NTT DATA

DATA INSIGHT

NTTデータの「知見」と「先見」を社会へ届けるメディア

絞り込み検索
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
""
2019年12月16日技術ブログ

安心してキャッシュレス決済ができる社会を目指して

交通系ICカードやQRコードなどを使ったキャッシュレス決済の利用率は増加しているが、安全性に不安を感じ、利用をためらう消費者も少なくない。
その不安を解消するための有効な対策となりうる、Software Security Frameworkを活用したキャッシュレス決済アプリケーションのセキュリティ確保について紹介する。

1.増えるキャッシュレス決済

2019年10月の消費税増税で、キャッシュレス決済に対する還元施策(※1)が行われる等、官民挙げてキャッシュレス決済の推進する機運が高まっています。日常的に、現金を使わずに、交通系ICカード、プリペイドカード、QRコード、バーコード、クレジットカード等を利用して支払うキャッシュレス決済を見かける機会が増えました。スマートフォン決済等、キャッシュレス決済は政府の意向もあり増加しており、経済産業省も「キャッシュレス・ビジョン(※2)」で、キャッシュレス比率を2025年までに40%にする目標を掲げています。
一方、2017年のデータでは、キャッシュレス決済の利用率は、21.3%(※3)にとどまっています。

図1:キャッシュレス支払額と民間最終消費支出に占める比率

図1:キャッシュレス支払額と民間最終消費支出に占める比率
【出典】一般社団法人キャッシュレス推進協議会「キャッシュレス・ロードマップ 2019」(※3)

安心してキャッシュレス決済するには

日本におけるキャッシュレス決済の普及の妨げとなっている理由には、現金を持ち歩ける「治安の良さ」や「現金に対する高い信頼」、「現金の入手が容易」といった日本独自の社会情勢が背景にあります(※2)。 加えて消費者側の不安としては、表1のような理由が挙げられています。

表1:キャッシュレス社会に反対の理由

反対の理由割合
[%]
理由の具体例
1位浪費しそうだから10.9
  • 使った感覚が無い売買は湯水の如く金を使いそうで怖い(女性35歳・埼玉県)
  • 支払いの実感がなくなると、ためらいなく借金や浪費をする人が増えそう(男性26歳・京都府)
2位お金の感覚がマヒしそうだから10.1
  • 考えなしに買ってしまいそう。現金は減るのを実感でき、考えて買い物ができる(女性60歳・静岡県)
  • いくら使ったか分かりづらい。支払い可能限度から逸脱する可能性がある(男性34歳・東京都)
3位お金のありがたみが無くなりそうだから7.9
  • お金を稼ぐありがたみが分からなくなりそう(女性36歳・宮城県)
  • お金の価値が軽いものに変わってきてしまいそう(男性37歳・香川県)
4位現金は必要だから6.0
  • システムがダウンして混乱を招く事態になった時、やはり現金はあった方が良い(女性52歳・東京都)
  • 電脳世界の通貨は何らかの障害や天災が発生した際、使い物にならない(男性42歳・大阪府)
5位犯罪が多発しそうだから5.7
  • 暗証番号や個人情報が流出して、犯罪が起きる可能性がある(男性27歳・東京都)
  • システムの脆弱性などで不正が行われる心配もある(女性66歳・東京都)

【出典】経済産業省「キャッシュレス・ビジョン」(※2)一部NTTデータにて再編集

「キャッシュレス支払いにまつわる各種不安」が解決されれば、利用者が安心してキャッシュレス決済を利用できるだけでなく、普及が進めば店舗側でも、レジ締め等の現金取り扱いに関する労力を削減することが見込まれます。

では、システム提供側として、消費者の「キャッシュレスにまつわる各種不安」を解消するために何ができるでしょうか。それには「店舗のキャッシュレス決済システムをセキュア」に構築し、信頼を得る必要があります。

ペイメントカード向けアプリケーションの第三者認証としてPA-DSSが有名ですが、2021年をめどに次世代の基準、PCI SSCの最新ソフトウェア基準である「Software Security Framework」に切り替わります。

Software Security Frameworkとは

Software Security Framework(以下、SSF)(※4)とは、PA-DSS(※5)の後継となるペイメントアプリケーションに係るセキュリティ基準の枠組みであり、「Secure Software Standard(以下、SSS)(※6)」と「Secure Software Lifecycle Standard(以下、SLC)(※7)」で構成されています。前者はペイメントアプリケーション自体のセキュリティ要件、後者は開発ベンダのセキュリティ要件を示しており、それぞれ個別に認証を取得することが可能です。

SSFでは、モバイルアプリケーションやSaaSアプリケーション等、PA-DSSより幅の広いアプリケーションを対象としています。また、保護対象となるデータもトークンやキーマテリアル、内部認証情報等保護が必要なあらゆるデータが対象となっています。

表2:PA-DSSとSSFの比較

表2:pa-dssとssfの比較

SSFの主な特徴として、「Agile等の新しい開発手法への対応」挙げられます。PA-DSSでは認証取得後にアプリケーションを更新する際には、評価機関による検証を再度受ける必要があり、Agile等の短期間でのリリースを繰り返す開発手法の利点を打ち消してしまうという課題がありました。一方で、SSFではアプリケーション(SSS認証済み)を更新する際には、開発ベンダ(SLC認証済み)自身で再検証を実施することができます。そのため、Agile等の新しい開発手法による短期間でのリリースとSSF認証取得によるアプリケーションのセキュリティ品質担保を両立することができると考えられます。

今後の予定(※8)としては、PA-DSS認証申請は2021年6月末で廃止(認証の有効期限は2022年10月末)され、それ以降はSSFがPA-DSSに取って代わるセキュリティ基準となります。

図2:PA-DSSからSSFへの移行スケジュール

図2:PA-DSSからSSFへの移行スケジュール

以上より、SSFはPA-DSSに比べ、「様々なアプリケーション」を「よりセキュア」に構築するための枠組みと言えます。

まとめ

2020年オリンピック・パラリンピック東京大会開催による訪日インバウンド旅行者の大幅増加で、キャッシュレス決済は更なる普及が期待されています。
消費者の「キャッシュレス支払いにまつわる各種不安」を解決し、安心してキャッシュレス決済が利用されるようにするためには、システム提供側として、「店舗のキャッシュレス決済システムをセキュア」に構築する必要があります。SSFの第三者認証要件を満たすことは、「様々なアプリケーション」を「よりセキュア」に構築することにつながり、引いてはキャッシュレス決済の利用拡大に寄与するものと考えます。

※1経済産業省「キャッシュレス・消費者還元事業」

https://cashless.go.jp/

※2経済産業省「キャッシュレス・ビジョン」

https://www.meti.go.jp/press/2018/04/20180411001/20180411001-1.pdf

※3一般社団法人キャッシュレス推進協議会「キャッシュレス・ロードマップ 2019」

https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/05/acf775c2e5be616a595a62fae66422e8.pdf

※4PCI SSC「Software Security Framework At-a-Glance」

https://www.pcisecuritystandards.org/documents/SSF_At-a-Glance.pdf

※5PCI SSC「PA-DSS」

https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PA-DSS_v3-2.pdf
カード会員データおよび/または機密認証データを保存、処理、または送信する、ペイメントアプリケーション(POS等)が守るべきセキュリティ基準のこと。

※8PCI SSC「Transitioning from PA-DSS to the PCI Software Security Framework」

https://www.pcisecuritystandards.org/documents/Transitioning_from_PA-DSS_to_SSF_Resource_Guide.pdf

お問い合わせ