事業者がキャッシュレス決済端末を導入する際、一定の補助を受けることができる「キャッシュレス・消費者還元事業」の受付が開始されるなど、国を挙げたキャッシュレス決済推進の取り組みが進みつつあります。
一方で、このところ、キャッシュレス決済サービスの不正利用に関する報道も散見されます。そのため、キャッシュレス決済サービスの導入を検討中の店舗・事業者のなかには、セキュリティ面に不安を感じて導入に踏み切れないという方もいらっしゃるのではないでしょうか?
そこで、本コラムでは、店舗にキャッシュレス決済サービスを導入する際に確認しておきたい「セキュリティ対策」について解説します。
コンテンツ
なぜ? キャッシュレス決済を“使わない”人たちの言い分
日本クレジットカード協会が消費者向けに行ったアンケート調査(※1)では、「キャッシュレス決済サービス未導入の店舗を避けることがあるか」という質問に対し、「明確に避ける」もしくは「避ける」と回答する人が全体の4〜6割程度となっています。このことから、日本でもキャッシュレス決済が浸透し始めていることがわかります。
一方、同協会の別の調査(※2)では、「クレジットカードの利用について心配・不安なこと」に関するアンケートも行っています。このアンケートでは「盗難・紛失によるカードの悪用が心配」が6割弱で最も多く、次いで「お店やクレジットカード会社などから、個人情報やカード番号等の漏えいが心配」が5割強という結果が出ています。
この結果から、クレジットカードを「使わない」消費者の多くは、カード情報の不正取得など、決済システムのセキュリティ面に不安を抱えていることが伺えます。
(※1)日本クレジットカード協会 キャッシュレス社会の実現に向けた調査報告書
http://www.jcca-office.gr.jp/visit/0218_report.pdf
(※2)同協会 平成30年度クレジットに関する消費者向け調査結果報告書
https://www.j-credit.or.jp/information/download/investigation_result11_180313.pdf
大々的に報じられた、キャッシュレス決済に関する事件
そして、このところキャッシュレス決済サービスの不正利用に関する報道が相次いだことで、セキュリティ面での不安が広がっていることも事実です。
国内では、2018年末に起こったQRコード・バーコード決済サービス・PayPay(ペイペイ)の不正利用が話題となりました。サービスのリリース当初、第三者のクレジットカードを不正に登録できる仕様で、PayPay利用者以外のカードも不正に決済利用されてしまう可能性があり、大きな波紋を呼びました。
このようにシステムそのものに脆弱性があるケースのほか、加盟店経由でクレジットカードの情報が漏洩してしまった事件も少なくありません。少し遡ると、2013年11月には、米国大手スーパーのTarget社で、約4,000万件ものカード情報漏洩事件が発生。同社には多額の対策費と損害賠償が発生し、純利益も大幅に減少。当時のCEOが退任に追い込まれるなど、その影響は広範囲に及びました。
こうした事例を踏まえて、最近では、より安全なキャッシュレス決済サービスが登場しています。
そこで、次項ではセキュリティ面でも信頼性の高いキャッシュレス決済サービスの選定ポイントを解説していきます。
キャッシュレス決済サービスの選定は、認証基準や本人認証機能の確認が重要
国際基準の認証基準を取得しているか
キャッシュレス決済サービスに関わるセキュリティ認証基準のうち、代表的な基準なのがPCI DSS(Payment Card Industryデータセキュリティ基準)です。
PCI DSSは、前述したTarget社での情報漏洩事件を受け、AmericanExpress、Discover、JCB、Mastercard、VISAが共同で策定した、セキュリティ評価の国際認証基準です。
データ保護のためのファイアウォールの導入やデータ暗号化など技術的な面はもちろん、物理的なアクセス制限など、12の厳しい要件が設けられています。この基準に準拠しているか確認することが、キャッシュレス決済サービスの安全性を示す1つの目安となります。
本人認証機能は充実しているか
また、カードの不正利用を防ぐ本人認証機能について確認することも重要です。本人認証の代表的な手段はIDとパスワードの入力ですが、この2つだけでは情報漏洩による被害を完全に防ぐことは困難です。
そこで最近では、IDとパスワードの入力に加え、次のような認証を行うキャッシュレス決済サービスが増えています。
-生体認証
指紋や静脈、瞳の虹彩など、人それぞれ異なる生体情報を利用して個人を判別する認証方法です。生体認証は複製が困難なことに加え、サインをしたり暗証番号を入力したりといった手間がかからない点も大きなメリットです。
日本では、銀行ATMの静脈認証などが一般的となっているものの、キャッシュレス決済での実用化には至っていません。一方、キャッシュレス決済先進国の中国では、QRコード決済でも話題となった「アリペイ」が顔認証を採用するなど、注目が集まっています。
-多段階認証
IDとパスワードに加え、あらかじめ設定された別のパスワードや、SMSを通じて一時的に発行された認証コードを入力する認証方法です。
代表的な多段階認証としては「3Dセキュア」を挙げることができます。3Dセキュアは、VISAやMastercard、JCBなどの国際ブランドが推奨する代表的な多段階認証サービスで、3Dセキュアに対応しているオンラインショップやキャッシュレス決済アプリで利用できます。
-端末認証
近年、指紋認証やパスコードロック機能といった機能が搭載されたスマートフォンが増えています。そして、これらの機能を本人認証に活用するキャッシュレス決済サービスも登場しています。
具体的な認証方法として、現状では、アプリ起動時に指紋認証やパスコードロックを要求するものが多いです。今後、顔認証機能を利用する決済サービスも増えていくとみられています。
セキュリティ面も安心して導入可能なキャッシュレス決済サービス「Samurai Order」
ここまで、お客様に「安心して使ってもらえる」キャッシュレス決済サービスを選定するためのポイントについて解説してきました。
そして、「Samurai Order」はセキュリティ面についても安心してご導入いただけるキャッシュレス決済ソリューションです。
「Samurai Order」は、加盟店のデータベース上ではお客様のクレジットカード情報を保持しないシステムとなっています。そのため、導入いただいた加盟店からカード情報が漏洩してしまうことはありません。
また、本システム上のクレジットカード情報についても、上述したPCI DSSに準拠したソニーペイメントサービスのカード情報保持機能にて保管されます。
さらに、本サービスのアプリは指紋認証と顔認証に対応しており、事業者にもお客様にも安心してお使いいただけるようになっています。
十分なセキュリティ対策が施されたキャッシュレス決済サービスをご検討中の方は、ぜひ一度お問い合わせください。
次の関連コラム:カードもスマホも必要なし!?キャッシュレス最先端の「顔認証決済」とは
前の関連コラム:IoT時代のサイバー攻撃リスクとは。脆弱性に対する対策