「決済の最新動向とカード自動決済パッケージ『CAPS』」

2010年04月15日

講師：セイコープレシジョン株式会社システム事業部ソリューション営業部
ソリューション営業1課主査三浦宏道氏

　セイコープレシジョンは、CIC、JICCなどの個人信用情報機関に接続する「L-CRIP」、金融機関やカード決済センターと決済データ送受信などを行う集配信パッケージ「ROS³（ロス・キュービック）」、そしてNTTデータの「CAFISセンター」や日本カードネットワークの「CARDNETオンラインセンター」と加盟店や金融機関を結んで決済業務をサポートするカード自動決済パッケージ「CAPS」といった決済関連のビジネスソリューションを提供しています。今回は日本のカード決済の動向と、「CAPS」が果たす役割について紹介します。

広がりを見せるカード決済の利用
セキュリティ面での問題も顕在化

　日本クレジット協会（JCA）によると、日本人は平均してクレジットカードを3枚所有しています。特に石油、通信、航空、ホテルなどが発行するクレジットカードが過去5年間で約3倍に伸びています。

　ショッピングでのカード利用額は1998年4月以降、140カ月連続して前年同月比で増加しています。決済件数も着実に増えていますが、特にインターネットや携帯電話での決済が急速に伸びており、2009年では2,400億円、約5年後には倍増すると言われています。

　その一方で、インターネット決済の場合にはカード番号と有効期限の入力だけで決済処理が行われるため、2004年を境に不正利用の問題が顕在化してきました。4,000万枚以上のカード情報が漏えいしたケースも発生しており、今もなお問題が続いています。

　そこで有効な基準といえるのがPCI DSSです。PCI DSSは、Visa、JCB、MasterCard、American Express、Discoverの国際ペイメントカードブランド5社により設立されたPCIセキュリティ基準審議会（PCI SSC）が策定した、カード情報の漏えいを防ぐためのペイメント業界におけるグローバルセキュリティ基準です。米国では多くの加盟店やサービスプロバイダがPCI DSSに準拠しており、近年では日本にも広まっています。すでに国内のオンラインショップの40％以上がPCI DSSに準拠、もしくは対応中であると言われています。

　Visaでは、年間600万件以上のカード決済取引があるレベル1加盟店に対して、2010年9月末までの遵守期限を設けています。またPCI DSS推進のために報奨金制度も策定するなど、普及に力を入れています。

　もしカード情報が漏えいすると、行政機関から業務改善命令、銀行から信頼性の追及、カード会社から是正措置が行われるまでカード決済の停止、顧客からは情報漏えいの責任追求と損害賠償請求をされる恐れがあり、事業の存続が危ぶまれる事態になりかねません。

　PCI DSSに準拠するメリットは、まず漏えいしにくいセキュアなシステムを構築できることがあります。万が一情報漏えいをした際にはアクワイアラに対する損害賠償が免責される可能性があります。また最近ではPCI DSS準拠を取引の条件とする企業もあるようです。もちろん、加盟店としてのブランドイメージ向上も期待できます。

強固なセキュリティを装備して
PCI DSS準拠を後押し

　セイコープレシジョンのカード自動決済パッケージ「CAPS」は、リアル店舗の対面取引、ECサイトなどの非対面取引の双方に対応し、クレジット、デビットなどの決済業務を1つのシステムで行うだけでなく、PCI DSS準拠を容易にするセキュリティ機能を実装しています。NTTデータのCAFISセンターに接続する「CAPS for CAFIS」、日本カードネットワークのCARDNETオンラインセンターに接続する「CAPS for CARDNET」などのパッケージがシリーズ化されています（図1）。

図1　セイコープレシジョンのカード決済パッケージCAPS [図をクリックで拡大]

　CAPSには、ID・パスワードでのアクセス制御、取引ログなどを暗号化して管理者以外は閲覧させない、個人情報が入る内容はマスキングして管理者も閲覧できない、アクセスログを出力することで証跡の確認が可能、CAPSとアプリケーション間をSSLで暗号化設定できる、などのセキュリティ面の特長があります。さらに、PCI SSCが策定したパッケージアプリケーションの業界標準である「PA-DSS」の認定も2010年中に取得する予定です。

　PCI DSSは12の要件が設けられていますが、CAPSを採用する決済システムがPCI DSSに準拠しやすくなるような対応をしています。

　「要件3：保存されたカード会員データを安全に保護すること」への対応として、カード番号およびカード会員データをファイル保存時にマスクして暗号化を施しています。「要件4：公衆ネットワーク上でカード会員データを送信する場合、暗号化すること」については、他のシステムとCAPS間の通信でSSLによる暗号化を標準で選択可能にしています。

　「要件6：安全性の高いシステムアプリケーションを開発し、保守すること」では、CAPSは日本国内で社内開発しており、QMS・ISMSに基づいた開発管理が適用されていること、またパッチの作成からアナウンスまで速やかに行なう保守・開発体制を社内に持っていること、運用管理機能はGUI（グラフィカル・ユーザ・インターフェース）で操作できるが、セキュリティに配慮してWeb技術を採用していない、といった特徴があります。

　「要件10：ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること」に対しては、メッセージログ、ジャーナルログ（通信）、トレースログ（処理）を提供しており、伝送に関する情報を追跡可能としています。

CAFIS、CARDNETともに豊富な実績
集配信パッケージ「ROS³」も提供

　そのほかCAPSには、システムの構築と業務の効率化をサポートする９つの機能があります（図2）。Windows、UNIX、Linuxの各OSに対応するマルチプラットフォームであることも特長です。2010年2月末現在で、流通業、代行センター、金融業、通信業、公共関連を中心にCAPS for CAFISは420セット、CAPS for CARDNETは150セットの導入実績があります。

図2　システムの構築と業務の効率化を大幅にサポートするCAPSの9つの機能 [図をクリックで拡大]

　またセイコープレシジョンは、マルチプロトコルコンバータUSTのメーカーとして様々な通信手順に対応してきた経験をもとに開発した集配信パッケージ「ROS³」も提供しており、数多くの流通系企業のインフラとして長年使用されています。

セイコープレシジョン

導入実績500セット以上のカード自動決済パッケージ「CAPS」と、次世代EDIプロトコルも対応のEDI構築パッケージ「ROS³」を紹介。

前の記事: 「ネットワーク型電子マネー『BitCash』の現状と今後の可能性について」

　プロフィール

「カード決済パビリオン」は、クレジットやギフトカード、電子マネー、ネット決済など、決済手段が多様化している中、流通業でますます重要性の高まる「決済」「カード」の最新ソリューションを、展示とセミナー、特製ムックの発行などを通じて、業界動向から活用事例まで最新情報を包括的に発信するクロスメディア・イベントです。