セブン-イレブンを皮切りにグループでクレジットカード情報の非保持化推進
PCI P2PE ソリューション準拠のシステム導入で安心・安全な決済処理を実現
セブン&アイ・ホールディングス(以下セブン&アイ)は、2018 年6 月に施行された割賦販売法の一部を改正する法律(改正割賦販売法)のクレジットカード情報保護の一環として、セブン&アイの事業会社が運営する全国の店舗のクレジットカード決済について、セブン- イレブンを皮切りに、クレジットカード情報の非保持化を順次進めている。同社では、さまざまな業態を展開する国内大手流通企業では初となるPCI P2PE ソリューション準拠およびトークナイゼーションサービスにより、“ 内回り” の運用でのクレジットカード情報の非保持化対応を実現している。
セブン-イレブンから非保持化対応
現段階で考えられる最強のセキュリティ
改正割賦販売法により、クレジットカード加盟店は、カード情報の漏えい対策のため、原則として「カード情報の非保持化」または「PCI DSS準拠」が求められている。自社システム内にカード番号などを保持するのであれば、カード情報セキュリティの国際基準である「PCI DSS準拠」が必要だ。つまり、POS内蔵型のクレジット端末で決済サービスを提供していたクレジットカード加盟店は、2020年3月までに、POSレジを含めた店舗・本部システム全体のセキュリティ強化に向けた対策が求められる。
左から、セブン&アイ・ホールディングス 会計管理部 オフィサー 武石順一氏、同部 シニアオフィサー 太田浩氏、セブン‐ イレブン・ジャパン システム本部 店舗システム部 決済・サービスシステム マネジャー 篠沢良太氏
この対策として、セブン&アイでは、2018年10月から、第7次のPOSにおいて、国内約2万店舗のセブン-イレブンでクレジットカード情報の非保持化(PCI P2PEソリューション準拠)を採用した。また、新しいセキュリティセンターを立ち上げ、グループとしてシステムを一本化。2019年4月からは、イトーヨーカ堂、ヨークベニマル、ヨークマート、セブン&アイ・フードシステムズの約1,000店舗を対象に非保持化を広げていく方針だ。
導入に向けては、カード会社のジェーシービー、および日本カードネットワークの協力を得たため、スムーズに進んだという。セブン&アイ・ホールディングス 会計管理部 シニアオフィサー太田浩氏は、「セブン-イレブンはPOSの更新時期のタイミングに合わせて、P2PEソリューションを導入することができました。今回の非保持化は、クレジットカード会社のノウハウと、当社グループが持つ小売として必要なサービスについて、両者の思いを徹底的にぶつけあって、つくりあげた、現段階で考えられる最強のセキュリティであると自負しています」と話す。日本カードネットワークでは、セブン&アイ対応をファーストユーザーとして各加盟店向けに、2018年7月にP2PEソリューション認定を取得している。また、決済端末はパナソニック製のP2PE対応端末を採用した。
セブン- イレブンの第7 次POS レジスター
決済処理情報は都度暗号化し、トークン処理
ハウスカードによる販売促進策も可能に
セブン&アイが採用した「PCI P2PE」とは、国際カードブランドによって設立された「PCI SSC」が定めるセキュリティ基準であり、クレジットカード情報をクレジット端末からセンターまで非保持化する手段だ。また、トークナイゼーションサービスは、会員番号とは別の番号を払い出し、カード番号とは異なるトークンを利用して、安全な決済取引の実現を目指すものだ。
P2PEソリューションの採用により、毎回鍵情報が変更され、従来POSシステム内で行っていたクレジットカード判定処理(ポイント付与や値引きも含む)は、セキュリティセンターのシステムで行うことにより、クレジットカード情報の非保持化を実現し、安全性を高めた。
また、トークン化により既存の会計処理やカード販促処理との連動が実施可能だ。例えば、クレジットカードの処理に加え、「セブンカード」を使用したイトーヨーカドーの8の付く日のハッピーデーの割引サービスなどの販売促進策を同時に実現できる。ハウスカードを推進する企業の場合、そのカード番号の処理の関係で、PCI DSSの対応が求められるが、P2PEソリューションとトークン処理によりカードを活用した販促活動が可能になるとともに、非保持化同等相当の運用を実現可能だ。
新POSでは多様な決済を利用可能
安心・安全な決済環境を整備
セブン-イレブンが導入した第7世代のPOSでは、接触および非接触のICクレジットカードに加え、「nanaco」や「QUICPay」といったFeliCaの支払いにも対応している。クレジットカードのセキュリティ対策が強化されると同時に、消費者はこれまで以上に、多様な決済を利用できるようになる予定だ。
なお、PCI DSS準拠については、現段階でグループとして対応の予定はないが、内部的には基準の要件に耐えうるシステム構成を意識している。
セブン-イレブン・ジャパン システム本部 店舗システム部 決済・サービスシステム マネジャー 篠沢良太氏は、「お客様に安心してお買い物を楽しんでもらえるよう、安心・安全な決済環境を整えています」と語ってくれた。
