有料購読サービス終了のお知らせ

BOSS ONLINE

2017年06月号

オールドFinTech企業が オープンイノベーションを阻害する?

沖田貴史 SBI大学院大学 特任教授

おきた・たかし 1977年石川県生まれ。98年一橋大学在学中に、サイバーキャッシュ株式会社(現ベリトランス株式会社)の立ち上げに参加。2005年から10年間、代表取締役を務め、香港上場やアジア展開を加速。2016年5月より、SBI Ripple Asia株式会社 代表取締役。主な公職に、金融審議会専門委員など。

3月10日、金曜日の夕方に、FinTech 業界にとって、残念なニュースが、ひっそりと配信された。「東京都税」及び、住宅金融支援機構の「団信生命保険特約料」のクレジットカード支払いサイトへの不正アクセスと、それに伴うカード情報の漏洩事件である。

この数年、カード決済を取り巻く、情報管理に関する意識・取り組みは、大きく改善しており、大規模漏洩は減少していた。また、カード会社側でも人工知能の活用などを積極的に行うことで、早期に情報漏洩元を発見する取り組みがなされている。

それでも漏洩事件は、後を絶たないが、70万件超という大規模な漏洩は、近年珍しい事例である。

今回異例だったのが、カード番号、有効期限、メールアドレスなどに加え、一部の取引では「セキュリティコード」も漏洩してしまっていることである。セキュリティコードとは、カードの券面に書かれている3桁(AMEXの場合は4桁)の番号であり、磁気ストライプにも含まれず、カードを持つ本人しか知り得ない情報である。したがって、いわゆるスキミングなどにも強く、決済時における本人認証に使われており、カードを取り扱う加盟店では、保管することは決して許されない情報である。

この重要情報の非保持というのは、カードセキュリティのトレンドであり、上記のセキュリティコードはおろか、カード番号についても、加盟店は保持しないというのが世界の常識となっている。

というのも、セキュリティ犯罪においては一番弱いところから狙われるためであり、カード決済の処理プロセスにおいて、それは加盟店であるためだ。

日本は、世界に比べると、この非保持化の取り組みは遅れていたが、この数年は加盟店がカード番号を持たない割合が増えてきた。

近年、氏名などの個人情報漏洩を起こした事案でも、「カード情報やその他金融情報は漏洩していません」という発表が目立つのは、そのためである。

2014年から議論がされている割賦販売法改正にあたっては、クレジットカード番号は原則、全店舗非保持とするだけではなく、加盟店を通過することもなくしていくという先進的な仕組みによって、カード情報の漏洩を一掃しようという戦略的な取り組みがなされていた。

この動きに水を差したのが、今回の事件である。

さらに異例なのは、通常は漏洩元がカード決済に関する専門知識を持たない加盟店であることが多いのに対して、今回は漏洩元が委託先である決済専業会社(GMOペイメントゲートウェイ社)であったことである。

今回の事案は、同社固有の事情によるものが多いようだが、個人的に危惧するのは、このような事故により、過剰な無謬性を求める議論に逆戻りし、角を矯めて牛を殺すというような動きになりかねないことだ。

この事件は、いわばオールドFinTech企業が起こした事件であり、最新のFinTech企業は、半ばあきれ顔で見ているようだが、他山の石とすべきだ。

2017年06月号 目次

試し読み
名経営者30人の名言・格言 No.1
名経営者30人の名言・格言 No.14
名経営者30人の名言・格言 No.17
マニアユーザーに応えるBTO-PC こだわりとゲームPCの広がり
百貨店、食品スーパーに続く 柱を決める1年にしていく
IR CLIP テラ
リサイクル業から 「捨てさせない屋」へ 企業在庫もきれいに処分
オールドFinTech企業が オープンイノベーションを阻害する?