米MasterCardは20億枚のクレジットカードを発行、加盟店は4000万店に達し、顧客の資産をデジタルやモバイルでも安全で適切に活用できるよう技術開発に注力している。この10年、特にPCをはじめスマートフォン、タブレットなど個人向けモバイル機器で、高いセキュリティを確保した決済機能が実現することを最重視してきた。対面販売の領域で、非接触決済にも手を広げている。
マスターカード シニアバイスプレジデントのJames Anderson氏
最近では、インターネットを介したリモートでの決済も手掛けている。スマートデバイスをはじめとする端末による決済や認証などを支える開発部門を率いる、同社シニアバイスプレジデントのJames Anderson氏に現況や戦略、展望を聞いた。
PCIDSSやトークン化によりサイバー攻撃と戦う
近年、サイバー攻撃による被害が拡大している。同社は決済を事業とする企業として、この現状を注意深く見つめている。「もし、情報漏えいがあれば消費者、加盟店からの信頼を損なう。そこで(サイバー攻撃に抗する)重要施策を講じている」
クレジットカード業界のセキュリティ基準である「PCIDSS」(Payment Card Industry Data Security Standards)への準拠を継続している。さらには決済のトークン化(Tokenization)のインフラ構築や、国際的なICカードの標準規格である「EMV」の活用にも力点を置いている。
具体的には、「万が一、システムが攻撃を受け情報は取られてしまいかねないような場合、当該の情報の価値を下げるという手法」(Anderson氏)を採用しているという。
従来、国際的なカード運営企業は各々、独自のリスク管理プログラムを保有していたものの、加盟店側はこれら各社ごとの仕様への対応が必要だったため、加盟店の負担が増大していた。そこでAmerican Express、Discover、JCB、MasterCard、VISAの5社が連携し、クレジットカード情報の保全性を確保するセキュリティ対策の統一仕様として、PCIDSSを策定することとなった。
トークン化は、PCIDSSが規定しているデータ保護方法の1つであり、カード番号などを守るため番号を乱数列に置き換える。トークン化されたデータは、元データと1対1で結びつけられ、必要な際、元データの番号に戻すことができる。さらにトークンは、カード番号などもともとの数列とは関連性を持たない。そのため万が一トークンが外部に流出したとしても、復号化が不可能であるとされており安全性が高いという。