2022年4月に入ってから、国際カードブランドは決済事業者に対し、新たに導入された8桁のBIN(銀行識別番号、Bank Identification Number)にシステムを対応させるよう、次々と要求しています。カード決済に関わる川上・川下の企業はすでに、システムや取引データの処理、さらにはカード売上票に印刷されるカード番号の形式までを8桁のBINに対応させるよう求める銀行からの通知を受け取ったことでしょう。
BINの形式変更は、クレジットカードを取り扱う業界にどのような影響を与えるのでしょうか?
まず、発行済みの6桁のBINコードは引き続き使用できますが、今月(2022年4月)以降に新たに発行されるカードのBINは基本的に8桁となります。今のところ、カード番号は従来通り16桁(American ExpressとDiscoverは15桁以下)のままなので、イシュアやカード発行システムへの影響はそれほど大きくはないでしょう。しかし、これまでカード番号の7桁目と8桁目をカードのレベル、種類などに使用してきた方式は、8桁のBINに対応して変更する必要があります。
しかしながら、当面は6桁と8桁のBINが取引システムやネットワークに併存することになります。そのため、ATMシステム、取引システム、決済システムといったBINを利用して取引のルーティング(Routing、BINでイシュアを識別)を行うシステムや、決済事業者が現在自社カード取引のルーティング(Routing、BINに基づいて自社カードの決済システムに送信)に使用している機能は、6桁と8桁の併存段階で起きるエラーを防ぐため、8桁のBINに対応しなければなりません。
次に、カード会員データを保存する際に、データ保護措置としてトランケーション(Truncation)技術を採用している場合ですが、今年1月、PCI SSC(ペイメントカード業界セキュリティ基準委員会、Payment Card Industry Security Standards Council)から、各カードブランドで許容可能な新しいトランケーション形式が正式に発表されました。これも、皆さんが関心を持たれている話題でしょう。
新しいBINコードに対応して、保存形式も変更する必要があります。6桁と8桁が併存することを考慮すると、画面への表示やトランケーション処理後のカード番号の保存にどう対応したらよいのでしょうか?
2021年2月、PCI SSCは「8桁のBINの使用を開始する場合、PAN(プライマリアカウント番号)のマスキングとトランケーションに関するPCI DSSの要件にどう対応するかについてのFAQ」を発表しました(https://www.pcisecuritystandards.org/faqs FAQ #1492を参照ください)。以下はその概要です。
1. マスキング:PCI DSS要件3.3では、一般的な状況においては、PANの先頭6桁と末尾4桁のみ表示するとされています。
先頭6桁と末尾4桁より多く(たとえば先頭8桁と末尾4桁)を表示するためには、正当なビジネスニーズがあり、かつ取扱者(または役割)、理由が記載された文書を作成し、会社の上級管理者の許可を得る必要があります。
2.トランケーション:PCI DSS要件3.4では、カード番号を保存する際に読み取り不可能(Rendered Unreadable)な形にしなければならないとされています。その方法の一つがトランケーション(Truncation)です。PCI DSSのガイダンスでは一般的なトランケーション形式を先頭6桁と末尾4桁としていますが、カードブランドによってトランケーション形式に関する規定が異なるため、この文章(FAQ #1492)内に別途補足説明としてFAQ番号1091「許容可能なカード番号トランケーション形式」が附されています(2022年1月更新)。
今年1月以降の許容可能なトランケーション形式は、次の通りです。
| カード番号/BINの長さ | カードブランド | 許容可能なトランケーション形式 |
| 16桁のカード番号
6桁または8桁 |
Discover
JCB Mastercard UnionPay Visa |
少なくとも4桁を削除すること
保存可能な最大桁数:先頭8桁+他の4桁 |
| 15桁のカード番号 | American Express | 少なくとも5桁を削除すること
保存可能な最大桁数:先頭6桁 + 末尾4桁 |
| 15桁未満のカード番号 | Discover | 保持可能な最大桁数:先頭6桁+他の4桁 |
出典:https://www.pcisecuritystandards.org/faqs(FAQ番号1091)
今回の更新により、6桁のBINと8桁のBINとの間におけるトランケーション形式の区別がなくなったことに注意が必要です。まとめると、
- VISA、Mastercard、JCB、Discover、UnionPay(銀聯)は、16桁のカード番号の先頭8桁 + 他の4桁の形式を許容
- American Expressは先頭6桁 + 末尾4桁の形式のみを許容
- 15桁未満のDiscoverは、削除する桁数にかかわらず、すべて先頭6桁 + 他の4桁の形式を許容
同時に、カードブランドでは、これらのトランケーション形式は「許容可能」ではあるが、「必要最小限のデータのみ保持する」という観点から、形式の変更に合わせて直ちに自社のシステムを変更する必要はないとしています。
なお、トランケーション関連のセキュリティ保護については、以下の事項にも注意してください。
- PCI DSSでは、SHAハッシュ方式を同時に使用するシステムでは、先頭6桁 + 末尾4桁を保存する場合、先頭8桁 + 末尾4桁を保存する場合のいずれにおいても注意が必要だとしている。トランケーション形式とSHA形式のデータを同時に保存した時、特に先頭8桁 + 末尾4桁の形式の場合、4桁しか削除されないことになるため、SHA形式で同時に保存すると、正確なカード番号を割り出せてしまう確率がより高くなる。
- 先頭8桁 + 他の4桁のトランケーション形式を使用する場合、MOD-10の公式に適合するのは残り1000件のデータだけである。つまり、この1000件のうち少なくとも1件は真のカード番号ということになる。したがって、カード番号を再現されたり、算出されたりするリスクを下げるため、データベースへのアクセス制御に関しては、より厳しい制御や内容のチェックが必要となる。
参考資料:https://www.pcisecuritystandards.org/faqs
- FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
- FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)
Bryan Cheng
