにICカード化を100％達成させようとしています。米国のICカード化の実態として、大型加盟店は概ねIC化が完了、中型の加盟店は2016年にIC化の達成を目標としていますが、ネックとしては加盟店が個々に費用負担を強いられること、また、ソフトウェアの提供者の対応が追い付いていない部分もあるそうです。小型の加盟店は、日本のCCT端末のような専用端末を導入することにより、IC化の対応が順調に推移しています」（山口氏）

⽇本への偽造カード不正被害の流⼊リスク｜アメリカのIC化の実態：各ステークホルダーの推進動向

例えば、米国の全売上の23％を占めるトップ15社のうち、非対面取引を行う2社を除いた12社がICカード対応を実施しているように、大型加盟店でのIC化は進行している。米国の大手加盟店によると、このまま放置を続ければ、現在の4,200億円の不正被害が3倍になる懸念があるため、システムの投資に至ったそうだ。

また、米国の中型加盟店は、日本の大手POS加盟店に近い部分がある。現状、ソフトウェア提供者の対応が間に合っていないが、2016年には幅広い加盟店に向けて対応が行われるとした。山口氏は、「日本のPOS加盟店は各企業へのカスタマイズ対応が多いですが、米国の場合は汎用化、標準化されたソフトウェアを使うケースが多いため、日本よりもスムーズに対応できるとみられています」と説明する。
　
米国でのIC化の進展により、「IC化対応に後れを取る日本に偽造カード不正被害が流入するリスクは否定できません」と山口氏は懸念する。ICカードの標準団体であるEMVCoの調査によると、米国は2014年の全取引におけるChip-on-Chip取引割合が0.12％であったが、IC化未対応国へ偽造カード不正被害がシフトした欧州での例でもわかる通り、Chip-on-Chip取引比率が27.0％（2014年）と米国に次いで低いアジア太平洋エリア、中でも人口の多い日本にシフトする可能性があるとした。

⽇本への偽造カード不正被害の流⼊リスク（JCCAとしての結論）

■不正使用対策・PCI DSSガイドブックから一部を紹介