サイトマップ
サイトマップ
  1. ホーム
  2. オンライン決済をご検討の方へ
  3. クレジットカード決済代行
  4. クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
  5. 「実行計画2018」改定のポイント【非対面事業者様向け】

「実行計画2018」改定のポイント【非対面事業者様向け】

2018年6月1日付 改正割賦販売法の施行により、加盟店様は「クレジットカード番号等の適切な管理」と「クレジットカード番号等の不正使用の防止」が義務となり、セキュリティ対策の実務上の指針として「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画」が位置づけられています。

クレジットカード取引におけるセキュリティ対策強化に向けた実行計画とは?

近年、不正アクセスによるカード情報漏えいが拡大し、それに伴い不正使用による被害も年々増加しています。
こうした中、安全・安心なクレジットカード利用環境を実現するために、クレジット取引セキュリティ協議会は2016年2月に「クレジットカード取引におけるセキュリティ対策強化に向けた実行計画」(以下、実行計画)を策定しました。

実行計画の3本柱

実行計画の3本柱 対応内容
①カード情報の漏えい対策 ・加盟店様におけるカード情報の非保持化、またはPCI DSSへの準拠

改正割賦販売法の施行により

左記対応は法的義務。

②偽造カードによる不正使用対策 ・クレジットカードの100%IC化
・決済端末の100%IC化
③ECにおける不正使用対策 ・多面的、重層的な不正使用対策の導入
実行計画の骨子 対応内容
①カード情報の漏えい対策 ・加盟店様におけるカード情報の非保持化、またはPCI DSSへの準拠 改正割賦販売法の
施行により左記対応は
法的義務。
②偽造カードによる不正使用対策 ・クレジットカードの100%IC化
・決済端末の100%IC化
③ECにおける不正使用対策 ・多面的、重層的な不正使用対策の導入

※上記のうち、EC事業者様(加盟店様)での対応が必要なのは ①カード情報の漏えい対策(=「カード情報を盗らせない」こと)
③ECにおける不正使用対策(=「なりすまし不正使用をさせない」こと)となります。

実行計画は2018年3月1日に実行計画-2018-へ改定されました。
ここでは2018年に改定された実行計画のポイントを非対面加盟店様向けにご紹介します。

①カード情報漏えい対策の改定ポイント

非保持化の定義を改定

カード情報の非保持化とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票、紙媒体をスキャンした画像データ※のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報を『保存』、『処理』、『通過』しないこと」です。

※①紙(クレジット取引伝票、カード番号を記したFAX、申込書、メモ等) ②紙媒体をスキャンしたデータ ③電話での通話(通話データを含む)
※赤文字部分が実行計画2018で改定されたポイントです。

紙や画像データ、音声データのみカード情報を保存する場合は、非保持と同等・相当とみなされて、PCI DSS準拠は求められません。
ただし、紙や画像データから自社で保有する端末・ネットワークを利用してカード情報を入力する場合は、非保持化・またはPCI DSS準拠が必要となります。

非保持と同等・相当と保持とみなされる場合のイメージ図

非保持化を実現した加盟店様における過去のカード情報保護対策

カード情報の非保持化を実現した加盟店様が、対応前に取り扱っていたカード情報の保存についての考え方が追加されました。

非保持化の対応後は、電子帳簿保存法に基づき管理することが加盟店様に求められています。
対応前に取り扱っていた過去のカード情報については、画像データ以外のテキスト形式等で電子帳票として管理する場合、「スタンドアローン環境※」での保管と利用が必須条件となっています。
尚、カード情報ログ等のデータは必ず消去する必要があります。

※スタンドアローン環境とは、他の機器に依存せず単独で動作する環境。

MO・TO加盟店様における非保持化について

MO・TO加盟店様における①非保持化と②非保持と同等/相当を実現するセキュリティ措置が追加されました。

①非保持化

MO・TO加盟店様でカード情報の非保持化を実現するには、カード情報を加盟店様が保有する機器・ネットワークを保存・処理・通過しない「外回り方式」を利用する必要があります。
実行計画2018では、具体的な外回り方式として「タブレット端末を利用した方式」と「決済専用端末を利用した方式」の2種類を挙げています。

■タブレット端末を利用した外回り方式

タブレット端末を利用した外回り方式のイメージ図

※ASPとは、Application Service Providerの略で、ネットワーク経由でアプリケーションサービスを提供するプロバイダです。

■決済専用端末を利用した外回り方式

決済専用端末を利用した外回り方式のイメージ図

ソニーペイメントサービスが提携するリンク社の「Pay TGサービス」が決済専用端末を利用した外回り方式に該当します。

Pay TG端末カード決済

②非保持と同等/相当

実行計画2018では、MO・TO加盟店様でカード情報の非保持と同等/相当を実現する具体的な内回り方式として「PCI P2PE※認定端末を利用した方式」を挙げています。

※P2PEとは、Point-to-Point Encryptionの略。カードを読み取る端末から決済サーバーまでの間を、カード情報を暗号化した状態で処理すること。

■PCI P2PE認定端末を利用した方式

PCI P2PE認定端末を利用した外回り方式のイメージ図

③ECにおける不正使用対策の改定ポイント

不正使用対策における具体的な方策の定義を明確化

実行計画では不正使用対策として以下4つの具体的な方策が挙げられています。

①本人認証

■3Dセキュア

3Dセキュアは、カード会員が事前にカード会社へ登録したパスワード等によりカード利用者の本人認証を行う手法のこと。国際カードブランドが推奨。

3Dセキュアは購入手続き時にカード会社へ事前に登録したパスワードの入力が必要

■認証アシストサービス(当社独自のサービス)

カード会社に登録されている属性情報と照合することで、カード利用者の本人認証を行う手法のこと。本人であれば必ず知っている情報のため、煩わしさがなく、利用者のパスワード失念による機会損失を軽減することができます。

認証アシストサービスはカード会社に登録されている個人属性情報で照合し、本人認証を行います。
②券面認証

カードの券面に印字してある3桁または4桁の数字(セキュリティーコード)で認証を行う手法のこと。カードが手元にあればセキュリティーコードを確認することができるため、パスワードの失念懸念がない。

③属性・行動分析

購入者のデバイス情報やIPアドレスといったWeb上で取得できる情報と、過去の取引状況・頻度等に基づいたリスク評価(スコアリング等)により不正を判定する手法のこと。加盟店様が独自に開発することが難しく、外部サービスの利用が有効。

④配送先情報

過去に不正使用で利用された配送先情報を蓄積し、該当する配送先からの注文は配送を停止する手法のこと。配送先情報の蓄積には時間を要するため、外部のサービス利用が有効。

被害状況に応じた不正使用対策の導入

実行計画で掲げる4つの不正使用対策(本人認証、券面認証、属性行動分析、配送先情報)を加盟店様のリスクや不正使用の発生状況に応じて導入することが求められています。

①全ての加盟店様

全ての加盟店様へ、カード取引に対する善管注意義務の履行とオーソリゼーション処理が求められています。

②高リスク(業種)加盟店様

特定4業種(デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット)に属する加盟店様は、実行計画で掲げる4つの不正使用対策の内1つ以上を導入することが求められています。

③不正顕在化加盟店

継続的に不正使用が発生し一定金額を超えた加盟店様には、実行計画で掲げる4つの不正使用対策の内2つ以上を導入することが求められています。
※2つ以上の不正使用対策を導入しても不正使用による被害が減少しない場合は、追加的な不正使用対策の導入検討が求められます。