ポイントツーポイント暗号化 (P2PE) は、データがビジネスのソフトウェア、ネットワーク、またはサーバーに到達する前に、カードリーダー内でカード会員データを暗号化する決済セキュリティフレームワークです。また、P2PE により、データは決済代行業者の復号化環境に到達するまで暗号化されたままになります。これは、Payment Card Industry Data Security Standard (PCI DSS) 準拠におけるスコープ縮小の基本的な要素であり、プレーンテキストのカードデータを処理する加盟店環境と、データをまったく処理しない環境とを区別するものです。
暗号化に関して、ビジネスにとってのリスクは高くなります。データ侵害の全世界での平均コストは、2025 年に 440 万ドル に達しました。ビジネスのシステムからカード会員データを排除することで、侵害リスクと潜在的な責任が軽減されます。以下では、P2PE の技術レベルでの仕組み、トークン化や一般的な暗号化との違い、検証済みの実装で必要となる事項について説明します。
主なポイント
P2PE は確定の時点でカード会員データを暗号化し、決済代行業者のインフラストラクチャー内でのみ復号化するため、加盟店環境にプレーンテキストのカードデータが存在することはありません。
PCI 検証済みの P2PE ソリューションを使用するビジネスは、通常、より短いコンプライアンス評価である自己問診票 (SAQ) P2PE の要件を満たします。
P2PE とトークン化は異なる問題を解決します。P2PE が確定および送信時にデータを保護するのに対し、トークン化は保存されたカードデータを将来の使用に備えて代替値に置き換えます。
ポイントツーポイント暗号化 (P2PE) の概要
P2PE は、カードがカードリーダーと通信した瞬間にカード会員データを暗号化する決済セキュリティ規格です。データがビジネスのソフトウェアやネットワークに到達する前に暗号化が行われ、決済代行業者が管理する安全な復号化環境に到達するまで、データは暗号化されたままになります。カード会員のプライマリアカウント番号 (PAN) やその他の機密データが、加盟店の環境内で読み取り可能な形式で公開されることはありません。
取引においてポイントツーポイント暗号化 (P2PE) はどのように機能しますか?
P2PE は、顧客がカードを認定リーダーでタッチ、挿入、またはスワイプしたときに発生し、リーダーはデータを出力する前に内部で暗号化します。カードが読み取られた瞬間に、デバイスの安全な暗号化モジュールが、製造時または管理されたキー挿入プロセスを通じて挿入されたキーを使用して暗号化します。デバイスはこのキーでデータを暗号化できますが、復号化することはできません。復号化には、決済代行業者のみが保持する別のキーが必要になります。
暗号化されたペイロードは暗号文と呼ばれます。これはデバイスから離れ、ビジネスの POS (販売時点情報管理) システムおよびネットワークを移動し、ビジネスのソフトウェアおよびインフラストラクチャーを通過しますが、そのインフラストラクチャーのどれも読み取ることはできません。暗号文は決済代行業者の安全な復号化環境に到着し、そこでプライベートキーによって PAN が取得され、取引が処理されます。
ビジネスの POS ソフトウェア、ネットワークスイッチ、およびサーバーは、暗号文のみを処理します。サーバーの侵害、悪意のあるインサイダー、ネットワークへの侵入など、この環境への侵害が発生しても、カードデータが読み取り可能な形式で存在することはなかったため、利用可能な情報は得られません。
PCI 検証済みのポイントツーポイント暗号化 (P2PE) と未検証のポイントツーポイント暗号化 (P2PE) の違いは何ですか?
PCI セキュリティ標準評価機構は、検証済みの P2PE ソリューションの正式なリストを維持しています。その仕組みは以下のとおりです。
PCI 検証済みの P2PE
ソリューションがこの指定を受けるのは、独立した評価者がハードウェア、キー管理、復号化環境、運用コントロールを含むフルスタックを監査した後のみです。評価は徹底的に行われ、PCI セキュリティ標準評価機構は検証済みのソリューションを公開リストで発表します。このリストは、ビジネスや、ビジネスが PCI DSS を遵守しているかどうかを検証する権限を持つデータセキュリティの専門家である認定セキュリティ評価機関 (QSA) が参照できます。
自己問診票 (SAQ) への影響
他のカードデータの保存を行わずに検証済みのソリューションを正しく使用するビジネスは、通常、30 問強で構成される SAQ P2PE の要件を満たします。検証済みの P2PE がない多くの対面 (CP) 環境のデフォルトである SAQ D は、300 問を超える場合があります。
未検証の P2PE
これらの実装は、PCI セキュリティ標準評価機構の正式な評価プロセスとは無関係に、確定時に暗号化し、加盟店環境の外部で復号化するという同じ一般的な概念に従います。PCI DSS において自動的なスコープ縮小のメリットがもたらされることはありません。
未検証のスコープのリスク
未検証のソリューションを使用する場合でも、ビジネスはスコープの縮小を主張できる可能性がありますが、評価の際にコントロールを自ら実証する必要があり、アクワイアラ銀行や QSA がその主張を受け入れない場合もあります。
ポイントツーポイント暗号化 (P2PE) が PCI 準拠のスコープにとって重要なのはなぜですか?
PCI DSS スコープの縮小は、P2PE を正しく導入することによる財務上のメリットです。スコープは、どのシステムがカード会員データを保存、処理、送信するか、またはどのシステムがそれらのシステムのセキュリティに影響を与える可能性があるかによって決まります。
以下の点を考慮してください。
SAQ の資格: これは CP 環境で利用できる最も短い評価パスです。
QSA のコスト: スコープが狭いということは、認定セキュリティ評価機関がレビューするシステムが少なくなるということです。これにより、複数拠点の小売業者における評価の難易度が大幅に軽減されます。
よりシンプルな運用: スコープに含まれるシステムが少ない場合、パッチ管理、ログ記録、およびアクセス制御の要件がより狭い範囲に適用されます。
これにより PCI 準拠の必要性がなくなるわけではありませんが、コンプライアンスで求められる事項は再構築されます。PCI DSS 準拠はスコープに対処するものであり、侵害による潜在的なすべての結果に対処するものではないことに留意してください。
ポイントツーポイント暗号化 (P2PE) はトークン化や単独の暗号化とどのように異なりますか?
P2PE、トークン化、暗号化は、連携して機能するように設計されています。P2PE が確定および送信フェーズを対象とするのに対し、トークン化は保存と再利用を対象としています。これら 2 つのアプローチは、決済ライフサイクルの異なる段階における別々の問題を解決するため、互いに補完し合います。
具体的な方法は以下の通りです。
単独の暗号化: 標準的な Transport Layer Security (TLS) 暗号化により、システム間を移動するデータは保護されますが、エンドポイントでの漏洩は防げません。ビジネスのサーバーが暗号化された送信を受信して復号化した場合、そのプレーンテキストデータはサーバー上に存在することになります。
P2PE: データを安全に確定します。カード会員データはすでに暗号化された状態で加盟店環境に入り、暗号化されたまま離れます。復号化はビジネスのインフラストラクチャーの完全に外部で行われます。この環境で利用可能な PAN が保持されることはありません。
トークン化: データを安全に保存します。取引がオーソリされると、トークン (本質的なカードデータを持たない代替値) が返され、PAN の代わりに保存されます。ビジネスが反復取引を処理したり、サブスクの支払いを行ったりする必要がある場合は、代わりにトークンが参照されます。
P2PE は、オンライン取引には物理的なデバイスがないため、特に対面 (CP) 取引に適用されます。注文を受ける担当者がハードウェアベースの P2PE デバイスにカードデータを入力する場合は、通信販売 / 電話注文 (MOTO) 取引に適用できます。トークン化はオンラインと対面の両方の決済に適用され、標準的な TLS 暗号化はオンライン販売に適用されます。
ポイントツーポイント暗号化 (P2PE) の導入には実際に何が必要ですか?
検証済みの P2PE ソリューションの導入には、認定されたリーダーの選択以上のことが伴います。完全なソリューションには複数のコンポーネントが含まれます。
ハードウェア
PCI にリストされているデバイスのみが、検証済みの P2PE ソリューションの一部になることができます。これらのデバイスは、キーの抽出を防ぎ、改ざんを検出する安全な暗号化モジュールを備えるように構築されています。デバイスが開かれたり、ケースが破損したりすると、キーは自動的に消去されます。
キー管理
暗号化キーは、導入前に安全な施設 (通常はメーカーまたは認定されたキー挿入施設) でデバイスに挿入する必要があります。キーは定義されたスケジュールに従ってローテーションする必要があります。キー管理でミスが発生すると、プロセス全体を損なう脆弱性が生じる可能性があります。
スタッフ育成
スタッフは、デバイスが改ざんされたように見える場合の対処法、異常の報告方法、未検証のソースからの交換用デバイスを絶対に受け入れてはならない理由など、デバイスの取り扱いについて理解しておく必要があります。ハードウェアを標的とする物理的なスキミング攻撃は、文書化されたリスクになっています。
デバイス管理
デバイスには、ファームウェアの更新、物理的な検査、およびインベントリの追跡が必要です。紛失したり盗まれたりしたデバイスは、そのキーの状態によっては潜在的なセキュリティインシデントになります。一部のプロバイダーはデバイス管理をサービスの一環として処理しますが、ビジネスに任せるプロバイダーもあります。
プロバイダーがキーの挿入、デバイスの認定、および復号化のインフラストラクチャーを処理するマネージド P2PE ソリューションを使用する理由は、ビジネスが業務のどこに注意を向けたいかによって異なります。
Stripe Terminal は、マネージド P2PE ソリューションの最も明確な例です。Terminal の認定リーダー (BBPOS WisePOS E、Stripe Reader M2、およびラインナップにあるその他のリーダー) は、デバイスの外部に送信される前にデバイス内のカード会員データを暗号化します。Stripe がキーの挿入と復号化を処理します。
Stripe Terminal でできること
Stripe Terminal により、企業は対面チャネルとオンラインチャネル全体で統合された決済を通じて収益を拡大できます。新しい決済手段、シンプルなハードウェアロジスティクス、グローバルなカバレッジ、数百の POS およびコマース統合をサポートし、理想的な決済スタックを設計できます。
Stripe は、Hertz、URBN、Lands’ End、Shopify、Lightspeed、Mindbody などのユニファイドコマースを強化しています。
Stripe Terminal の特徴
ユニファイドコマース: オンラインと対面での決済をグローバルプラットフォームで一元管理します。
グローバル展開: 1 つのシステムと一般的な決済手段で、24カ国への拡大が可能です。
自社に合った導入: 独自のカスタム POS アプリを開発するか、サードパーティの POS や EC システムを使って既存のテックスタックと連携できます。
シンプルなハードウェア: Stripe 対応のリーダーを注文、管理、監視できます。
Stripe Terminal について詳しくはこちらをご覧ください。今すぐ開始する場合はこちら。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。