POSレジとそれにつながるシステムの更新が待ったなしの状況を迎えている。直接の要因となっているのが、クレジットカード情報の「非保持化」や、来年10月からの軽減税率など、小売業者が対応せざるを得ない各種制度の改正だ。加えて、小売りはとりわけ人手不足が深刻な業界であり、業務の省力化・無人化のニーズは切実なものがある。顧客が必ず通過するレジをいかに効率化するか、働き手に余裕のない状況下においては避けて通れない課題となっており、このことも小売りのIT投資を後押ししている。(取材・文/日高 彰)
「綱渡り」の段階に入った
カード番号の取り扱い
ITベンダー各社によって開催されるセミナーの情報をみていると、昨年から今年にかけて繰り返し登場しているテーマがある。それが「クレジットカード情報非保持化」だ。
2016年12月に交付された改正割賦販売法(割賦販売法の一部を改正する法律)が、今年6月に施行された。クレジットカードの不正使用被害が増加していることから、同法では実店舗・ECサイトを問わず、カード情報の取り扱いについてセキュリティ強化を求めており、その要件として、加盟店によるカード情報の「非保持化」または「PCI DSS準拠」が義務づけられている。
従来、POSレジを導入しているクレジットカード加盟店でカードによる決済を行う際は、POSレジ内蔵もしくはPOSレジに連動するカードリーダーを用いて、カード上の磁気ストライプを読み取り、カード番号や有効期限などの情報を加盟店本部のデータセンターに送信していた。しかし、磁気ストライプに保存されているカード情報は暗号化されておらず、POSレジのメモリ上にいったんは「平文」のカード情報が展開される。このため、万が一レジがマルウェアに感染した場合、顧客のカード情報が不正使用される恐れがある。
POSレジを狙ったサイバー攻撃では、13年に米国の量販店「Target」から4000万件のカード情報が漏えいした事件が有名だが、15年には外資系ホテルチェーンのハイアットで、日本国内を含む複数拠点でPOSシステムのマルウェア感染が発生している。すでに可能性を論じる段階ではなく現実の被害が発生している。
大手チェーンストアではPOSレジ内蔵の磁気カードリーダーが
現在も使われている(イメージ)
そこで、そもそも加盟店のシステムがカード情報をもたなければ、不正使用も発生し得ない、という考え方が、改正割賦販売法のベースとなっている。一口に「非保持化」と呼ばれているが、クレジット取引セキュリティ協議会が策定した「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画」では、非保持化を「自社で保有する機器・ネットワークにおいて『カード情報』を『保存』『処理』『通過』しないこと」と定義しており、カード情報を単にシステムに保存しないだけでなく、POSレジ上で暗号化処理を行ったり、自社の通信回線でカード会社や決済業者へ送信することも禁止される。
では、加盟店が非保持化を行わない場合、どうなるのか。実は、義務でありながら加盟店に直接的な罰則は設けられていない。しかし、カード会社からのセキュリティ強化の要請に応じない場合、加盟店契約を解除される可能性があるほか、加盟店が適切な対策を講じていないがためにカードの不正利用が発生した場合、賠償責任はカード会社でなく加盟店が負う必要がある。
すでに改正割賦販売法が施行された6月に入っても、各地で「クレジットカード情報非保持化」セミナーは度々開催されており、加盟店の対応は進んでいないことがうかがえる。もしカードの不正使用被害が生じた場合、規模によっては店舗の存続自体を左右しかねない、綱渡りの状態に突入している。
大手ほど磁気決済に依存する
日本市場の特質
カード情報非保持化に関しては、小規模店舗のほうが対応はスムーズに行える。カード会社や決済業者が提供する専用のカード決済端末を利用し、決済端末から業者へカード情報を直接送信すれば、カード情報が店舗のシステムを通過することはない。店舗側が保持するのは、何円の決済がどのカード会社で行われたかという結果だけで、カード番号は含まない。
しかし、大手スーパーなどでは、POSレジ内蔵のリーダーに磁気ストライプを読ませる決済形態が現在でも一般的にみられる。POSレジと別体化された決済端末の操作が必要になると、従業員の教育コストがかかるほか、レジ待ち時間や操作ミスが増えて、業務効率や顧客満足度の悪化につながるからだ。
さらに、多くのチェーンストアでは、自社で
決済専用端末の例(セイコー
ソリューションズ「AT-5200」)
会員を集めている特典付きカードで支払った場合に、割引やポイントの上乗せを行うといった、カード情報に紐づくマーケティング策を実施している。決済の仕組みをPOSレジから分離すると、このような施策は継続できなくなる。なかには、16ケタのカード番号をそのまま内部的な会員IDとして使用したりしている小売店も少なくないという。今となってはいかにも危険な仕組みにみえるが、POSレジがクローズドなシステムであることが前提の時代には自然な設計だった。
また、昔から偽造カードによる不正利用被害が多かった米国に比べると、日本は決済金額の規模の割には、カード犯罪は少なかった。しかし、先のTargetの事件をきっかけに、米国では偽造が困難なICカードへの移行が急速に進み、偽造犯罪の温床となっていた磁気決済は廃止へと向かっている。また、ヨーロッパでは決済端末のほぼすべてがIC対応になっているほか、アジア各国は日本よりもカード決済の導入が遅かったために、IC対応端末の普及が進んでいる。
世界的にみて、現在もこれだけ磁気ストライプが利用されている国は少ない。犯罪者からみれば、日本ほどカードの不正利用がしやすい市場はなく、狙い撃ちにされる可能性が高い。日本クレジット協会の調査によると、かつては年々減少していた国内での不正使用額は12年を底に反転し、17年には前年比66%増の236億円に達した。カード情報を盗まれない、不正なカードを使われないためにはPOSレジの改修が必須だが、大規模な店舗ほど入れ替えが進まないのが日本の小売業界の現実だった。
[次のページ]セキュリティと業務効率がPOSレジの二大要件に
