はじめに

突然なんだよってテーマかと思いますが、一昨日花粉症の薬をもらいに病院行って自動精算機でカード決済したときにちょっと驚きがあったので記事にしておこうと思います。

オートローディング式自動精算機のPIN 入力

さて、こちらが一昨日の自動精算機です。

オートローディングは自走式とも言うもので、要はカードを飲み込んでカード情報（＝IC情報）を読み取りするタイプの端末です。暗証番号（PIN）を入力するPINパッドが右下にあります。

注意書きに「ICチップがない」「暗証番号を忘れた」「分割払いにしたい」場合は窓口で支払いとなる旨記載があります。つまりこの端末は以下なんだなというのが読み取れます。

• ICチップがない
  →磁気テープの読み取りには対応していない（ICリード専用機である）

• 暗証番号を忘れた
  →PINバイパス（PINスキップ）には対応していない

• 分割払いにしたい
  →一括払いにしか対応していない

で、何に驚いたかというと、オートローディング式でPIN入力に対応していると言う点です。これにはPCI PTSと言うセキュリティ基準が関係しています。

PCI SSCとPCI PTS

PCI SSCと言う団体がPCI DSSと言うセキュリティ基準を策定しているという話はちょっとだけ触れたことがあります。

これと同じくPCI SSCはPCI PTSを策定していて、PIN入力端末はこれに準拠する必要があります。

• PCI SSC
  Visa、Mastercard、JCB、AMEX、Discoverの5社からなるカードのセキュリティ基準を決めたり、管理・認定する団体。

• PCI DSS
  カード番号を取り扱うシステムのセキュリティ基準

• PCI PTS
  PIN入力端末（PINパッド）に対するセキュリティ基準

なお、EMVCoはこれに銀聯を加えた6社からなるICカード決済の国際標準仕様を策定している団体で、似てるようで異なる団体です。EMVCoは以下↓

オートローディング式自動精算機のPCI PTS準拠

2020年3月公表版のクレジットカードセキュリティガイドラインに以下の記載があります。

当時、私もセキュリティガイドラインを策定しているセキュリティ対策協議会の検討メンバーで、この課題があることを痛感してました。その後、2021年には海外でオートローディング式でPCI PTSに準拠した端末ができたようだから検討していこう、みたいなところまでは記憶がありました。

そんなこんなで、2024年の現在このような端末に出会えたことに驚きだったわけです。

オムロン社のイージースクエア

と言うわけでオートローディングかつPCI PTS準拠をWebで検索してみると、一番最初にこちらがヒットしました。オムロンの回し者ではありませんが、システム構成図までわかりやすく書いてあるので参考までに貼っておきます。

まとめ

オートローディング式の決済端末というと駅の券売機で定期を買うときや、ガソリンスタンドの給油機なんかもそうですけど、ガソリンスタンドの自動精算機（ガスPOS）でPIN入力はしたことないですよね。実は券売機やガスPOSもまた特殊なルールがある端末なんですが、こんなところにもこれから広がっていくのかなーなんて思う今日この頃でした。