加盟店(クレジットカードを取り扱うお店)の皆様へ

1.割賦販売法改正に伴うセキュリティ対策の取組についてのお知らせ

平成30年6月1日に施行された割賦販売法では、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正利用対策を講じることが義務付けられました。

2.クレジット取引セキュリティ対策協議会における対策

割賦販売法により、加盟店の皆様に義務付けられる具体的なセキュリティ対策はクレジット取引セキュリティ対策協議会が取りまとめた「クレジットカード・セキュリティガイドライン」(以下「ガイドライン」)が実務上の指針と位置付けられており、ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、同法で求める「必要かつ適切な措置」が講じられていると認められています。

●クレジットカード・セキュリティガイドライン [2.0版](公表版
●クレジットカード・セキュリティガイドライン [2.0版](概要版
クレジットカード・セキュリティガイドラインFAQ

ガイドラインでは、以下のA~Cの3つの対策が求められておりますのでご参照いただき、必要な対策を行っていただきますようお願い申し上げます。

A.クレジットカード情報保護対策

◎カード情報を保持しない非保持化※1(非保持と同等/相当※2を含む)又はカード情報を保持する場合はPCI DSS※3に準拠する。

[不正利用対策]

  • 〇対面加盟店においては、IC取引を可能とするため、設置する決済端末の全てをIC対応する。
  • 〇EC(ネット取引)を含む非対面加盟店においては、オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じた非対面不正利用対策を導入する。
  1. ※1 非保持化とは、自社で保有する機器・ネットワークにおいて『カード情報』を『保存』、『処理』、『通過』しないこと。決済専用端末から直接外部の情報処理センター等にカード情報を伝送している場合も「非保持」となります。
  2. ※2 POS内システム又は社内システムを介してカード情報を処理するせざるを得ないが、カード情報を特定できない状態とし、自社内で復号できない仕組み。
  3. ※3 PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱うことを目的として国際ブランドが共同で策定したデータセキュリティの国際基準です(詳細は日本カード情報セキュリティ協議会のホームページ(JCDSC)参照)。

決済専用端末(CCT)を設置している加盟店

○カード会社より貸与されているICカードに対応した決済専用端末(カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正利用対策(偽造防止対策)もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、契約先のカード会社にご確認ください。
○一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置換えが必要です。

POSシステムと端末間で、取引金額、決済結果等を連動させている加盟店

○カード情報保護については、非保持化(上記の非保持と同等/相当のセキュリティ措置を含む。以下同じ。)又はPCIDSS準拠が必要です(上述の※3参照)。
○ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。
○一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。
○ご不明な点があれば、POS機器メーカーにご照会ください。

カード処理機能を持ったPOSを設置している加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の※3参照)。
○ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正利用対策(偽造防止対策)は必要ありません。
○一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。
○ご不明な点があれば、POS機器メーカーにご照会ください。

EC(ネット取引)加盟店

○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の※3参照)。
○EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されます。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
○非対面不正利用による被害を防止するための具体的な方策にはそれぞれ特徴があり、加盟店が取り扱う商材や販売手法に応じた有効な方策を講じることが重要です。

B.クレジットカード偽造防止による不正利用対策

◎IC取引を可能とするため設置する決済端末の全てをIC対応する。

ICカード及びそれに対応した決済端末は、国際的な仕様(EMV仕様)が決まっており、最終的にはEMV認定やブランドテスト等が必要です。
その対象となるシステムの範囲や対応コストは、システム構成により様々です。
以下にIC対応手法と型別の構成図を例示します。

IC対応手法例 接触EMVカーネル
配置場所
特徴 備考
決済専用端末(CCT)連動型
(図10参照)
決済専用端末や
PINパッド
EMVカーネルを決済専用端末やPINパッド等に置くことで、POSシステムの外側となるため、決済専用端末側で開発・EMV認定・ブランドテスト等の対応を行えばよく、POSシステム側で対応する必要がないことから、導入時における対応(開発・EMV認定・ブランドテスト等)の影響が最も小さい。 カード情報がIC対応の決済専用端末から直接カード会社に伝送されるため、加盟店におけるカード情報の非保持化が同時に実現できる。
決済専用端末を新たに追加する必要があるため、設置場所の確保等の課題がある。
決済サーバー接続型
(図11参照)
PINパッド EMVカーネルをPOSシステムの外側に置くため、POS本体で開発及びEMV認定等の取得の必要がなく、ブランドテスト等の対応で済むため、導入時における対応の影響は小さい。 カード情報はPOSシステムを通過してカード会社に伝送される(カード情報が自社で保有する機器・ネットワークを「保存」、「処理」、「通過」する)ため、カード情報の保持となり、PCI DSS準拠が必要となる。
ASP/クラウド接続型
(図12参照)
①ASP連動-PINパッド配置型 ①PINパッド
②③ASP/クラウドセンター
ASP/クラウド接続型でのEMV認定・ブランドテストの対応についてはASP事業者で行うため、加盟店の個別負担は少ない。 カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。
②EMVカーネルクラウド配置型 カード情報がIC対応の決済専用端末から直接社外のASP/クラウドセンターに伝送されるため、加盟店における非保持化が同時に実現できる。
③EMVカーネルクラウド配置型 カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。

<図10>決済専用端末(CCT)連動型

<図10>決済専用端末(CCT)連動型

<図11>決済サーバー接続型

<図11>決済サーバー接続型

<図12>ASP/クラウド接続型

<図12>ASP/クラウド接続
C.非対面取引におけるクレジットカードの不正利用対策

◎リスクやクレジットカードの不正利用の被害状況等に応じた方策を導入すること。

区分 定義 対策
全ての非対面加盟店 全ての非対面加盟店 カード取引に対する善管注意義務の履行、オーソリゼーション処理
高リスク商材取扱加盟店 ガイドラインで定める5つの商材※6を主たる商材として取り扱う加盟店 ガイドラインの掲げる非対面不正利用対策の4方策※7のうち、1方策以上の導入
不正顕在化加盟店 継続的に一定金額を超えた不正利用被害※8が発生している加盟店 ガイドラインの掲げる非対面不正利用対策の4方策※7のうち、2方策以上※9の導入
  1. ※6 デジタルコンテンツ(オンラインゲームを含む)、家電、電子マネー、チケット、宿泊予約サービス
  2. ※7 クレジットカード・セキュリティガイドラインが掲げる非対面の不正利用対策の4方策

    方策 概要
    1) 本人認証 a) 3-Dセキュア 利用者がカード会員本人であることを確認する仕組みであり、カード会員以外の利用を防ぐ手段。カード会員のみが知るパスワード等(静的・動的)を利用したパスワード認証や過去の不正利用実績やデバイス情報等を活用したリスク評価によるリスクベース認証等があり、国際ブランドが推奨する本人確認手法。
    b) 認証アシスト カードのオーソリゼーション電文を用いて、加盟店が特定のカード会員の属性情報をカード会社(イシュアー)に送信し、カード会社(イシュアー)が自社に予め登録している属性情報と照合し、利用者本人が取引を行っていることを確認する手法。
    2) 券面認証(セキュリティコード) カード券面の「セキュリティコード」を認証することにより真正なカードが利用されていることを確認する手法。
    3) 属性・行動分析(不正検知システム) 利用者の入力情報(氏名、クレジットカード番号、eメールアドレス等)、利用者の利用端末(PC・モバイル等)情報であるデバイス情報、IPアドレス、過去の取引情報、取引頻度等収集した情報の分析に基づいて取引のリスク評価(スコアリング等)を行い、不正な利用であるか加盟店側で判定する手法。
    4) 配送先情報 不正利用された注文等の商品の配送先情報を蓄積することで、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止する手法。
  3. ※8 カード会社(アクワイアラー)各社が把握する不正利用金額が「3ヵ月連続50万円超」
  4. ※9 4方策の内、2方策以上を導入していても不正利用被害が減少せず、引き続き、「不正顕在化加盟店」と認識される加盟店は、カード会社(アクワイアラー)等より不正利用の発生状況等の情報共有を受け、自社で発生する不正利用防止に対して実効的な方策の導入が必要となる。

ページトップへ