日本の電子商取引は､安全対策に問題がある 簡単な手口でカード情報を盗むことが可能

もっとも、PCIDSS準拠は、大手ECサイト運営会社や決済代行業者など一部にとどまっているのが実態だ。

日本では2010年12月の改正割賦販売法施行により、クレジットカード会社に対して、カード番号などの適切な管理が図られるように、加盟店や委託先を指導する義務が盛り込まれた。

これを踏まえて「日本におけるクレジットカード情報強化に向けた実行計画」が日本クレジット協会によって11年に策定された。カード会社、加盟店および決済代行業者が、それぞれ期限を決めてPCIDSS準拠への対応をすることが決まったのである。たとえば、対面型でカード決済件数が多い加盟店の場合は18年3月末まで、などといったぐあいだ。

東京オリンピックを前に対応の遅れ

しかし、実行計画の策定から4年が経過した現在、Eコマース、対面取引とも準拠状況は芳しくない。協会が明らかにしていないため、詳しい進捗状況はわからないものの、「加盟店は売り上げ増に直結しない投資に消極的な傾向があり、PCIDSSへの対応は進んでいないのが現状」（経済産業省）とみなされている。

こうした中で、日本クレジット協会が事務局を努める業界横断的な組織「クレジット取引セキュリティ対策協議会」が新たに結成され、7月に同協議会がまとめた「中間論点整理と今後の検討の方向性」でも、「現段階で国際基準となっているPCIDSSをセキュリティ水準のメルクマールとし、加盟店の取り組みをサポートする対策の検討を行う」と明記された。

このこと自体は評価すべきだが、課題もある。PCIDSS準拠には多大な労力とコストがかかることや、クレジットカード本体及びPOS端末のIC化対応も急がれる中で、｢PCIDSS準拠･IC化対応の優先順位の検討」という文言も盛り込まれたからである。IC化が先行した場合、PCIDSS準拠の取り組みは後回しにされかねない。

経産省は、同協議会の発足に際して「世界最高水準のクレジット取引のセキュリティ環境を整備する」と表明したが、その実現は容易ではない。カード決済を必要とする外国人観光客が増え続け、東京オリンピックを5年後に控える現在、クレジットカード業界では解決すべき問題が山積しているのが実態だ。