日本はクレジットカード取引のセキュリティホール!?カード決済の主流はいまだ磁気方式
世界中の犯罪者から不正使用の標的に

先日、某ラジオ番組で元SMAPの中居正広氏が、「クレジットカードの不正使用による詐欺被害にあった」ことを告白したそうです。クレジットカードの不正使用と聞くと、外国における出来事と思われるかもしれませんが、実はセキュリティ面で最も後発国といわれているのが日本なのです。

このため、国内ではクレジットカード取引などの基本ルールを規定した割賦販売法について、セキュリティ対策を中心に改正。2018年5月から6月にかけて施行される予定で、店舗などにも対策を講じることが義務付けられます。改正割賦販売法については、本誌SHANIMU61号(2017年11月30日発行予定)にてレポート予定なので、そちらを参照してください。ここでは、なぜ日本がクレジットのセキュリティ後進国といわれているかをレポートします。

クレジットのIC取引化で取り残された日本

現在、クレジットカード取引には磁気ストライプ決済とIC決済の2種類があることはご存知でしょう。磁気ストライプ決済はカードの黒いストライプ部分をカードリーダーにスワイプさせて情報を読み取って打ち出した伝票にサインを記入する方法。これに対して、IC決済はICチップが搭載されたカードをカードリーダーに差し込み、端末のテンキーで暗証番号を入力して決済を行う方法です。

この2種類をセキュリティ面から見た場合、磁気ストライプは情報が抜き取られやすくカードも偽造しやすいなどの脆弱性が指摘されています。一方、ICカードによるクレジット取引はICカードの偽造が事実上不可能であり、カード情報も強固に暗号化されているため、磁気ストライプに比べて格段にセキュリティが優れているといいます。

カード決済の安全性の観点から、世界的にはクレジット取引のIC化が進められている中、IC化における後進国の代表格が日本と米国でした。しかし、クレジットカード不正使用大国といわれた米国は、国内の大規模漏えい事件(*1)を契機に、大統領令によりIC化を推進。2015年までに大規模店舗はIC化対応をほぼ完了し、IC取引率が大幅に向上しました。
(*1)大手GMSのターゲット社が起こした、4000万件におよぶクレジットカードとデビットカードの番号がPOSシステムから流出した事件。セキュリティ対策を講じていたが、磁気ストライプの脆弱性を狙われて防ぎ切れなかったことが原因とされている

米国でクレジット取引のIC化が一気に進んだことにより、日本が取り残された形になりました。実際、国内でICチップを搭載したカードの普及率は70%を超えているものの、IC型クレジットカードを読み取れるカードリーダーの普及率は17%程度。これは、欧州99%やアジア諸国60%(地域によってはほぼ100%)といわれる諸外国のIC化対応に比べて圧倒的に低い状況です。

つまり、カード自体は順調に磁気ストライプからICチップ型に置き換わっているものの、それを決済するためのカードリーダー端末の導入が進んでいないというわけです。そうした中、外国人観光客数は拡大しており、国内でクレジットカードが使われる機会が増加。さらに東京オリンピック・パラリンピック開催など、この傾向はますます強まることが予想されます。

クレジットカードの不正使用に国境は関係ありません。脆弱なセキュリティ環境で多くのカードが使われるとなれば、これほど犯罪者にとってうま味のある市場はないでしょう。世界的に取り残されセキュリティホール化した日本が世界中の犯罪者から集中的に狙われることが懸念されます。

国内のクレジットカード不正使用被害は2014年以降増加しており、この懸念は現実のものとなりつつあります。日本クレジット協会の統計では、不正使用による被害額は2014年113億9000万円、2015年120億円、2016年140億9000万円、2017年は1月から6月の半期だけで、2015年の年間規模に匹敵する118億円2000万円に達しています。

こうした背景から日本でもセキュリティ対策を目的とした規制強化への機運が高まり、改正割賦販売法の公布および施行に至るわけです。その詳細は61号に譲りますが、「加盟店も義務主体としてセキュリティ対策を行わなければならない」という点で大きな改正となっています。

決済端末のIC化対応だけでなく、ネット通販なども含めた幅広い対策が求められるだけに、クレジットカードを扱う飲食店や小売店は早めの対応が迫られそうです。(長谷川丈一)