「16桁のクレジットカード番号はもう限界ではないか」。

　こう語るのはEGセキュアソリューションズの徳丸浩取締役CTO。2024年も「システムのぜい弱性を突かれたことで第三者に不正アクセスされ、ペイメントアプリケーションを改ざんされた」ことで、カード番号を盗まれる通販サイトが多発。いわゆる「フォームジャッキング(もしくはウェブスキミング)」という手法を使われたわけだ。

　カード番号を盗まれる通販サイトが減らない中で、EC加盟店は新規加盟店契約をする前に、経済産業省と日本クレジットカード協会による「セキュリティ・チェックリスト」に基づくセキュリティー対策の実施状況を申告するよう求められている。さらには、新規のみならず全EC加盟店に対し、チェックリスト記載の対策実施や申告を求める動きもある。

　とはいえ「何か認証機関があるわけではなく、自己申告で『ぜい弱性対策をしました』となる。もちろん、真面目な企業はちゃんとやるだろうが、そうではない企業も当然あると思うので、どこまで実効性があるかは分からない」のが実情だ。

　こうした事態は日本だけで起きているのだろうか。「ある資料によると、アメリカにおけるカードの不正利用被害額は、1兆円を超えているという。日本は約500億円なので、人口や経済規模の格差を鑑みても非常に多い。アメリカはセキュリティー先進国だから対策されているなんてことは全くなく、多分有効な手口もないのだろう」。

　経産省も通販サイト側にセキュリティー対策を求めているが、なかなか浸透しないのが実情だ。そうなると「仕組み」自体を変えるしかない。「現在、通販サイトと決済代行会社間はトークンでやり取りしているが、ユーザーと通販サイトの間にも取り入れる必要があるのでは。VISAもカード情報のトークン化を進めていく方針を示しているので、そういった方向に進むだろう。また、アマゾンペイやPayPayのようなID決済でワンクッション置くのも一つの手」。いずれにせよ、生のカード番号はネットでは使わないようにしないと守りようがない、というのが実情のようだ。

　通販サイトにおいては「EMV　3―Dセキュア」が原則義務化された。ただ、これは盗んだカード番号を使いづらくする、つまり「出口」となるマネタイズを止めるための対策だ。「入り口」部分も守らなければカード情報は盗まれ続けてしまう。「EMV　3―Dセキュアセキュア義務化の効果は果たしてどれだけ出るのか、ちょっと楽しみというか、注目したいところだ」。