RBIはカードデータのセキュリティ確保のためにトークン化範囲を拡大

RBIがセキュリティ確保目的でトークン化範囲を拡大へ

RBI(Reserve Bank of India=インド準備銀行)は、カードデータのセキュリティを確保するため、トークン化の範囲を拡大し、カード発行者がトークンサービスプロバイダー(TSP)として機能することを許可した。

トークン化サービスでは、カードを介したトランザクションを容易にするために、一意の代替コードが生成される。9月7日(火曜日)にRBIは、デバイスベースのトークン化をカードオンファイルトークン化(CoFT)サービスに拡張し、これによって加盟店は実際のカードデータを保存できなくなる。カードオンファイルとは、将来のトランザクションを処理するためにペイメントゲートウェイとマーチャントによって保存されるカード情報を指しており、RBIはデバイスを拡張する際の声明で次のように述べた。

カード発行者は、トークンサービスプロバイダーとしてカードトークン化サービスを提供することが許可されています。カードデータのトークン化は、追加の認証要素(AFA)を必要とする明示的な顧客の同意を得て行われるものとします。

今回の決定により、カード取引の利便性を維持しながら、カードデータの安全性とセキュリティが強化されるとのことだ。

カードデータ漏えいリスクに直面するインド

RBIは、オンラインでカード取引を行う際のユーザーの利便性と快適性を理由に、カード決済取引チェーンに関与する多くのエンティティが実際のカードの詳細を保存していると述べ、一部の加盟店は、カードの詳細を保存するように顧客に強制する。

最近、一部の加盟店が保存しているカードデータ漏洩(ろうえい)事件が発生していることからも分かるように、多数の加盟店でこのような詳細を利用できると、カードデータが盗まれるリスクが大幅に高まる。インドの法律上、カード取引にAFAが必要ないため、CoFデータの漏えいは深刻な影響を与える可能性がある、とRBIは述べている。盗まれたカードデータはソーシャルエンジニアリング手法を通じてインド国内での不正行為にも使用できるだけに、RBIは危機感を募らせている。

カードデータを保存できないインドの法律

2020年3月にRBIは、システム内の脆弱なポイントを最小限に抑えるため、承認された支払いアグリゲーターとそれらに参加している加盟店が実際のカードデータを保存してはならないことを規定した。

これらについて業界からの要請により、1回限りの措置として期限を2021年12月末まで延長している。ただし、カードデータのトークン化は、AFAを必要とする明示的な顧客の同意を得て行う必要がある。RBIは、これらの機能強化により、カード取引の利便性を維持しながら、カードデータの安全性とセキュリティを強化することが期待されていると述べている。

RBIは、CoFTが顧客のデータセキュリティを向上させる一方で、現在と同じ程度の利便性を顧客に提供すると述べ次のように語っている。

メディアの特定のセクションで表明されたいくつかの懸念に反して、トークン化の取り決めの下ですべての取引のためにカードの詳細を入力する必要はないだろう。

なお、インド準備銀行は2021年8月、カード支払いサービスの範囲を、携帯電話やタブレットに加え、ラップトップ、デスクトップ、腕時計、バンド、IoT(モノのインターネット)などのウェアラブルを含むいくつかの消費者向けデバイスに拡大している。