消費者の金融取引の安全性向上のための大統領令発布 – クレジットカードのICカード化や政府サイトの多要素認証対応など

2014年10月17日付で、消費者の金融取引の安全性向上のための大統領令[1]が発布されました。

主な内容は以下の３つです。

• Section 1. 政府への支払いの安全性向上 — 2015年1月以降に導入される決済端末は、より安全な標準規格にもとづいたものになります。具体的にはICチップ対応になります。
• Section 2. Identity窃盗被害者救済の向上 — 典型的な事例における救済にかかる時間を大幅に短縮するための対策が３つあげられています。
• Section 3. 政府サイトのアクセスの安全性向上 — 個人情報へのアクセスにあたっては、NSTIC[2]に沿った形で、多要素認証と適切な身元確認への対応が求められます。政府機関は18ヶ月以内にこれに対応しなければなりません。

日本や欧州では、クレジットカードはICチップ付きが主流になっていますが、米国ではまだまだ普及には程遠い状況です。この大統領令のSection 1は、この状況を改善するためのものです。政府機関でのクレジットカードの決済がICチップベースになることで、クレジットカード発行者がICチップ付きのものを発行するようになるための呼び水となることを狙っています。

おりしも同日 Daily Telegraph に

Sorry Mr President; your credit card has been declined
Barack Obama’s card rejected at trendy New York restaurant Estela

という記事が出ました。オバマ大統領がニューヨークのEstelaというレストランで支払いをしようとしたら支払いができなかったという記事です。磁気ストライプだと複製が簡単なので、クレジットカード会社は過去の取引のパターンを使ったリスクベース認証を行っているのですが、オバマ氏は大統領になってからほとんどカードを切ることが無くなったので、このレストランでの支払いが異常な取引としてフラグが上がってしまったわけですね。同記事曰く、

「どうもあんまりカードを使わないものだから、不正行為が行われていると思われたようだね。ミッシェルがカードを持っていて良かったよ。」

「ウェイトレスに、これまでちゃんと支払いをしていると説明したんだけどね。こんなことになってしまった。」

オバマ大統領はロブ・コードレイ米消費者金融保護局長に、クレジットカード顧客を保護するためのもっと簡便な方法が導入される必要が有ることを、この事例は指し示していると語った。

彼は、欧州では普通になっているのに米国ではそうではないICカード決済システム[3]を褒め称えた。

（出所）Rosa Prince: “Sorry Mr President; your credit card has been declined”, Daily Telegraph, 2014/10/17

仕込み記事乙、という感じでありますが、それだけ本気ということでしょう。ちなみに、この話は、AP電／Fox Newsなんかにも出ています。セキュリティの話しじゃみんな読まないけど、オバマ大統領がカード使えなかった！という俗な話にすればみんな読むだろうという読みのもと、メディア戦略うまいですね。

アイデンティティ窃盗はだいぶ前から社会問題になっていました。Section 2は、それに対する対策ですね。具体的な対策と言うよりは、対策を立てなさいという命令ですが。

そしてSection 3.が、政府サイトへのアクセスで、本人が個人情報にアクセスしたりするときのセキュリティレベルを上げ、それによってプライバシーの保護を向上させるというものです。ホワイトハウス筋から事前に聞いていたところによると、これもSection 1.と同じで、民間に対する呼び水にすることを狙っているそうです。今後、これに対応するためにSP800-63の改定もあり得るようです[4]。18ヶ月と切ってあるのは、FCCXのインプリがそれまでに済むということですかね。

ちょうど発表が私の東京→メキシコの移動に重なってしまって、記事を書くのがちょっと遅くなりましたが、まだ日本ではこれが第一報になるのかな…。

ではでは！

（メキシコシティにて）

---

 

[1] Executive Order –Improving the Security of Consumer Financial Transactions, http://www.whitehouse.gov/the-press-office/2014/10/17/executive-order-improving-security-consumer-financial-transactions

[2] National Strategy for Trusted Identity in Cyberspace

[3] chip-and-pin payment system

[4] 現行のSP800-63だと多要素認証はLoA3になるが、LoA3の身元確認を要求するのは多分酷なので、LoA2で多要素認証を要求するようになるとか、あるいは、クレデンシャルのレベルと身元確認のレベルを分離させるとかするんじゃないでしょうか。

【関連記事】

• Lynch, S., Holland, S.: Obama signs order to tighten security for federal credit cards, Reuters (2014-10-17)
• Tobey, P.: United States is the champion of credit card fraud — but Europe is catching up, Washington Post (2014-8-14)
• Associated Press: Obama’s under-used credit card declined in NY cafe, Fox News (2014-10-17)