大和ハウス工業株式会社のプレスリリース
大和ハウスグループの株式会社ロイヤルゲート(本社:東京都港区、社長:梅村圭司、以下「当社」)は、ペイメントカード業界セキュリティスタンダード協議会(PCI SSC:本部米国)が定める「PCI P2PEソリューションプロバイダー認定」について、2018年12月に発売したオールインワンマルチ決済端末「PAYGATE Station」での追加認定を取得いたしました。拡張性の高い汎用OS(Android)のマルチ決済端末としては、日本初(※1)の事例となります。東京五輪開催に向けて国内のキャッシュレス化が推進される中、多くの加盟店に世界基準のP2PEソリューションを導入いただくことにより、安全・安心で便利なキャシュレス社会の実現に貢献してまいります。
1.PCI P2PEの概要と背景
PCI P2PE (Point-to-Point Encryption)はクレジット加盟店における決済端末から決済処理センターに至るまで、カード情報を暗号化した状態で安全に伝送・処理するための、グローバルで推奨されているセキュリティ技術です。昨今、世界各地でキャッシュレス化が進展する中、POSシステム等の脆弱性をついた攻撃によって、クレジットカード情報の大規模な漏洩事件が発生しており、クレジットカード情報の保護対策は世界的な重要課題として位置付けられています。
このような状況の中、国際ブランド5社(Visa、Mastercard、American Express、Discover、JCB)によって設立されたセキュリティ推進組織PCI SSCは、クレジットカード加盟店に対しペイメントカード業界データセキュリティ基準(PCI DSS)を満たすことを求めており、この世界共通のセキュリティ基準によって、1枚のクレジットカードで世界中どこでも決済ができる便利な環境が担保されています。そして対面加盟店にとってのセキュリティ上の課題をいち早く解決へと導く手段として、現在最も推奨されている仕組みが「PCI P2PE」であり、実質的な世界標準となっています。
2.加盟店のセキュリティ対策義務とP2PE導入メリット
日本国内でも、割賦販売法において世界基準である「PCI DSS準拠」、または日本独自の基準としてカード情報を保存・処理・通過させないことを条件とした「非保持化」という概念に基づき、加盟店へのセキュリティ対策を義務付けています。(割賦販売法における対応期限:2020年3月)
加盟店がPCI DSS(Ver.3.2.1)に準拠する場合、400項目以上に及ぶ要件を満たす必要があるものの、「P2PE」はPCI DSS認証取得に必要な対応要件を10分の1未満にまで軽減し、対応負荷やコストを大幅に削減することが期待できます。また、日本独自の基準である「非保持化」についてもP2PE導入と同時に対応完了となり、加盟店のセキュリティ対策および対応負荷軽減に最適で安心なサービスです。
3.安全性と利便性を両立したPAYGATE Station
P2PEが世界で推奨される安全なソリューションでありながら国内導入が進んでいない背景として、「PCI P2PEソリューション」の認定取得が国内の決済事業者で進んでいないことや、認定を取得している決済端末がクレジットカード専用端末や回線敷設工事を伴う据置型端末であることなどから、「マルチ決済に対応できる、手軽に持ち運びができる」といった昨今の加盟店の決済ニーズと合致していないことが挙げられます。そして「安全性」と「利便性」を両立させたサービスが不足している実情が国内のキャッシュレス化を妨げる要因の一つとなっています。
こうした中、「PAYGATE Station」は加盟店の利便性を最大限に追求したモバイル型マルチ決済端末・サービスでありながら、世界最高水準のセキュリティ基準とされる「PCI P2PEソリューション」のノウハウを活用し、クレジットカード決済だけでなくマルチ決済のトランザクションにP2PEの技術を応用するなど、「安全性」と「利便性」の両立を実現しました。
「PAYGATE Station」の特徴
ハードウェアのリーダー機能として磁気、IC、ピンパッド(暗証番号入力)、FeliCa、NFC、QRコード、バーコードを実装。そして端末に実装したPAYGATEアプリからPAYGATE決済センターに暗号化された安全な状態で決済情報を伝送します。これにより、クレジットカード決済、FeliCa系電子マネー、「Visa のタッチ決済」に代表される非接触ICクレジット決済、「d 払い」「LINE Pay」「楽天ペイ(アプリ決済)」「PayPay」「Origami Pay」等に代表されるQR決済、「Ponta」「dポイント」「楽天ポイントカード」等に代表される共通ポイントなど、様々な決済種別に1台で安全に対応します。また、プリンターやSIM通信、バッテリーの搭載により決済場所を選ばないことで業務の効率性・生産性の向上に貢献します。 |
※QRコードは㈱デンソーウェーブの登録商標です。
※記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
4.IoT社会を見据えて「PAYGATE」は安全・安心をワンストップで提供
「PAYGATE」は、SRED(※2)機能で即時にクレジットカード情報を暗号化し、「PAYGATE 決済処理センター」のHSM(※3)で復号化されるまで、一切解読されることはありません。また、端末にも一切情報は残りません。さらに、暗号化のキーマネジメントに DUKPT(※4)方式を採用し、強固な鍵管理を実現しています。
そして、決済端末からアプリ、決済センターまでをワンストップで提供するソリューション「PAYGATE」は、「高いセキュリティ」に加え、契約するカード会社などを選べる「高い柔軟性」、クラウド型サービスによる「高い拡張性」を備えています。
IoTデバイスが普及し、あらゆる機器がネットワークに接続される社会が到来する中、決済インフラで用いられるP2PE等の手法は、デバイス間のデータセキュリティのベストプラクティスとされています。将来にわたるより良い社会インフラの構築を見据え、大和ハウスグループが掲げる「人・街・暮らしの価値共創グループ」の一員として、安全・安心でより良い暮らしの実現に貢献してまいります。
※2.Secure Reading and Exchange of Data:カード情報を読み取った直後にそのデータを暗号化してセキュアに転送するなどといった PCI PTS のセキュリティ要件。
※3.Hardware Security Module:暗号鍵ライフサイクルの保護に特化して設計された専用暗号化プロセッサ。
※4.Deriver Unique Key Per Transaction:トランザクション毎にユニークな暗号鍵を生成する仕組み。
5.認定取得内容
認定機関:PCI Security Standards Council
取得内容:PCI P2PE ソリューション プロバイダー認定
取得名称:PAYGATE
リファレンス:No. Reference #:2018-01181.001
端末追加日:2019年2月5日
追加端末のPTS認証番号:4-30294
追加端末名称:PAYGATE Station(今回追加)、PAYGATE AIR(2018年9月取得済)