クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画

EC事業者様に求められる、セキュリティ対策とは?

ネット取引の拡大に伴いクレジットカード取引が増加する一方、不正アクセスによりセキュリティ対策が不十分な加盟店での情報漏えいが拡大しています。そうした中、一般社団法人日本クレジット協会を事務局とし、クレジット取引に関わる幅広い事業者及び経済産業省が参画し「クレジット取引セキュリティ対策協議会」が発足。国際水準のクレジットカード取引のセキュリティ環境を整備するための具体的な「実行計画」※が発表されました。

∗「実行計画」:クレジットカードにおけるセキュリティ対策の強化に向けた実行計画-2016-

実行計画の概要

実行計画の3本柱

実行計画の骨子 対応内容 対応期限
EC加盟店様 対面加盟店様
①カード情報の漏えい対策 ・加盟店様におけるカード情報の非保持化*
・カード情報を保持する事業者様(加盟店様)のPCI DSS準拠
2018年
3月末まで
2020年
3月末まで
②偽造カードによる不正使用対策 ・クレジットカードの100%IC化
・決済端末の100%IC化
2020年
3月末まで
③ECにおける不正使用対策 ・多面的、重層的な不正使用対策の導入 2018年
3月末まで
実行計画の骨子 対応内容
①カード情報の漏えい対策 ・加盟店様におけるカード情報の非保持化
・カード情報を保持する事業者様(加盟店様)のPCI DSS準拠
②偽造カードによる不正使用対策 ・クレジットカードの100%IC化
・決済端末の100%IC化
③ECにおける不正使用対策 ・多面的、重層的な不正使用対策の導入

∗カード情報の非保持化:EC事業者様(加盟店様)のサーバーにおいてカード情報を「保存」「処理」「通過」しないこと。

※上記のうち、EC事業者様(加盟店様)での対応が必要なのは ①カード情報の漏えい対策(=「カード情報を盗らせない」こと)
③ECにおける不正使用対策(=「なりすまし不正使用をさせない」こと)となります。

①カード情報漏えい対策(カード情報を盗らせない)

・カード情報を盗らせないために、EC事業者様(加盟店様)にはカード情報の非保持・非通過が求められています。
・カード情報を保持しているか否かは、決済システムの接続方式(カード情報の通過型、非通過型)により異なりますので、ご利用中またはご検討中の決済システムの接続方式が、通過型非通過型かどちらであるのか確認が必要となります。

  • クレジットカード情報通過型
  • クレジットカード情報非通過型

EC事業者様(加盟店様)に求められるセキュリティ対策

カード決済を導入済のEC事業者様(加盟店様) これからカード決済を導入予定のEC事業者様(加盟店様)
通過型 2018年3月末までに、非通過型決済への移行
(またはPCI DSSへの準拠)が求められます
非推奨
(2018年4月から、引き続きご利用する場合、PCI DSSへの準拠が求められます)
非通過型 対応不要です 推奨します
カード決済を導入済 これからカード決済を導入予定


2018年3月末までに、非通過型決済への移行
(またはPCI DSSへの準拠)が求められます
非推奨
(2018年4月から、引き続きご利用する場合、PCI DSSへの準拠が求められます)



対応不要です 推奨します

EC事業者様(加盟店様)におかれましては、現在のご状況(カード決済導入済かこれから導入予定、接続方式がカード情報通過型か、非通過型か)をご確認ください。
ソニーペイメントサービスでは、カード情報の非通過型決済ソリューションとして「トークン型決済」「リンク型決済」をご提供しております。

PCI DSSとは

クレジットカード情報を安全に守るため、VISA、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって共同で策定されたカード情報保護に関する国際基準です。
PCI DSSに準拠するには、安全なネットワークの構築・維持、カード会員データの保護、強固なアクセス制御手法の導入、セキュリティポリシーの整備など12の要件に基づいて約400の要求事項を満たすことが求められます。

③ECにおける不正使用対策(なりすまし不正使用をさせない)

2018年3月末までに本人認証技術の導入などの下記のような多面的・重層的な不正使用対策を講じることが求められています。

不正使用対策の代表的な具体例として下記が提示されています。

本人認証

 ・3Dセキュア:国際ブランドが推進する本人確認手段で、パスワードを入力させることで本人認証を行う
 ・認証アシストサービス:ソニーペイメントサービス独自の不正使用抑止サービス

セキュリティコード

カードの券面の数字(3~4桁)を入力させることでカードが真正であることを確認する

属性・行動分析

過去の取引情報等を基にリスク評価を行い不正取引を判定する

配送先情報

不正配送先情報の蓄積により商品発送を事前に停止する


ソニーペイメントサービスでは、3Dセキュアに加え、本人確認・認証サービス「認証アシストサービス」を提供しております。

認証アシストサービス

ソニーペイメントサービス独自のクレジットカード決済不正使用抑止サービス。
購入者がクレジットカード番号と有効期限を入力時に、認証項目(属性情報、セキュリティーコード)も取得し、オーソリと同時にダイレクト接続しているカード会社(大手16社)の保有する会員情報にマッチングをかけることが可能です。
認証項目は、本人であれば必ず知っている本人属性情報のため、悩むことなく入力でき、煩わしさがありません。

フロー図:認証アシストサービス

認証アシストサービス

認証アシストサービス 導入事例

カード取引におけるセキュリティ対策はソニーペイメントサービスにお問合せください

【ご参考】カード取引の不正使用被害の増加状況

ECにおけるクレジットカード利用の増加に伴い、カード不正使用による被害も増加傾向にあります。
セキュリティ対策が不十分な加盟店を狙った不正アクセスにより、カード情報の漏えいが拡大。これに伴い摂取したカード情報を使った、不正使用被害は、2015年でなんと120億円約6割はECにおける不正使用に起因しています。

クレジットカード不正使用被害額は2015年には120億円になり3年間で1.8倍に増加しています。

参考