加盟店(クレジットカードを取り扱うお店)の皆様へ
1.割賦販売法改正に伴うセキュリティ対策の取組についてのお知らせ
平成30年6月1日に施行された割賦販売法では、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正利用対策を講じることが義務付けられました。
2.クレジット取引セキュリティ対策協議会における対策
本ガイドラインは、「割賦販売法(後払分野)に基づく監督の基本方針」において割賦販売法で 義務付けられているカード番号等の適切な管理及び不正利用防止措置の実務上の指針として位置付 けられるものであり、本ガイドラインに掲げる措置又はそれと同等以上の措置を適切に講じている 場合には、セキュリティ対策に係る法令上の基準となる「必要かつ適切な措置」を満たしていると 認められています。 本ガイドラインにおいては、同法で規定される措置に該当する部分を【指針対策】と記載しています。
クレジットカード・セキュリティガイドラインに関してはこちらをご参照ください。
ガイドラインでは以下の主な対策が求められておりますので、ご参照いただき、必要な対策を行っていただきますようお願い申し上げます。
※詳しい記載内容に関しましては、ガイドライン本文をご確認下さい。
Ⅰ.クレジットカード情報保護対策分野
主体者 |
主な対策 |
ガイドライン該当頁 |
加盟店 |
【指針対策】
- ■
- 加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合はPCI DSSに準拠する。
加盟店、特に非対面加盟店のうちEC加盟店では、ECサイトの脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の基本的なセキュリティ対策の不備を原因としたカード情報の漏えい事案が発生している。これらの対策はカード情報の保持又は非保持にかかわらず必要なものであることから、全てのEC加盟店は、新規加盟店契約の申込み前に自らセキュリティ対策を実施し、契約申込みの際にアクワイアラー又はPSPにその実施状況を申告し、アクワイアラーと加盟店契約を締結することが求められる。(試行)※
その他、カード情報の窃取を企図する者の最新の攻撃手口等の情報を踏まえ、不断に自社のセキュリティ対策の改善・強化を図る。
- ※
- 「クレジットカード決済システムのセキュリティ対策強化検討会報告書」(2023年1月20日)において、EC加盟店の漏えい対策の強化のための当面の対応として、EC加盟店のシステム、ECサイト自体の脆弱性対策(システム上の設定の不備への対策(PW管理等)、脆弱性診断・対策、ウイルス対策等)の基本的なセキュリティ対策を必須とすることを2024年度末までに本ガイドラインに追記することが求められている。
|
14頁 |
-
加盟店
-
【指針対策】
- ■加盟店は、カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合はPCI DSSに準拠する。
加盟店、特に非対面加盟店のうちEC加盟店では、ECサイトの脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の基本的なセキュリティ対策の不備を原因としたカード情報の漏えい事案が発生している。これらの対策はカード情報の保持又は非保持にかかわらず必要なものであることから、全てのEC加盟店は、新規加盟店契約の申込み前に自らセキュリティ対策を実施し、契約申込みの際にアクワイアラー又は PSP にその実施状況を申告し、アクワイアラーと加盟店契約を締結することが求められる。(試行)※
その他、カード情報の窃取を企図する者の最新の攻撃手口等の情報を踏まえ、不断に自社のセキュリティ対策の改善・強化を図る。
- ※「クレジットカード決済システムのセキュリティ対策強化検討会報告書」(2023年1月20日)において、EC加盟店の漏えい対策の強化のための当面の対応として、EC加盟店のシステム、ECサイト自体の脆弱性対策(システム上の設定の不備への対策(PW 管理等)、脆弱性診断・対策、ウイルス対策等)の基本的なセキュリティ対策を必須とすることを 2024年度末までに本ガイドラインに追記することが求められている。
-
ガイドライン該当頁:14頁
Ⅱ.不正利用対策分野
(A)対面取引におけるクレジットカードの不正利用対策
主体者 |
主な対策 |
ガイドライン該当頁 |
加盟店 |
【指針対策】
- ■
- 加盟店はIC取引を可能とするため設置する決済端末の全てをIC対応にする。
|
28頁 |
(A)対面取引におけるクレジットカードの不正利用対策
-
加盟店
-
【指針対策】
- ■加盟店はIC取引を可能とするため設置する決済端末の全てをIC対応にする。
ガイドライン該当頁:28頁
(B)非対面取引(EC、メールオーダー・テレフォンオーダー)におけるクレジットカードの不正利用対策
主体者 |
主な対策 |
ガイドライン該当頁 |
加盟店 |
【指針対策】
- ■
- オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じた非対面不正利用対策を導入する。※1
- ■
- 上記に加え、後述する「高リスク商材取扱加盟店」は、本ガイドラインが掲げる4つの方策の内1 方策以上、「不正顕在化加盟店」は2方策以上の導入が必要となる。
EC加盟店における非対面不正利用被害が増加している現状を踏まえ、2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュアの導入を求めることとする。
- ■
- 原則、全てのEC加盟店は2025年3月末までにEMV 3-Dセキュアの導入を計画的に進めることが求められる。
- ■
- 「不正顕在化加盟店」は既に不正利用が発生し被害が生じている加盟店であることから、早期にEMV 3-Dセキュアを導入することが求められる。
|
38頁 40頁 |
(B)非対面取引(EC、メールオーダー・テレフォンオーダー)におけるクレジットカードの不正利用対策
-
加盟店
-
【指針対策】
- ■オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じた非対面不正利用対策を導入する。※1
- ■上記に加え、後述する「高リスク商材取扱加盟店」は、本ガイドラインが掲げる4つの方策の内1方策以上、「不正顕在化加盟店」は2方策以上の導入が必要となる。
EC加盟店における非対面不正利用被害が増加している現状を踏まえ、2025年3月末までに、原則、全てのEC加盟店にEMV 3-Dセキュアの導入を求めることとする。
- ■原則、全てのEC加盟店は 2025年3月末までにEMV 3-Dセキュアの導入を計画的に進めることが求められる。
- ■「不正顕在化加盟店」は既に不正利用が発生し被害が生じている加盟店であることから、早期にEMV 3-Dセキュアを導入することが求められる。
ガイドライン該当頁:38頁、40頁
- ※1 リスクやクレジットカードの不正利用の被害状況等に応じた方策を導入すること。
区分 |
定義 |
対策 |
全ての非対面加盟店 |
全ての非対面加盟店 |
カード取引に対する善管注意義務の履行、オーソリゼーション処理 |
高リスク商材取扱加盟店 |
ガイドラインで定める5つの商材※2 を主たる商材として取り扱う加盟店 |
ガイドラインの掲げる非対面不正利用対策の4方策※3 のうち、1方策以上の導入 |
不正顕在化加盟店 |
継続的に一定金額を超えた不正利用被害※4 が発生している加盟店 |
ガイドラインの掲げる非対面不正利用対策の4方策※3 のうち、2方策以上※5 の導入 |
- ※2 デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービス
- ※3 クレジットカード・セキュリティガイドラインが掲げる非対面の不正利用対策の4方策
- ※4 カード会社(アクワイアラー)各社が把握する不正利用金額が「3ヵ月連続50万円超」
- ※5 4方策のうち2方策以上を導入していても不正利用被害が減少せず、引き続き、「不正顕在化加盟店」と認識されるEC加盟店は、カード会社(アクワイアラー)やPSPから不正利用の発生状況等の情報共有を受け、自社で発生する不正利用防止に実効的な方策を追加で導入する必要がある。
方策 |
特徴 |
1) 本人認証
| a)EMV 3-Dセキュア |
- ・
- カード会員のデバイス情報等を用いて不正利用のリスク判断を行うと共に、必要に応じてパスワード入力を要求することで当該取引における安全性を確保する
|
b) 認証アシスト |
- ・
- 取引時の属性情報とカード会社(イシュアー)の登録属性情報を照合し本人を確認
- ・
- カード会員のパスワード失念等の懸念がない
|
2) 券面認証 (セキュリティコード) |
- ・
- カード券面の「セキュリティコード(数字3~4桁)」を入力し、カードが真正であることを確認
- ・
- カード会員の対応が容易
- ・
- EC 加盟店の対応も比較的容易
- ・
- カード券面への印字はイシュアー側で100%対応済み
- ・
- 機械的にクレジットカード番号を生成して攻撃する手口に有効
|
3) 属性・行動分析(不正検知システム) |
- ・
- 過去の取引情報等に基づくリスク評価によって不正取引を判定
- ・
- 抑止効果維持には継続的な不正利用の条件設定の最適化が必要で、カード会社(アクワイアラー)との継続的な情報連携が重要
- ・
- カード会員の負担なし
- ・
- 不正利用の発生状況に合わせた不正利用の条件設定が可能
- ・
- EC加盟店が収集した利用者のデバイス情報を活用できる
- ・
- 個々の取引を人的対応によって判定するのではなく、条件設定による自動判定が行われることが重要で、更に、即時判定機能を導入すれば、短時間に連続した不正判定が行われる場合でも即時に検知・拒否することが可能
|
4) 配送先情報 |
- ・
- 不正配送先情報の蓄積によって商品等の配送を事前に停止
- ・
- カード会員の負担なし
- ・
- 多数の取引と一定以上の不正利用被害があるEC加盟店においては自社構築によるデータベースでも一定の効果があるがそれ以外の加盟店は外部サービスを利用しないと期待する効果が得られない。
|
※1
リスクやクレジットカードの不正利用の被害状況等に応じた方策を導入すること。
-
全ての非対面加盟店
-
定義:
全ての非対面加盟店
対策:
カード取引に対する善管注意義務の履行、オーソリゼーション処理
-
高リスク商材取扱加盟店
-
定義:
ガイドラインで定める5つの商材※2 を主たる商材として取り扱う加盟店
対策:
ガイドラインの掲げる非対面不正利用対策の4方策※3 のうち、1方策以上の導入
-
不正顕在化加盟店
-
定義:
継続的に一定金額を超えた不正利用被害※4 が発生している加盟店
対策:
ガイドラインの掲げる非対面不正利用対策の4方策※3 のうち、2方策以上※5 の導入
※2
デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービス
※3
クレジットカード・セキュリティガイドラインが掲げる非対面の不正利用対策の4方策
※4
カード会社(アクワイアラー)各社が把握する不正利用金額が「3ヵ月連続50万円超」
※5
4方策のうち2方策以上を導入していても不正利用被害が減少せず、引き続き、「不正顕在化加盟店」と認識されるEC加盟店は、カード会社(アクワイアラー)やPSPから不正利用の発生状況等の情報共有を受け、自社で発生する不正利用防止に実効的な方策を追加で導入する必要がある。
-
1) 本人認証
-
a)EMV 3-Dセキュア:
特徴
- ・カード会員のデバイス情報等を用いて不正利用のリスク判断を行うと共に、必要に応じてパスワード入力を要求することで当該取引における安全性を確保する
b) 認証アシスト
特徴
- ・取引時の属性情報とカード会社(イシュアー)の登録属性情報を照合し本人を確認
- ・カード会員のパスワード失念等の懸念がない
-
2) 券面認証(セキュリティコード)
-
特徴
- ・カード券面の「セキュリティコード(数字3~4桁)」を入力し、カードが真正であることを確認
- ・カード会員の対応が容易
- ・EC加盟店の対応も比較的容易
- ・カード券面への印字はイシュアー側で100%対応済み
- ・機械的にクレジットカード番号を生成して攻撃する手口に有効
-
3) 属性・行動分析(不正検知システム)
-
特徴
- ・過去の取引情報等に基づくリスク評価によって不正取引を判定
- ・抑止効果維持には継続的な不正利用の条件設定の最適化が必要で、カード会社(アクワイアラー)との継続的な情報連携が重要
- ・カード会員の負担なし
- ・不正利用の発生状況に合わせた不正利用の条件設定が可能
- ・EC 加盟店が収集した利用者のデバイス情報を活用できる
- ・個々の取引を人的対応によって判定するのではなく、条件設定による自動判定が行われることが重要で、更に、即時判定機能を導入すれば、短時間に連続した不正判定が行われる場合でも即時に検知・拒否することが可能
-
4) 配送先情報
-
特徴
- ・不正配送先情報の蓄積によって商品等の配送を事前に停止
- ・カード会員の負担なし
- ・多数の取引と一定以上の不正利用被害があるEC加盟店においては自社構築によるデータベースでも一定の効果があるがそれ以外の加盟店は外部サービスを利用しないと期待する効果が得られない。
ページトップへ