#21 オートローディング式自動精算機のPIN入力〜PCI SSCとPCI PTSの話〜

はじめに

突然なんだよってテーマかと思いますが、一昨日花粉症の薬をもらいに病院行って自動精算機でカード決済したときにちょっと驚きがあったので記事にしておこうと思います。

オートローディング式自動精算機のPIN 入力

さて、こちらが一昨日の自動精算機です。

オートローディング式自動精算機

オートローディングは自走式とも言うもので、要はカードを飲み込んでカード情報（＝IC情報）を読み取りするタイプの端末です。暗証番号（PIN）を入力するPINパッドが右下にあります。

注意書きに「ICチップがない」「暗証番号を忘れた」「分割払いにしたい」場合は窓口で支払いとなる旨記載があります。つまりこの端末は以下なんだなというのが読み取れます。

• ICチップがない
  →磁気テープの読み取りには対応していない（ICリード専用機である）

• 暗証番号を忘れた
  →PINバイパス（PINスキップ）には対応していない

• 分割払いにしたい
  →一括払いにしか対応していない

で、何に驚いたかというと、オートローディング式でPIN入力に対応していると言う点です。これにはPCI PTSと言うセキュリティ基準が関係しています。

PCI SSCとPCI PTS

PCI SSCと言う団体がPCI DSSと言うセキュリティ基準を策定しているという話はちょっとだけ触れたことがあります。

これと同じくPCI SSCはPCI PTSを策定していて、PIN入力端末はこれに準拠する必要があります。

• PCI SSC
  Visa、Mastercard、JCB、AMEX、Discoverの5社からなるカードのセキュリティ基準を決めたり、管理・認定する団体。

• PCI DSS
  カード番号を取り扱うシステムのセキュリティ基準

• PCI PTS
  PIN入力端末（PINパッド）に対するセキュリティ基準

なお、EMVCoはこれに銀聯を加えた6社からなるICカード決済の国際標準仕様を策定している団体で、似てるようで異なる団体です。EMVCoは以下↓

オートローディング式自動精算機のPCI PTS準拠

2020年3月公表版のクレジットカードセキュリティガイドラインに以下の記載があります。

２）オートローディング式自動精算機における IC 対応
オートローディング式自動精算機に関しては、ICカードリーダーライターとPINパッドが物理的に分離した構造となるため、現状、PCI SSC＊が定めた国際的なセキュリティ基準であるPCI PTS＊に準拠することが技術的に難しいという課題がある。
一部の業界（例：ガソリンスタンド、鉄道等）では、PCI PTSへの準拠が困難であるオートローディング式によりIC対応を進めることとなったことを受け、「オートローディング式自動精算機のIC対応指針と自動精算機の本人確認方法について」を取りまとめた。当該指針では、オートローディング式の自動精算機をIC対応する場合のPCI PTS未準拠により生じ得るセキュリティリスクに応じた代替コントロール策の内容等、具体的な対応事例を示している。オートローディング式の自動精算機のIC対応については、当面の間、同指針に基づき対応することとする。

クレジットカード・セキュリティガイドライン【1.0 版】＜公表版＞　P28

当時、私もセキュリティガイドラインを策定しているセキュリティ対策協議会の検討メンバーで、この課題があることを痛感してました。その後、2021年には海外でオートローディング式でPCI PTSに準拠した端末ができたようだから検討していこう、みたいなところまでは記憶がありました。

そんなこんなで、2024年の現在このような端末に出会えたことに驚きだったわけです。

オムロン社のイージースクエア

と言うわけでオートローディングかつPCI PTS準拠をWebで検索してみると、一番最初にこちらがヒットしました。オムロンの回し者ではありませんが、システム構成図までわかりやすく書いてあるので参考までに貼っておきます。

リーダライタ用IC化ソリューション eZSquare（イージースクエア） | 社会の安心・安全・快適ソリューション | オムロン ソーシアルソリューションズ株式会社

まとめ

オートローディング式の決済端末というと駅の券売機で定期を買うときや、ガソリンスタンドの給油機なんかもそうですけど、ガソリンスタンドの自動精算機（ガスPOS）でPIN入力はしたことないですよね。実は券売機やガスPOSもまた特殊なルールがある端末なんですが、こんなところにもこれから広がっていくのかなーなんて思う今日この頃でした。