ある程度まとまった額の現金が収められている店頭のレジ。金銭を盗まれるリスクだけでなく、最近はネットワークに接続したPOSレジも普及しているため、内部情報や顧客データが盗まれるリスクもはらんでいます。今回はレジのセキュリティについて、予想されるリスクとその対策を紹介します。
レジに関連するリスク
強盗
キャッシュドロアーの中には、ある程度現金が仕舞われているため、格好のターゲットとなります。
強盗は、客や従業員の少ない深夜に発生する確率が高いようです。スーパーやコンビニエンスストア、飲食店やカラオケ店など、深夜営業を行っている店舗では特に注意が必要です。
参考:コンビニ強盗における犯罪発生状況と防犯施策に関する検討および提案(柴田久、福岡大学)
従業員による窃盗
現金を扱うレジまわりには、部外者による犯行だけでなく従業員による内部犯行のリスクもあります。あまり考えたくありませんが、具体的にはレジの空打ちによる不正な売上金の横領や釣り銭のごまかし、キャッシュドロワー内にある金銭の着服などが挙げられます。
情報の流出
レジのセキュリティに関して、現金被害と並んで大きなリスクとなるのがPOSレジからの情報流出です。最近のPOSレジの多くは、インターネットに接続し、売り上げに関連するさまざまなデータをクラウド上に保存しています。データの中には、お客様の個人情報が含まれる場合があります。セキュリティ対策が万全でないと、これらの顧客情報が外部からインターネットを通じて引き出されてしまう危険があります。
手口としては、マルウェアと呼ばれる悪意のあるプログラムを何らかの方法でPOSレジに仕込む方法がとられます。もしPOSレジ自体がインターネットに接続されていない場合でも、インターネットに接続したパソコンと社内ネットワーク上でつながっていることがあります。インターネットに接続しているパソコンにまず侵入し、そこから社内ネットワークをたどって、POSレジにマルウェアをインストールされてしまう可能性があります。
参考:POS マルウェアとその攻撃の解明(シマンテック公式ブログ)
レジのセキュリティ対策
強盗・侵入窃盗対策
強盗を企てる人間は、事前に客を装って来店し、監視カメラの場所をチェックしたり、店員が手薄になる時間帯を確認したりするなど、店内の下見を行っている可能性があります。そこで、まず下見の時点で自身の店舗がターゲットにならないような対策を行っておく必要があるといえます。防犯カメラを設置したり、警備会社のステッカーを店頭に貼り付けたりしておくことは、セキュリティ意識の高さを示すアピールとなり、抑止効果が望めます。
また、従業員が1人になる時間を作らず、常に複数の人間で店内の様子に気を配ることも効果的な対策といえます。また、積極的な挨拶は防犯につながるといわれています。お客様が来店したタイミングに、相手の目を見てきちんと挨拶を行う習慣を付けておくようにすると、犯罪者をけん制することとなり、被害に合う確率を減らすことができると考えられます。さらに、もしも強盗にあってしまった場合を想定してマニュアルなどを作成し、被害を最小限に抑えられるように従業員全員への教育、訓練を普段から行っておくことも欠かさないようにしましょう。
続いて侵入窃盗についてですが、対策としては、閉店時でも店内に人がいるように装う、防犯性能の高いドアや窓にすることなどが考えられます。閉店時でも店内から明かりが漏れていれば、「店内に誰かいるかもしれない」と思わせる効果があります。また、侵入に5分以上かかる場合は約7割の泥棒が諦めるという調査結果があり、できるだけ入られにくい工夫をすることが大切です。そのほかには、過去に働いていた従業員が当時作った合鍵などを使って閉店後に侵入し、犯行に及ぶリスクも考えられます。従業員が辞めた際には、合鍵を必ず回収すると同時に、できる限りドアのシリンダーや施錠装置の暗証番号を変更しておくとよいでしょう。
参考:侵入窃盗(茨城県警察)
従業員による窃盗への対策
従業員による窃盗は、内部の人間による犯行であるため、見つけること自体が困難なことが多いうえに、疑いがある人間に見当が付いたとしても断定できる証拠を挙げることが難しいものです。そのため、まずは従業員による窃盗が起きない環境づくりが重要な対策となります。開店前のレジ内の釣り銭確認や金銭の授受を行うポイントに向けた監視カメラの設置はもちろん、普段からオーナー自らが従業員と積極的にコミュニケーションをとることで、良好な人間関係や雰囲気づくりも大切です。
また、最近ではPOSレジと連動した自動釣銭機も普及してきています。自動釣銭機の導入は、釣り銭のごまかし被害だけでなく、釣り銭の受け渡しミスの削減にも大きく貢献してくれる一石二鳥の対策となるでしょう。
情報流出への対策
現在のPOSレジは、タブレットなどの持ち運びしやすい端末も利用されていることから、端末が盗まれた際にそのまま情報も盗まれてしまうことのないよう、データを端末に残さず、クラウド上のサーバからデータを引き出して利用するスタイルが多くなっています。また、POSレジからクラウド上のサーバへ情報を送る場合には、基本的にデータが暗号化される仕組みになっており、データが傍受されたとしても暗号化を解除することは困難となっています。このように、システム面での安全対策が厳重にとられてはいますが、扱っている内容は個人情報やクレジットカード情報などの高い機密性を要するものであるため、利用する店舗側でもできる限りの対策をとっておく必要があります。
まず挙げられるのは、POSレジのネットワークを、店舗で使用するパソコンなどのネットワークとは別に設定しておくことです。可能であれば、インターネットの回線自体も専用のものを用意して独立させておくとより安心でしょう。そしてPOSレジそのものはもちろん、店舗内すべてのパソコンにセキュリティソフトを導入し、常に最新の状態を保つようにしてマルウェア対策を徹底するよう心がけましょう。
また、セキュリティ面で安全なPOSレジやクレジットカード端末を選ぶことも大切です。たとえば、Squareなら、クレジットカード業界のセキュリティ基準であるPCI-DSSに準拠しており、POSレジのデータにアクセスする際に二段階認証を設定しておくこともできます。
10月に予定されている消費税率の引き上げに備えて、レジ周辺の大幅な見直しを検討している店舗や企業もあるのではないでしょうか。もし、そのような場合には、実用面だけでなくセキュリティ面においてどのような対策がなされているのかもよくチェックして、安心できる環境づくりを進めるように心がけてください。
関連記事
・大切な情報は自分で守ろう!情報セキュリティを強化するには
・ クレジットカード決済にまつわるセキュリティ強化方法
執筆は2019年2月5日時点の情報を参照しています。
当ウェブサイトからリンクした外部のウェブサイトの内容については、Squareは責任を負いません。
Photography provided by, Unsplash