米Visa、カードセキュリティ最前線を明かす（1/2 ページ）

カード偽造に対し、クレジットカード業界は機密性確保へと躍起だ。しかし、顧客との接点になる小売店の一部では、保持が禁止されている情報を所有し続けているという。

[Evan Schuman，eWEEK]

　米Visaは7月30日、PCI（Payment Card Industry：クレジットカード業界）コンプライアンスに関する最新状況を発表した。その発表で同社は、わずかずつではあるものの、すべての面で継続的な改善が見られると述べている。しかし同時に、一部の大手小売業者は保持が禁止されているクレジットカード情報をいまだに所有していることにも触れた。

　Visaは報告書の中で、米国の大規模小売業者の大半が含まれるレベル1およびレベル2事業者のうち96％までが、クレジットカードのセキュリティコードや暗証番号といった「機密性の高いアカウント情報は保存していない」という書面を、同社に提出したと説明している。

　そうとはいえ、これらのグループに含まれる1057社（レベル1が327社、レベル2が730社）の小売業者全体の4％に当たる約42社の大手販売チェーンは、問題のデータの保管を止めたことを申し立てすらしていない。Visaは、96％が両グループと同等に関わりを持っており、13社がレベル1グループ（きわめて規模の大きい企業が含まれる）に、29社がレベル2グループに属していると見積もっている。

　Gartnerのセキュリティアナリストであるアビバ・リタン氏は、禁止データを保有しているレベル1小売事業者の存在が特に問題だと指摘した。同氏は「13社でも多すぎる」と話し、彼らがほんとうに禁止データを保管し続けていると言っているならば、同じことをしている小売業者の実数はさらに多いだろうと述べた。

　リタン氏によると、PCIの全セキュリティ分野（暗号化、無線検知の仕組み、古い取引情報の取得回避など）において、Visaが最も重要視しているのは禁止情報の保持だという。「この種の情報は、本来銀行が扱うべきものだ。犯罪者がクレジットカードの磁気ストライプ部分から該当するデータを盗んだ場合、完璧なカード偽造ができてしまうことになる」（リタン氏）

　リタン氏が2006年10月にVisa関係者から話を聞いた時には、禁止データをまだ持っているとしていた小売業者は3社だけであり、現在把握している数の3分の1にも満たなかったそうだ。

　米国Visaの企業リスクおよびコンプライアンス担当上級副社長、マイケル・E・スミス氏は、「完全な情報を磁気ストライプに記録しているカード加盟業者は、自らを甚大な危険にさらしていることになる」と、声明に記している。「支払いシステムから禁止データを一掃することで、規模の大小にかかわらず、事業者は悪意を持つハッカーがカード偽造のためにほしがる情報を遮断し、自身と支払いシステムの安全性を高められるのだ」（スミス氏）

　マーケティングや分析に活用できるわけでもないのに、一部の大手小売業者はなぜこうした情報をいつまでも保管しているのだろうか。「業者の立場から言えば、既存のシステムを変更するにはコストがかかるからだ。レベル1の小売業者であれば、500件からときには1万件までもの店舗を運営しているため、POS（販売時点管理）システムを更新するのは簡単ではない」（リタン氏）

　米国Visaの支払いシステムリスク担当副社長を務めるエドワルド・ペレス氏も、コストがカギを握っていると同意する。「支払いアプリケーションを変更もしくはアップグレードするには、膨大なリソースが必要になる。会社にとっては、非常に大きな負担だ」（ペレス氏）

　しかし、規制に準拠していない一部の支払いアプリケーションの使用は、しばしば問題の発端となる。だからこそVisaは、そうした製品を提供している独立系ソフトウェアベンダー（ISV）の名称を、主要小売業者に通知しているという。もっとも、これらのISVを特定すると、サイバー犯罪者がその顧客に狙いを定めるおそれがあるとして、Visaは名称の公開を控えている。

　「まさにこれらの支払いアプリケーションのために、カード加盟業者は磁気ストライプデータを保管せざるを得なくなっているのだ」（ペレス氏）