2019年10月の消費税増税で、キャッシュレス決済に対する還元施策（※1）が行われる等、官民挙げてキャッシュレス決済の推進する機運が高まっています。日常的に、現金を使わずに、交通系ICカード、プリペイドカード、QRコード、バーコード、クレジットカード等を利用して支払うキャッシュレス決済を見かける機会が増えました。スマートフォン決済等、キャッシュレス決済は政府の意向もあり増加しており、経済産業省も「キャッシュレス・ビジョン（※2）」で、キャッシュレス比率を2025年までに40％にする目標を掲げています。
一方、2017年のデータでは、キャッシュレス決済の利用率は、21.3％（※3）にとどまっています。

図1：キャッシュレス支払額と民間最終消費支出に占める比率
【出典】一般社団法人キャッシュレス推進協議会「キャッシュレス・ロードマップ 2019」（※3）

日本におけるキャッシュレス決済の普及の妨げとなっている理由には、現金を持ち歩ける「治安の良さ」や「現金に対する高い信頼」、「現金の入手が容易」といった日本独自の社会情勢が背景にあります（※2）。 加えて消費者側の不安としては、表1のような理由が挙げられています。

表1：キャッシュレス社会に反対の理由

【出典】経済産業省「キャッシュレス・ビジョン」（※2）一部NTTデータにて再編集

「キャッシュレス支払いにまつわる各種不安」が解決されれば、利用者が安心してキャッシュレス決済を利用できるだけでなく、普及が進めば店舗側でも、レジ締め等の現金取り扱いに関する労力を削減することが見込まれます。

では、システム提供側として、消費者の「キャッシュレスにまつわる各種不安」を解消するために何ができるでしょうか。それには「店舗のキャッシュレス決済システムをセキュア」に構築し、信頼を得る必要があります。

ペイメントカード向けアプリケーションの第三者認証としてPA-DSSが有名ですが、2021年をめどに次世代の基準、PCI SSCの最新ソフトウェア基準である「Software Security Framework」に切り替わります。

Software Security Framework（以下、SSF）（※4）とは、PA-DSS（※5）の後継となるペイメントアプリケーションに係るセキュリティ基準の枠組みであり、「Secure Software Standard（以下、SSS）（※6）」と「Secure Software Lifecycle Standard（以下、SLC）（※7）」で構成されています。前者はペイメントアプリケーション自体のセキュリティ要件、後者は開発ベンダのセキュリティ要件を示しており、それぞれ個別に認証を取得することが可能です。

SSFでは、モバイルアプリケーションやSaaSアプリケーション等、PA-DSSより幅の広いアプリケーションを対象としています。また、保護対象となるデータもトークンやキーマテリアル、内部認証情報等保護が必要なあらゆるデータが対象となっています。

表2：PA-DSSとSSFの比較

SSFの主な特徴として、「Agile等の新しい開発手法への対応」挙げられます。PA-DSSでは認証取得後にアプリケーションを更新する際には、評価機関による検証を再度受ける必要があり、Agile等の短期間でのリリースを繰り返す開発手法の利点を打ち消してしまうという課題がありました。一方で、SSFではアプリケーション（SSS認証済み）を更新する際には、開発ベンダ（SLC認証済み）自身で再検証を実施することができます。そのため、Agile等の新しい開発手法による短期間でのリリースとSSF認証取得によるアプリケーションのセキュリティ品質担保を両立することができると考えられます。

今後の予定（※8）としては、PA-DSS認証申請は2021年6月末で廃止（認証の有効期限は2022年10月末）され、それ以降はSSFがPA-DSSに取って代わるセキュリティ基準となります。

図2：PA-DSSからSSFへの移行スケジュール

以上より、SSFはPA-DSSに比べ、「様々なアプリケーション」を「よりセキュア」に構築するための枠組みと言えます。

2020年オリンピック・パラリンピック東京大会開催による訪日インバウンド旅行者の大幅増加で、キャッシュレス決済は更なる普及が期待されています。
消費者の「キャッシュレス支払いにまつわる各種不安」を解決し、安心してキャッシュレス決済が利用されるようにするためには、システム提供側として、「店舗のキャッシュレス決済システムをセキュア」に構築する必要があります。SSFの第三者認証要件を満たすことは、「様々なアプリケーション」を「よりセキュア」に構築することにつながり、引いてはキャッシュレス決済の利用拡大に寄与するものと考えます。