平成30年6月1日に施行された割賦販売法では、クレジットカードを取り扱う加盟店において、カード番号等の適切な管理や不正利用対策を講じることが義務付けられました。
割賦販売法により、加盟店の皆様に義務付けられる具体的なセキュリティ対策はクレジット取引セキュリティ対策協議会が取りまとめた「クレジットカード・セキュリティガイドライン」(以下「ガイドライン」)が実務上の指針と位置付けられており、ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、同法で求める「必要かつ適切な措置」が講じられていると認められています。
クレジットカード・セキュリティガイドラインに関してはこちらをご参照ください。
ガイドラインでは、以下のA~Cの3つの対策が求められておりますのでご参照いただき、必要な対策を行っていただきますようお願い申し上げます。
◎カード情報を保持しない非保持化※1(非保持と同等/相当※2を含む)又はカード情報を保持する場合はPCI DSS※3に準拠する。
[不正利用対策]
○カード会社より貸与されているICカードに対応した決済専用端末(カードをスワイプするのではなく差し込んでデータを読み取り、暗証番号を入力する方式)を設置し、外部の情報処理センター等に直接伝送している場合には、カード情報保護対策も不正利用対策(偽造防止対策)もすでに対応が済んでいますので、新たな対応は必要ありません。ご不明な点があれば、契約先のカード会社にご確認ください。
○一方、ICカードが読み取れない端末であれば、ICカードが読み取れる端末への置換えが必要です。
○カード情報保護については、非保持化(上記の非保持と同等/相当のセキュリティ措置を含む。以下同じ。)又はPCIDSS準拠が必要です(上述の※3参照)。
○ICカードに対応した決済端末(暗証番号の入力方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな対応は必要ありません。
○一方、ICカードに対応していない端末であれば、ICカードに対応した端末への置換えが必要です。
○ご不明な点があれば、POS機器メーカーにご照会ください。
○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の※3参照)。
○ICカードに対応したPOS(暗証番号を入力する方式)が設置されていれば、不正利用対策(偽造防止対策)はすでに対応が済んでいますので、新たな不正利用対策(偽造防止対策)は必要ありません。
○一方、ICカードに対応していないPOS(スワイプして磁気で読み取る方式)であれば、ICカードに対応したPOSに置換えを行うか、ICカードに対応した決済端末を導入しPOSに接続する必要があります。
○ご不明な点があれば、POS機器メーカーにご照会ください。
○カード情報保護については、非保持化又はPCIDSS準拠が必要です(上述の※3参照)。
○EC加盟店において、決済代行業者(PSP)が提供するシステムを利用する場合があります。この場合、加盟店の機器・ネットワークを通過する「通過型」と、通過しない「非通過型」に大別されます。どちらの仕組みを導入しているかについては、契約先の決済代行業者にご確認ください。なお、「通過型」の場合には、カード情報を保持することになりますので、EC加盟店においてPCIDSS準拠が必要です。
○非対面不正利用による被害を防止するための具体的な方策にはそれぞれ特徴があり、加盟店が取り扱う商材や販売手法に応じた有効な方策を講じることが重要です。
◎IC取引を可能とするため設置する決済端末の全てをIC対応する。
ICカード及びそれに対応した決済端末は、国際的な仕様(EMV仕様)が決まっており、最終的にはEMV認定やブランドテスト等が必要です。
その対象となるシステムの範囲や対応コストは、システム構成により様々です。
以下にIC対応手法と型別の構成図を例示します。
IC対応手法例 | 接触EMVカーネル 配置場所 |
特徴 | 備考 | |
---|---|---|---|---|
決済専用端末(CCT)連動型 (図10参照) |
決済専用端末や PINパッド |
EMVカーネルを決済専用端末やPINパッド等に置くことで、POSシステムの外側となるため、決済専用端末側で開発・EMV認定・ブランドテスト等の対応を行えばよく、POSシステム側で対応する必要がないことから、導入時における対応(開発・EMV認定・ブランドテスト等)の影響が最も小さい。 | カード情報がIC対応の決済専用端末から直接カード会社に伝送されるため、加盟店におけるカード情報の非保持化が同時に実現できる。
決済専用端末を新たに追加する必要があるため、設置場所の確保等の課題がある。 |
|
決済サーバー接続型 (図11参照) | PINパッド | EMVカーネルをPOSシステムの外側に置くため、POS本体で開発及びEMV認定等の取得の必要がなく、ブランドテスト等の対応で済むため、導入時における対応の影響は小さい。 | カード情報はPOSシステムを通過してカード会社に伝送される(カード情報が自社で保有する機器・ネットワークを「保存」、「処理」、「通過」する)ため、カード情報の保持となり、PCI DSS準拠が必要となる。 | |
ASP/クラウド接続型 (図12参照) | ①ASP連動-PINパッド配置型 | ①PINパッド ②③ASP/クラウドセンター |
ASP/クラウド接続型でのEMV認定・ブランドテストの対応についてはASP事業者で行うため、加盟店の個別負担は少ない。 | カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。 |
②EMVカーネルクラウド配置型 | カード情報がIC対応の決済専用端末から直接社外のASP/クラウドセンターに伝送されるため、加盟店における非保持化が同時に実現できる。 | |||
③EMVカーネルクラウド配置型 | カード情報はPOSシステムを通過するため、加盟店はPCI DSS準拠、又は非保持と同等/相当のセキュリティ措置を満たすことが求められる。 |
<図10>決済専用端末(CCT)連動型
<図11>決済サーバー接続型
<図12>ASP/クラウド接続型
◎リスクやクレジットカードの不正利用の被害状況等に応じた方策を導入すること。
区分 | 定義 | 対策 |
---|---|---|
全ての非対面加盟店 | 全ての非対面加盟店 | カード取引に対する善管注意義務の履行、オーソリゼーション処理 |
高リスク商材取扱加盟店 | ガイドラインで定める5つの商材※6を主たる商材として取り扱う加盟店 | ガイドラインの掲げる非対面不正利用対策の4方策※7のうち、1方策以上の導入 |
不正顕在化加盟店 | 継続的に一定金額を超えた不正利用被害※8が発生している加盟店 | ガイドラインの掲げる非対面不正利用対策の4方策※7のうち、2方策以上※9の導入 |
※7 クレジットカード・セキュリティガイドラインが掲げる非対面の不正利用対策の4方策
方策 | 概要 | |
---|---|---|
1) 本人認証 | a) 3-Dセキュア | 利用者がカード会員本人であることを確認する仕組みであり、カード会員以外の利用を防ぐ手段。カード会員のみが知るパスワード等(静的・動的)を利用したパスワード認証や過去の不正利用実績やデバイス情報等を活用したリスク評価によるリスクベース認証等があり、国際ブランドが推奨する本人確認手法。 |
b) 認証アシスト | カードのオーソリゼーション電文を用いて、加盟店が特定のカード会員の属性情報をカード会社(イシュアー)に送信し、カード会社(イシュアー)が自社に予め登録している属性情報と照合し、利用者本人が取引を行っていることを確認する手法。 | |
2) 券面認証(セキュリティコード) | カード券面の「セキュリティコード」を認証することにより真正なカードが利用されていることを確認する手法。 | |
3) 属性・行動分析(不正検知システム) | 利用者の入力情報(氏名、クレジットカード番号、eメールアドレス等)、利用者の利用端末(PC・モバイル等)情報であるデバイス情報、IPアドレス、過去の取引情報、取引頻度等収集した情報の分析に基づいて取引のリスク評価(スコアリング等)を行い、不正な利用であるか加盟店側で判定する手法。 | |
4) 配送先情報 | 不正利用された注文等の商品の配送先情報を蓄積することで、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止する手法。 |