【セミナー】Security Days Tokyo Fall 2018　10月4日その２

前回の続き。

時間が経ってしまった。備忘録としてメモ書き起こし。

10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール＆カンファレンスセンターに少し行ってきました。

10月4日の2つ目に聞いた講演の備忘録。

◆備忘録

【C2-10】クレジットカード業界を取り巻く最新動向とセキュリティ対策の重要性

PCI DSS やクレジットカード情報非保持化への対応

BSIプロフェッショナルサービスジャパン株式会社　最高執行役

兼JCDS（日本カード情報セキュリティ協議会）運営委員長　小島英彦様

以下の会社の方でした。

◆備忘録

以下が対策の３本柱

・クレジットカード情報保護対策（加盟店におけるカード情報の非保持化、PCIDSS準拠）

・クレジットカード偽造防止による不正利用対策（クレカの100%IC化、決済端末の100％IC化）

・非対面取引におけるクレジットカードの不正利用対策（多面的、重層的な不正利用対策）

PCI DSS（Payment Card Industry Data Security Standard）

結構要件の件数も多く、かなり広範囲な決まりを定めた規格のようでした。

端的に言うと、カード使用の末端である決済端末で情報は暗号化して、PSP業者に届くまで復号せずにセキュアに情報を運びましょう、というような規格決まり。

割賦販売法という法律により、クレカを扱う加盟店等にも様々なカード情報の管理義務が課せられ、さらにアクワイアラーは加盟店のセキュリティ対策実施状況の調査義務を負うことになりました。

PCI DSSに準拠するか、情報の非保持化するかが必要になるようです

あとは偽造しやすい磁気カードは止めて、IC化しましょうということ。

日本のクレジットカード普及率は、世界的に見てもとても低いので、安全性をアピールして使用率を拡大していきたいという流れでしょう。

日本ではとりわけ安全性を重視しないと普及しないと思うので、この方向は恐らく正しいように感じます。

ガチガチに安全だよ、ってなってからやっと普及ってなるんだと思います。

ただ良くも悪くもこういう思想が、ハードウェアのガラパゴス化を進める原因だとは思いますが。

-追記-

中国のQRコード決済（Alipay, WeChat,,,）みたいに、屋台にQRコードぶら下げて決済するような感じで技術が普及するなら、日本ももっと様々な新しい技術が世界に先駆けてお目見えするようになる気がします。

PCIDSSのような規格はあるんですが、paypayとかのパスワード何回間違えてもロックしないとか、ああいうUIの作りに対しても、最低限は何らかのIFの決まりみたいなのは必要なのかもしれません。

◆所感

PCI DSSって言葉を聞く職場に転職したので、何だかいつかは関連する業務をやるかもしれません。

初心者エンジニアの備忘録