「実行計画2017」主な改定のポイントと対策

世界基準の安心・安全なセキュリティ環境の実現に向けて、クレジット取引セキュリティ対策協議会は「実行計画※2017」を策定しました。
これは2016年2月に公表された「実行計画2016」の進捗状況や割賦販売法の改正などを踏まえて改定したものです。ここでは改定のポイントをご紹介します。

※実行計画:クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画

「実行計画2017」主な改定のポイント

  • ①実行計画2016の内容・解釈において分かりにくいものを明確化(非保持化、カード番号とはみなさないもの)
  • ②メールオーダー、テレフォンオーダー(電話、FAX、ハガキでの注文)等EC以外の非対面取引におけるカード情報保護について新たに定義
  • ③改正割賦販売法(2018年6月施行)によるセキュリティ対策の義務化

①実行計画2016の内容・解釈において分かりにくいものを明確化(非保持化、カード番号とはみなさないもの)

内容・解釈において分かりにくかった「カード情報の非保持化」の定義を具体化し、「カード番号」についても細かく定義されました。

カード情報の非保持化とは

カード情報の非保持化とは、カード情報を電磁的に送受信しないこと、具体的には「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』『処理』『通過』しないこと」を指します。
実行計画2016では、「自社のサーバにおいて「カード情報」を『保存』『処理』『通過』しないこと」と定義されていましたが、自社のサーバという表現から自社で保有する機器・ネットワークという表現へ変更され、対象範囲が広がりました。加盟店の保有するIT機器全てにおいてカード情報を保存・処理・通過しないことが求められています。

カード番号とはみなさないもの

カード番号とはみなさないものとして、窃取されても”無価値“なものと定義されました。
例として、「トークナイゼーション」「トランケーション」が挙げられています。

・トークナイゼーションとは
自社システムの外で不可逆な番号等に置き換え、自社システム内ではクレジットカード番号を特定できないもの

・トランケーションとは
自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし、自社内では特定できないもの

トークナイゼーションとトランケーションは共に自社内でカード番号が特定できないものが条件となっております。例えトークナイゼーションを利用していたとしても自社内で可逆的(カード番号に戻せる)であれば、カード情報を保持しているとみなされ、PCI DSS準拠が求められます。

②メールオーダー、テレフォンオーダー(電話、FAX、ハガキでの注文)等EC以外の非対面取引におけるカード情報保護について新たに定義

非対面加盟店におけるカード情報の非保持化について、紙媒体のまま保存する場合は非保持とされ、電磁的情報として自社で保有する機器・ネットワークにおいて『保存』『処理』『通過』する場合は、保持とみなされPCI DSS準拠を求められます。

例えば、ハガキでの注文やFAX、申込書を受領している事業者様の場合、紙面に記載のあるカード情報を自社ネットワークに接続された機器へ入力するケースや、テレフォンオーダーで受注オペレーターが電話で聴き取ったカード情報を自社端末で管理システムへ入力ケするケース等では、自社で保有する機器・ネットワークをカード情報が『処理』『通過』されているため、カード情報を保持しているとみなされPCI DSS準拠が求められます。

このような事業者様では、業務受託のサービス(専用端末・ネットワーク、IVRサービス等)を導入することで非保持化を実現することができます。

業務受託サービス(専用端末・ネットワーク、IVRサービス等)の詳細につきましてはこちらからお問い合わせください。

③改正割賦販売法(2018年6月施行)によるセキュリティ対策の義務化

2018年6月施行の改正割賦販売法によりEC事業者様(加盟店様)におけるセキュリティ対策が義務になりました。その義務化に向けて計画的な対策を進めるため、実行計画における対応期限に変更はありません。
従って、改正割販法での対応期限は踏まえながらも、実行計画上の対応期限までに対応が求められています。

改正割賦販売法における義務化と実行計画

実行計画の骨子 対応期限
カード情報の漏えい対策 ・EC事業者様(加盟店様)における原則「カード情報の非保持化」または「PCI DSS※準拠 2018年
3月末まで
偽造カードによる不正使用対策 ・クレジットカードの100%IC化
・決済端末の100%IC化
2020年3月末まで
ECにおける不正使用対策 ・多面的、重層的な不正使用対策の導入 2018年
3月末まで
改正割賦販売法 対応期限
・EC事業者様(加盟店様)における原則「カード情報の非保持化」または「PCI DSS※準拠」が義務化 2018年
5月末まで
・不正使用対策の導入が義務化
改正割賦販売法 対応期限
カード情報の漏えい対策 ・EC事業者様(加盟店様)における原則「カード情報の非保持化」または「PCI DSS※準拠」が義務化 2018年
5月末まで
偽造カードによる不正使用対策
ECにおける不正使用対策 ・不正使用対策の導入が義務化

※PCI DSS:クレジットカード情報を安全に守るため、VISA、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって共同で策定されたカード情報保護に関する国際基準です。

EC事業者様(加盟店様)において義務化されるセキュリティ対策は、「カード情報の非保持化」(またはPCI DSS準拠)「不正使用対策の導入」です。それぞれのソリューションをご紹介いたします。

カード情報漏えい対策

PCI DSS準拠の要件は、カード情報の取扱い形態や規模により異なりますが、多くの費用と時間を費やす必要があるため、ソニーペイメントサービスでは「カード情報の非保持化」をおすすめしております。

カード情報の非保持化ソリューション

カード情報の非保持化とは、自社で保有する機器・ネットワークにおいて「カード情報」を『保存』『処理』『通過』しないことと定義されています。

非保持化の定義 現状 対応策
カード情報を保存しない カード情報を会員IDと紐付けて自社の機器に保存等を行っている カード情報お預かりサービス
カード情報を処理・通過しない カード情報が通過するモジュール型等の決済システムを利用している トークン決済、リンク型画面決済等の非通過型決済サービス
カード情報を『保存』しないためには
保存しているケースとして会員登録があります。事業者様が発行する会員IDとカード情報を紐付けて自社の機器に保存しているケースでは、決済代行会社が提供するカード情報お預かりサービスを利用することで非保存化できます。
カード情報お預かりサービスの詳細はこちら
事業者様はカード情報を保存することなく会員IDでのリピート購入が可能となり、かつ漏えいリスクも低減することができます。
カード情報を『処理』『通過』しないためには
決済代行会社が提供するトークン決済やリンク型画面決済などの非通過型決済サービスを導入することで実現できます。
トークン決済の詳細はこちら
非通過型決済サービスのデモページはこちら

不正使用対策ソリューション

改正割賦販売法により下記のような不正使用対策の導入が義務となりました。

■本人認証
  • 3Dセキュア:国際ブランドが推進する本人確認手段で、パスワードを入力させることで本人認証を行います。
  • 認証アシストサービス:ソニーペイメントサービス独自の不正使用抑止サービスで、オーソリと同時にカード会社に登録している本人属性情報と照合をすることができます。
■券面認証(セキュリティコード)
  • カードの券面の数字(3~4桁)を入力させることでカードが真正であることを確認します。
  • ※カード番号とともにセキュリティコードも窃取される事例が確認されているため、他の方策と併用することを推奨します。
■属性・行動分析
過去の取引情報等を基にリスク評価を行い不正取引を判定します。
■配送先情報
不正配送先情報の蓄積により商品発送を事前に停止します。

カード情報非保持化の注意点

カード情報の非保持化には、現行においてカード番号(ログも含めて)を保持していないかを必ず確認してください。
カード情報漏えいが起きてしまった事業者様の中には、非保持と認識していながら実際にはカード情報を保持していた先が多いです。
セキュリティ対策の対応期限は迫っております。
ソニーペイメントサービスでは事業者様の商材・課金形態・運用フロー等、ご状況に合わせた様々な対策ソリューションをご提案いたします。
まずは、お気軽にお問い合わせください。

セキュリティ対策に関するお問い合わせはこちら