クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
ネット取引の拡大に伴いクレジットカード取引が増加する一方、セキュリティ対策が不十分な加盟店への不正アクセスによる情報漏えいが拡大しています。そうした中、一般社団法人日本クレジット協会を事務局とし、クレジット取引に関わる幅広い事業者及び経済産業省が参画し「クレジット取引セキュリティ対策協議会」が発足。
国際水準のクレジットカード取引のセキュリティ環境を整備を進めるとして2017年3月に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-(以下、実行計画)」が発表されました。これは2018年6月に施行予定の「改正割賦販売法」の内容も踏まえ、2016年2月に策定した「実行計画」をもとに改定が行われたものです。
「実行計画2017」主な改定のポイントと対策はこちら
実行計画は2018年3月1日に実行計画-2018-へ改定されました。
「実行計画2018」改定のポイント【非対面事業者様向け】
実行計画の概要
実行計画の3本柱
実行計画の骨子 |
対応内容 |
対応期限 |
非対面加盟店様 (EC事業者様含む) |
対面加盟店様 |
①カード情報の漏えい対策 |
・加盟店様におけるカード情報の非保持化、またはPCI DSSへの準拠
※改正割販法の施行により対応が義務化 |
2018年
3月末まで |
2020年
3月末まで |
②偽造カードによる不正使用対策 |
・クレジットカードの100%IC化
・決済端末の100%IC化
※改正割販法の施行により対応が義務化 |
ー |
2020年
3月末まで |
③ECにおける不正使用対策 |
・多面的、重層的な不正使用対策の導入
※改正割販法の施行により対応が義務化 |
2018年
3月末まで |
ー |
実行計画の骨子 |
対応内容 |
①カード情報の漏えい対策 |
・加盟店様におけるカード情報の非保持化、またはPCI DSSへの準拠
※改正割販法の施行により対応が義務化 |
②偽造カードによる不正使用対策 |
・クレジットカードの100%IC化
・決済端末の100%IC化
※改正割販法の施行により対応が義務化 |
③ECにおける不正使用対策 |
・多面的、重層的な不正使用対策の導入
※改正割販法の施行により対応が義務化 |
※上記のうち、EC事業者様(加盟店様)での対応が必要なのは ①カード情報の漏えい対策(=「カード情報を盗らせない」こと)と
③ECにおける不正使用対策(=「なりすまし不正使用をさせない」こと)となります。
・カード情報を盗らせないために、EC加盟店様にはカード情報の非保持化※が求められています。
※カード情報の非保持化:EC加盟店様のサーバー自社で保有する機器・ネットワークにおいてカード情報を「保存」「処理」「通過」しないこと。
・カード情報を保持しているか否かは、決済システムの接続方式(カード情報の通過型、非通過型)により異なりますので、ご利用中またはご検討中の決済システムの接続方式が、通過型か非通過型かどちらであるのか確認が必要です。
ソニーペイメントサービスでは、非通過型決済として、トークン決済・リンク型画面決済をご提供しております。
トークン決済の詳細はこちら
EC事業者様(加盟店様)に求められるカード情報漏えい対策
|
カード決済を導入済のEC事業者様(加盟店様) |
これからカード決済を導入予定のEC事業者様(加盟店様) |
通過型 |
2018年3月末までに、非通過型決済への移行
(またはPCI DSSへの準拠)が求められます |
推奨しません
(2018年4月から、引き続きご利用する場合、PCI DSSへの準拠が求められます) |
非通過型 |
対応不要です |
推奨します |
|
カード決済を導入済 |
これからカード決済を導入予定 |
通 過 型 |
2018年3月末までに、非通過型決済への移行
(またはPCI DSSへの準拠)が求められます |
推奨しません
(2018年4月から、引き続きご利用する場合、PCI DSSへの準拠が求められます) |
非 通 過 型 |
対応不要です |
推奨します |
ソニーペイメントサービスでは、非通過型決済として、トークン決済・リンク型画面決済をご提供しております。
トークン決済の詳細はこちら
PCI DSSとは
クレジットカード情報を安全に守るため、VISA、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって共同で策定されたカード情報保護に関する国際基準です。
PCI DSSに準拠するには、安全なネットワークの構築・維持、カード会員データの保護、強固なアクセス制御手法の導入、セキュリティポリシーの整備など12の要件に基づいて約400の要求事項を満たすことが求められます。
PCI DSSに関する詳しい情報として、日本カード情報セキュリティ協議会(JC DSC)がございます。
③ECにおける不正使用対策(なりすまし不正使用をさせない)
2018年3月末までに本人認証技術の導入などの下記のような多面的・重層的な不正使用対策を講じることが求められています。
不正使用対策の代表的な具体例として下記が提示されています。
本人認証
・3Dセキュア:国際ブランドが推進する本人確認手段で、パスワードを入力させることで本人認証を行う
・認証アシストサービス:ソニーペイメントサービス独自の不正使用抑止サービス
セキュリティコード
カードの券面の数字(3~4桁)を入力させることでカードが真正であることを確認する
属性・行動分析
過去の取引情報等を基にリスク評価を行い不正取引を判定する
配送先情報
不正配送先情報の蓄積により商品発送を事前に停止する
ソニーペイメントサービスでは、3Dセキュアに加え、本人確認・認証サービス「認証アシストサービス」を提供しております。
認証アシストサービス
ソニーペイメントサービス独自の本人認証サービス。
購入者がクレジットカード番号と有効期限を入力時に、認証項目(属性情報、セキュリティーコード)も取得し、オーソリと同時にダイレクト接続しているカード会社(大手16社)の保有する会員情報にマッチングをかけることが可能です。
認証項目は、本人であれば必ず知っている本人属性情報のため、悩むことなく入力でき、煩わしさがありません。
認証アシストサービス
認証アシストサービス 導入事例
カード取引におけるセキュリティ対策はソニーペイメントサービスにお問合せください
【ご参考】カード取引の不正使用被害の増加状況
ECにおけるクレジットカード利用の増加に伴い、カード不正使用による被害も増加傾向にあります。
セキュリティ対策が不十分な加盟店を狙った不正アクセスにより、カード情報の漏えいが拡大。これに伴い摂取したカード情報を使った、不正使用被害は、2015年でなんと120億円!約6割はECにおける不正使用に起因しています。
参考