会長挨拶
- ホーム >
- 安全・安心なクレジットカード取引への取組 >
- 加盟店(クレジットカードを取り扱うお店)の皆様へ
加盟店(クレジットカードを取り扱うお店)の皆様へ
1.改正割販法(平成30年改正)におけるセキュリティ対策について
平成30年6月1日に施行された割賦販売法では、クレジットカードを取扱う加盟店において、カード番号等の適切な管理や不正利用対策を講じることが義務付けられました。
2.改正割販法とクレジットカード・セキュリティガイドラインとの関係
「割賦販売法(後払分野)に基づく監督の基本方針」において、『クレジットカード・セキュリティガイドライン6.0版』(以下ガイドライン)に掲げられる措置が割賦販売法で義務付けられているクレジットカード番号等の漏えい等の事故及び不正利用を防止するための措置の実務上の指針として位置付けられています。ガイドラインに掲げる措置又はそれと同等以上の措置を適切に講じている場合には、クレジットカード番号等の漏えい等の事故及び不正利用を防止する措置として、割賦販売法に規定するセキュリティ対策に係る法令上の基準となる「必要かつ適切な措置」が講じられているとみなされており、ガイドラインにおいては、同法で規定される措置に該当する部分を【指針対策】としてこれらの措置として記載しております。
なお、割賦販売法においては、【指針対策】が実務指針となっている漏えい等の事故及び不正利用を防止するための措置のみならず、実施するべき措置が義務付けられていることに留意が必要です。
ガイドラインでは以下の主な対策が求められておりますので、ご参照いただき、必要な対策を行っていただきますようお願い申し上げます。
・詳しい記載内容に関しましては、ガイドライン本文をご確認ください。
・また詳細は以下のガイドライン6.0版への改訂ポイントの動画や下記URLの附属文書類もご覧いただきながら、ご契約先のカード会社とご相談ください。
https://www.j-credit.or.jp/security/document/index.html
クレジット取引セキュリティ対策協議会について(6分)
クレジットカード・セキュリティガイドライン【6.0版】改訂ポイント (28分)
附属文書における注意事項や問い合わせの多い項目について (13分)
※下記ページの動画と同じ内容です
https://www.j-credit.or.jp/security/document/index.html
Ⅰ.クレジットカード情報保護対策分野
企業や個人を狙ったマルウェア及び標的型攻撃による個人情報やカード情報の窃取、さらにはECサイトの脆弱性やフィッシングによるカード会員からの窃取、そしてそれらの窃取したカード情報を利用した不正利用は国内に甚大な被害をもたらしています。これらは、不正を働いている犯罪者の大きな資金源になっているとも言われており、犯罪防止の観点からも関係事業者が責任を持って適切なカード情報の管理を行うことが求められます。
カード情報の漏えいは主に加盟店において発生していることから、カード情報を加盟店で保持しないこと(非保持化)が有効なセキュリティ対策と考えられてきましたが、最近の漏えい事故の傾向として、非保持化を実現したEC加盟店であってもWebサイトの脆弱性等を原因としたカード情報の窃取が発生しています。このため、EC加盟店には、カード情報の保持又は非保持にかかわらず、EC加盟店の自社システム及びWebサイトの定期的な点検を行い、この点検結果に基づき、追加的な対策を導入するなどの適切な対策を講じることが求められます。
〈ガイドラインにおいて加盟店に対応が求められる【指針対策】(クレジットカード情報保護対策分野)〉
★=セキュリティガイドライン6.0版(2025年3月4日改訂)での追加・変更事項
| 対面取引(クレジットカードをお店の端末で読み込む取引) |
ガイドライン26頁 自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。 |
|---|---|
| 非対面取引(実際のカードの提示を受けずインターネットや電話などでカード情報の通知を受ける取引) |
○EC加盟店 ガイドライン32頁 自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。 ○MO・TO取引取扱加盟店 ガイドライン41頁 自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。 |
-
対面取引
(クレジットカードをお店の端末で読み込む取引)-
ガイドライン26頁
指針対策自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。
・加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合はPCI DSSに準拠する。
(PCI DSSの準拠方法等詳細は「日本カード情報セキュリティ協議会(JCDSC)のHPをご参照ください)
-
ガイドライン26頁
-
非対面取引
(クレジットカードをお店の端末で読み込む取引)-
○EC加盟店 ガイドライン32頁
指針対策自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。
・カード情報を保持しない非保持化、又はカード情報を保持する場合は PCI DSS に準拠する。
・EC 加盟店のシステム及び Web サイトの「脆弱性対策」を講じる。★
さらに、自社のシステムやWebサイトからのカード情報の窃取を防ぐため、システムやWebサイトの「脆弱性対策」が必要です。 -
○MO・TO取引取扱加盟店 ガイドライン41頁
指針対策自社で保有する機器・ネットワークにおいてカード情報の「保存」「処理」「通過」が行われないようにする、もしくは「PCI DSS」というデータセキュリティの国際基準に準拠する必要があります。
・カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持す る場合は PCI DSS に準拠する。
-
○EC加盟店 ガイドライン32頁
Ⅱ.不正利用対策分野
〇対面取引
対面取引の不正利用対策については加盟店の決済端末のIC対応、カードのIC化が普及、定着し、偽造カードによる不正利用被害は減少傾向が続いていることから、現時点においても対面取引の不正利用対策としてはIC取引が最も効果的な対策です。
〇非対面取引
2024年のクレジットカード不正利用被害額は約555億円にのぼり、そのうちの約9割をEC加盟店等において「いずれかで窃取されたカード情報等を当該カードの会員本人になりすまして利用し商品等を購入する『なりすまし』」による不正利用による被害が占めています。
EC加盟店における不正利用は、カード決済のタイミングだけではなく、顧客がEC加盟店のWebサイトの利用を開始してから商品の受け渡しが完了するまでの間に様々な手口により行われています。このため、クレジットカード取引の流れを「線」として捉え、その線上の各タイミングにおいて適切な不正利用対策を講じることが、不正利用防止の実効性を高めることとなります。ガイドラインでは、これを「線の考え方」(ガイドライン9頁参照)に基づく対策の導入とし、EC加盟店の不正利用対策の基本的な考え方としております。
〇対面取引
対面取引の不正利用対策については加盟店の決済端末のIC対応、カードのIC化が普及、定着し、偽造カードによる不正利用被害は減少傾向が続いていることから、現時点においても対面取引の不正利用対策としてはIC取引が最も効果的な対策です。
〇非対面取引
2024年のクレジットカード不正利用被害額は約555億円にのぼり、そのうちの約9割をEC加盟店等において「いずれかで窃取されたカード情報等を当該カードの会員本人になりすまして利用し商品等を購入する『なりすまし』」による不正利用による被害が占めています。
EC加盟店における不正利用は、カード決済のタイミングだけではなく、顧客がEC加盟店のWebサイトの利用を開始してから商品の受け渡しが完了するまでの間に様々な手口により行われています。このため、クレジットカード取引の流れを「線」として捉え、その線上の各タイミングにおいて適切な不正利用対策を講じることが、不正利用防止の実効性を高めることとなります。ガイドラインでは、これを「線の考え方」(ガイドライン9頁参照)に基づく対策の導入とし、EC加盟店の不正利用対策の基本的な考え方としております。
〈ガイドラインにおいて加盟店に対応が求められる【指針対策】(不正利用対策分野)〉
★=セキュリティガイドライン6.0版(2025年3月4日改訂)での追加・変更事項
| 対面取引(クレジットカードをお店の端末で読み込む取引) |
ガイドライン28頁 |
|---|---|
| 非対面取引(実際のカードの提示を受けずインターネットや電話などでカード情報の通知を受ける取引) |
○EC加盟店 ガイドライン36頁 「EMV 3-Dセキュア」はワンタイムパスワードの入力要求等により、カード会社(イシュアー)による本人確認が適切に行われる措置であり、「なりすまし」の不正利用を防止する「決済時」の対策です。
不正顕在化加盟店(※)は上記に加えて以下の対策が必要となります。 (※)カード会社(アクワイアラー)が把握する不正利用金額が「3か月連続50万円超」に該当する加盟店 ガイドライン5.0版までの「4方策」の考え方は終了しました。 類似の不正利用の発生を防止する(再発防止)ために、不正利用の発生状況や取扱商品、スキームによって異なる不正利用の手口に応じて、「適切な対策の追加導入」等を行っていただくこととなります。
○MO・TO取引取扱加盟店 ガイドライン43頁 ガイドライン5.0版までの「4方策」の考え方は終了しました。 |
-
対面取引
(クレジットカードをお店の端末で読み込む取引)-
ガイドライン28頁
-
指針対策
クレジットカード決済におけるPOSシステムの活用の有無に関わらず、クレジットカードに搭載されているICチップを読み込める決済端末を設置する必要があります。-
非対面取引
(実際のカードの提示を受けずインターネットや電話などでカード情報の通知を受ける取引)-
○EC加盟店 ガイドライン36頁
-
指針対策 ・オーソリゼーション処理の体制整備、加盟店契約上の善良なる管理者の注意義務の履行「適切な不正ログイン対策」は、EC加盟店ごとに、取扱商品やスキーム等により、不正利用の手口が異なることから、不正利用発生のリスクに応じて、「決済前」のそれぞれの場面を考慮した適切な対策を導入する必要があります。
・適切な不正ログイン対策、EMV 3-Dセキュアの導入★
「EMV 3-Dセキュア」はワンタイムパスワードの入力要求等により、カード会社(イシュアー)による本人確認が適切に行われる措置であり、「なりすまし」の不正利用を防止する「決済時」の対策です。
不正顕在化加盟店(※)は上記に加えて以下の対策が必要となります。指針対策 ・類似の不正利用の発生を防止するために、不正利用の発生状況に応じて適切な対策を追加導入する★(※)カード会社(アクワイアラー)が把握する不正利用金額が「3か月連続50万円超」に該当する加盟店
ガイドライン5.0版までの「4方策」の考え方は終了しました。
類似の不正利用の発生を防止する(再発防止)ために、不正利用の発生状況や取扱商品、スキームによって異なる不正利用の手口に応じて、「適切な対策の追加導入」等を行っていただくこととなります。
○MO・TO取引取扱加盟店 ガイドライン43頁-
指針対策 ・オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じた非対面不正利用対策を導入する。★ガイドライン5.0版までの「4方策」の考え方は終了しました。
「MO・TO取引の流れ」を考慮し、取扱商品やスキーム、不正利用被害状況のリスクに応じた適切な対策を導入する必要があります。
-
-
-
○EC加盟店 ガイドライン36頁
-
-
-
ガイドライン28頁
3.その他 注意事項
PINバイパスについて
PINバイパスとは、決済端末の接触ICの取引きにおいて、決済端末にてPIN入力の表示がされているが、カード会員の利用時におけるPIN失念により、やむを得ずPIN入力をスキップする方法をいいます。
PIN入力の表示が端末に表示されない場合は、そのまま次の決済端末上の処理を実行してもPINバイパスにはあたりません。
PINバイパスの廃止とは
目的:
盗難紛失カードの悪用防止。不正リスクに対する加盟店リスクの抑止。
対応:
決済端末の接触ICの取引きにおいて、決済端末にてPIN入力の表示がされているにも拘わらず、PIN入力をスキップする運用を停止するもの
なおPINバイパスの廃止は盗難紛失カードの悪用防止のためにPIN入力による利用以外を停止するものですが、視覚障害等によりPIN入力が困難であるカード会員に対しては、「障害者差別差別解消法」の主旨に則り、必要かつ合理的なは配慮を行わなければならない点にご留意下さい。
また、日本クレジット協会では、安全・安心なIC取引を行うために、暗証番号の入力が必要であることを認識していただくためのデザインを作成し、クレジット業界全体で周知・啓発活動を行っております。
本デザインにつきましては、使用基準をご参照いただき、ご活用くださいますようお願いいたします。
https://www.j-credit.or.jp/security/logo/index.html
