今すぐ試す  お問い合わせ 

ホスピタリティ決済データを保護する方法: 事業者向けガイド

Connect
Connect

Shopify や DoorDash など、世界有数のプラットフォームやマーケットプレイスも Stripe Connect を利用して決済を自社プロダクトに導入しています。

もっと知る 
  1. はじめに
  2. ホスピタリティ事業にとって決済セキュリティが重要である理由
    1. 支払い期間が延長される
    2. 支払い情報が複数のチャネルに保存される
    3. 高額取引がより狙われやすいターゲットに
    4. 犯罪者は個人情報も狙う
    5. 風評被害の回復は難しい
  3. ホスピタリティ決済データに対する最大の脅威
    1. サードパーティ予約システムへの侵害
    2. スタッフを操作
    3. インサイダー不正利用
    4. POS 攻撃
  4. ホスピタリティ事業で決済システムを保護する方法
    1. 犯罪者に盗まれる前に決済データを隠す
    2. 決済データに触れる人 (と対象) を制限する
    3. スマートシステムを設計して従業員のミスを回避する
    4. 犯罪者に悪用される前に古いハードウェアを交換する
  5. Stripe を使い始める 

ホスピタリティ事業では、決済の保存、送信、再確認が絶えず行われており、これらの取引のすべてが不正利用の標的になる可能性があります。ホテルでは、部屋のアップグレード、ミニバーのまとめ払い、レイトチェックアウトのために顧客カードをファイルに保存しています。飲食店は、1 日に数千回のスワイプを処理し、多くの場合、複数の場所に接続されている複数の端末で処理します。スパやリゾートでは、数か月前に前金を受け付けます。これらの取引は、犯罪者がつけ入るスキとなります。カードの詳細をスキミングしたり、取引を傍受したり、企業の予約システムの弱点をすり抜けたり、などです。

侵害が発生すると、ビジネスコストがかかり、法令遵守の問題が発生し、ブランドイメージと顧客ロイヤルティが損なわれます。たとえば、あるアメリカのホスピタリティ企業は、世界中の 3 億人以上の顧客に影響が出たデータ侵害の後、2024 年に和解金として 5,200 万ドルを支払うことに合意することになりました。

以下では、ホスピタリティ事業が直面するリスクと、ゲスト体験を低下させることなく決済データをロックダウンする方法など、問題になる前に対処する方法について説明します。

この記事の内容

  • ホスピタリティ事業にとって決済セキュリティが重要である理由
  • ホスピタリティ決済データに対する最大の脅威
  • ホスピタリティ事業で決済システムを保護する方法

ホスピタリティ事業にとって決済セキュリティが重要である理由

ホスピタリティ事業は、決済セキュリティに関する独特な課題に直面しています。部屋の予約から、バーの勘定のまとめ払い、リゾートのチェックアウトまで、すべての取引がゲスト体験の一部を形成しています。小売業や E コマースとは異なり、ホスピタリティ事業の支払いは、多くの場合、長期滞在、高額取引、およびさまざまな種類の個人データに関連付けられています。

ここでは、決済セキュリティがホスピタリティ事業にとって特に重要である理由を説明します。

支払い期間が延長される

ゲストがホテルにチェックインすると、カードは数日間 (場合によってはそれ以上) 登録されたままになりますが、これは他の業界ではほとんど必要とされません。そのため、侵害され得る期間が長くなります。

支払い情報が複数のチャネルに保存される

ホテルやリゾートでは、フロントデスクで対面でのカード支払いを受け付けていますが、オンラインでの入金、滞在中の付随的料金の処理、アプリを介した請求書の決済、カードデータを保存するリワードプログラムの管理も受け付けています。追加の決済チャネルは、潜在的に脆弱な別のスポットとして攻撃対象となります。

高額取引がより狙われやすいターゲットに

通常、10 ドルの注文を処理するファストフード店が被る不正利用の頻度は、5,000 ドルの予約を処理する高級ホテルと同じレベルではありません。サイバー犯罪者はお金のあるところを狙い、ホスピタリティ事業、特にプレミアム予約、法人アカウント、長期滞在を扱う企業は、うまみがあるターゲットです。1 回の侵害で大量の決済データが一度に流出する可能性があり、システムが適切にセグメント化されていなければ、複数の場所が侵害を受けることもあります。

犯罪者は個人情報も狙う

ホスピタリティ業界における決済セキュリティは、カード番号の保護にとどまりません。名前、メールアドレス、電話番号、自宅住所、パスポートの詳細、場合によっては旅行習慣など、ゲストのプロフィール全体の保護が含まれます。この種の個人データは、個人情報窃盗犯にとって宝の山です。攻撃者は盗んだクレジットカード番号を使用できなくても、不正利用やフィッシング詐欺のためにゲストの個人情報を売ることができます。

風評被害の回復は難しい

ホスピタリティは信頼の上に成り立っています。ホテルやリゾートに滞在しスタッフと直接やり取りすると、オンラインで何かを購入するよりも個人的な顧客体験が生まれます。損害により顧客の信頼が揺るがされ、割引や PR キャンペーンでは必ずしも解決できない場合があります。

ホスピタリティ決済データに対する最大の脅威

決済のほとんどがオンラインで自動化されている E コマースとは異なり、ホスピタリティ業界は、人とのやり取り、レガシーテクノロジー、長期にわたる支払い保留が組み合わさって運営されています。これらの要素から、犯罪者が悪用する脆弱性が生じます。ここでは、サイバー犯罪者がホスピタリティ事業にアクセスするのに使用する、最も一般的な戦術をいくつか紹介します。

サードパーティ予約システムへの侵害

ホテルが独自の支払いシステムをロックダウンした場合でも、システムは多くの場合、予約、スパサービス、食事、またはコンシェルジュのリクエストのためにサードパーティプラットフォームに連携されています。連携はすべて、潜在的な弱点です。見過ごされがちな小規模ベンダーのセキュリティが脆弱であると、攻撃者に看破され簡単な侵入口になってしまうかもしれません。

スタッフを操作

ホスピタリティ業界は、従業員の離職率が高く、季節限定の人員も多く、さらにはセキュリティよりも顧客サービスのトレーニングを受けている労働力が集まっています。サイバー犯罪者は、ホテルのマネージャー、IT サポート、さらにはゲストになりすまし、従業員を騙してログイン認証情報を盗み取ったり、セキュリティプロトコルをバイパスさせたりするソーシャルエンジニアリングを通じて、これを悪用する可能性があります。

インサイダー不正利用

レストラン、バー、ホテルでは、従業員が決済端末に直接アクセスできる場合があります。つまり、悪意を持ったインサイダーが顧客の支払いデータを入手し、より深刻な不正利用計画を実行し、一度に数千人の顧客のデータを盗むことができるということです。

POS 攻撃

多くのホスピタリティ事業は、複数の場所にまたがって接続された POS システムに依存しています。マルウェアが 1 つの端末に感染すると、ネットワーク上の他のすべての POS システムに急速に広がる可能性があります。これらの攻撃は、1 か所でデータを盗むだけでなく、すべての決済ポイントを漏洩箇所に変えてしまうため、特に危険です。2015 年の例ですが、あるアメリカのホスピタリティ企業は、決済処理システムがマルウェアに感染していることを発見しました。クレジットカード情報を盗むそのマルウェアは、数百のホテルに影響が及んでいた可能性があります。

ホスピタリティ事業で決済システムを保護する方法

取引の暗号化や PCI DSS (Payment Card Industry Data Security Standard) への準拠の維持など、決済のセキュリティを向上させるため標準的なアドバイスは重要ですが、ホスピタリティ事業にとっては十分ではありません。法令遵守のチェックリストのみに従うホテルやレストランは、依然として脆弱です。真のセキュリティとは、顧客体験を損なったり、利便性を犠牲にしたりすることなく、リスクや弱点を減らし、犯罪者がそもそも活動しにくくなるように決済を設計することを意味します。

以下で、実際にどのようなものなのかを説明します。

犯罪者に盗まれる前に決済データを隠す

トークン化は、機密性の高い支払いの詳細を「トークン」と呼ばれるランダムな文字列に置き換えます。攻撃者がシステムに侵入しても、クレジットカード番号は見つからず、役に立たないトークンだけが見つかります。トークン化により、犯罪者が侵入したとしても、盗む価値のあるものは何もありません。組み込みのトークン化を提供する支払いプロバイダーを使用しましょう。

決済データに触れる人 (と対象) を制限する

多くの侵害は、コア決済処理システム以外のどこかに弱点があり、それを攻撃者に発見されたために発生します (保護されていないスタッフのログイン、古い導入、セキュリティに欠陥のあるサードパーティベンダーなど)。ホスピタリティ事業は、次の方法でリスクを軽減できます。

  • 権限を各役割が実際に必要とするものだけに制限する

  • POS システムにゲスト Wi-Fi とネットワークを共有させない

  • 決済データを顧客ロイヤルティ情報と同じシステムに保存しない

  • サードパーティベンダーのセキュリティ対策を審査する

スマートシステムを設計して従業員のミスを回避する

フィッシングメールをクリックしたり、IT サポートを装ったハッカーからの電話に引っかかったりと、人為的ミスを誘うのが攻撃者にとって最も簡単な方法です。従業員に注意を喚起するだけでなく、そもそもミスが起こりにくくなるようなシステムを設計するのです。

  • 支払いログインに 2 要素認証 (2FA) を使用します。従業員のパスワードが盗まれた場合でも、2FA がアクセスをブロックします。

  • POS システムでの電子メールアクセスを制限します。フロントデスクのコンピューターやレストランの端末がメールをチェックできなければ、フィッシングの試みはそれほど問題になりません。

犯罪者に悪用される前に古いハードウェアを交換する

ホスピタリティ業界では、ハードウェアはソフトウェアと同様に脆弱です。ホテルやレストランは、POS 端末、カードリーダー、キーカードシステムに依存しており、これらはすべて継続的に更新する必要があります。ハードウェアが古いため、攻撃者はカードデータをスキミングしたり、マルウェアをインストールしたり、脆弱な暗号化をすり抜けたりを、簡単に行えるのです。次の点を考慮してください。

  • POS 端末をエンドツーエンド暗号化 (E2EE) および EMV (チップカード) をサポートするモデルにアップグレードします。

  • 最新のファームウェア更新が行われていないカードリーダーまたはチェックインキオスクを交換します。

  • タッチ決済やモバイル決済(デジタルウォレットなど)に対応することで、侵害されやすい物理的なカードへの依存を減らします。

この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Connect

Connect

数カ月でなく数週間で本番環境に移行して、収益性の高い決済ビジネスを構築し、簡単に拡張することができます。

Connect のドキュメント

複数の当事者間で支払い経路を選定する方法をご確認ください。