Tweet

日本NCRがPOSアプリケーションでPABP認定国内第1号

カード決済アプリでセキュリティ認定が義務化へ

2008/09/17

　日本NCRは9月17日、決済アプリケーション・ソフトウェア「NCR RealGate Payment」が国内で初めてPABP（Payment Application Best Practice）の認定を取得したと発表した。

　PABPはカード情報セキュリティの国際基準「PCI DSS」（PCI Data Security Standard）に則って開発されたベストプラクティス集。ビザ・インターナショナルが策定したものだが、2008年4月に国際機関「PCI SSC」（Standard Council）に移管され、今後は「PA DSS」（Payment Application Data Security Standard）の名称でマスターカード、JCB、アメリカンエクスプレスなどが賛同し、共通システムとして10月からスタートする予定だ。

【参考記事】5分で絶対に分かるPCI DSS

【参考記事】エンジニアも納得できる“PCI DSS”とは

日本NCR 製品・マーケティング本部 製品企画開発部 部長 野沢幸俊氏

　PABP対応（10月以降はPA DSSと同等になるが、以降はPABPで統一）には、「POS上にカード情報を残さない」、「レシート上のカード番号の表示を厳格に制限」、「通信やデータの暗号化」、「アクセス制限をかける」などが要求され、より安全なカード決済を行うセキュリティ対策となる。

　すでに、カード決済代行を行う大手などは包括的なカード情報セキュリティ対策となるPCI DSS準拠を進めているが、PCI DSSは認定審査機関による訪問審査が必須であることから「中小の小売店などにとって現実的ではない」（日本NCR 製品・マーケティング本部 製品企画開発部 部長 野沢幸俊氏）。そのためPABPのセキュリティ対策の認定を受けたPOSアプリケーションを導入することで今後は対策していくことが求められるという。

　米国ではカード情報を取り扱う業者に対してPCI DSSもしくはPABPに準拠することが義務づけられる動きがある。2008年以降はビザ・カードの新規加盟店への決済アプリケーション導入はPABP対応が必須となっている。日本でも同様に、今後義務化される可能性がある。ビザ・インターナショナル アジア・パシフィック・リミテッド カントリー リスク ダイレクターの井原亮二氏は、「国内での義務化は検討している段階。近い将来に一定の猶予期間を用意したうえで、認定アプリケーションの採用を義務化してお願いしていく形になる」と話す。高いセキュリティを確保することで、カードの利用拡大や、漏えい事故リスクの回避などにつながるという。PCI DSSやPABPに関してカード会社各社は消費者向けキャンペーンなどを行う予定はないが、小売店の店頭などに認定マークを付けるなどして間接的な認知拡大を図っていくという。

　PABP準拠の認定アプリケーションは現在約160件。国内では日本NCRが第1号となる。監査はPCI SSC公認のNTTデータ・セキュリティが行った。日本NCR以外のPOSアプリケーションを開発・提供する主要6社についても、開発に着手したベンダから調査中のベンダまで取り組み状況に差があるものの、今後は順次PABPに対応してくるものと見られる。

　日本NCRのNCR RealGate Paymentの定価はPOS1台当たり3万円。ボリュームディスカウントも用意する。今後3年で3万台のライセンス販売を目指す。