2020年4月28日8:06
2020 年3 月までに加盟店の非保持化/PCI DSS、ICクレジットカード対応が進む
クレジット取引セキュリティ対策協議会(協議会)は、2020 年に向けて国際水準のクレジットカード取引のセキュリティ環境を整備するため、クレジットカード会社や加盟店をはじめとするクレジットカード取引に関係する各主体が講ずべき措置を取りまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定しており、年度ごとに内容をブラッシュアップしてきた。2020 年3 月までの実行計画の成果、および2020 年4 月以降の取り組みについて、事務局の日本クレジット協会に話を聞いた。
加盟店のカード情報非保持化が進む
ECサイトの決済画面改ざんの被害も
クレジット取引セキュリティ対策協議会(協議会)では、実行計画の推進により、2020年3月末までに不正利用被害額の極小化を目指し、国内の安全・安心なクレジットカード利用環境の実現が図られるよう、クレジットカード取引に関係する幅広い事業者と連携しつつ、セキュリティ対策の強化に向けた取り組みを推進してきた。
実行計画では、(1) クレジットカード情報保護対策、(2) 対面取引における不正利用対策(偽造カード防止対策)、(3)非対面取引における不正利用対策(なりすまし防止対策)の3本柱で、それぞれ取り組みを行ってきた。
まず、クレジットカード情報保護対策では、2018年3月末までに、カード情報の漏えい頻度が高い非対面(EC)加盟店について、原則として非保持化を推進し、保持する場合はPCI DSS準拠を求めた。対面加盟店に関しては2020年3月までを期限としている。さらに、カード情報を保持する必要性のあるカード会社(イシュア・アクワイアラ)および PSP(決済代行事業者等)については PCI DSS 準拠が求められる。
日本クレジット協会では、「カード情報保護対策は成果が出ています。漏えい事案の多かった非対面(EC)加盟店では非保持化が進みました」と説明する。これにより、実行計画が策定当初の主流の手口であった、加盟店に残っていたカード情報が漏洩する被害が減少している。
一方で、2019年12月20日に経済産業省が、インターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発していると注意喚起した。近年は、加盟店の決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が増えている。同様の手口が増えないよう、協議会でもセミナー等による情報提供を行っている。なお、2019年末まで経済産業省の割賦販売小委員会が開催され、今後は大量のカード情報を伝送、処理する事業者などもカード情報保護義務の対象に含めるという法改正が予定されている。
また、実行計画では、要件を満たした決済専用端末やタブレット端末を活用した外回り方式の導入により「非保持」、PCI P2PE認定ソリューションを導入、もしくは協議会において取りまとめた技術要件に適合するセキュリティ基準(11項目)を満たせば、内回り方式でも非保持と同等/相当と認められている。P2PEに対応する大手加盟店も出てきており、コンビニエンスストア、ファストフード店などで導入されている。
カード情報保護対策の対象となるカード会社や決済処理事業者といったサービスプロバイダでは、PCI DSS準拠が進んでいるそうだ。加盟店等からカード情報取扱いの委託を受ける決済処理事業者は、ビジネスを展開するうえでPCI DSS準拠等が求められる。
100%に近い形で加盟店のIC化が進行
不正利用の金額も大幅に減少
対面取引における不正利用対策では、クレジットカードおよび加盟店の決済端末のIC対応100%実現という明確な目標を掲げている。日本クレジットカード協会の「CAT共同利用システム」のIC化率も年々高まっているように、加盟店のIC化は進んできた。大型加盟店のPOSのICクレジット対応も年々、増えてきた印象があるそうだ。日本クレジット協会は「まだ磁気で処理をされている大型店でもIC対応端末自体は設置されているケースもあり、2020年3月末の期限に向けて最終チェックが行われているようです」と話す。成果として、「日本クレジット協会の偽造カードの不正利用額の調査では、2017年の32億円から2018年は16億円と半減しています。2019年は若干増加傾向にありますが、成果が出ていると感じています」と説明する。
なお、ガソリンスタンドについては、フルサービススタンドでの車内精算など日本固有の商慣習、セルフスタンドでの給油機一体型の自動精算機、その他防爆準拠(消防法等)の課題があるため、2020年時点でのIC対応における実現可能な方策を示した「国内ガソリンスタンドにおける IC クレジットカード取引対応指針」が取りまとめられている。また、オートローディング方式では、国際的なセキュリティ基準である「PCI PTS」に準拠することが技術的に難しいことから、代替コントロール事例を示す「オートローディング式自動精算機のIC化対応指針と自動精算機の本人確認方法について」が取りまとめられた。
加盟店のICクレジット対応に加え、消費者への啓発も重要となる。日本クレジット協会では、消費者がIC 対応加盟店であることを認識・識別できるよう、IC 対応済みであることを示す「共通シンボルマーク」及び「IC 対応デザイン」を策定しており、加盟店のIC 対応の「見える化」に向けた周知活動にも力を入れる。
利用阻害のない形で不正対策を進める
ECサイトが実行計画への取り組みを自己宣言
非対面取引における不正利用対策は、世界的に顕在化している大きな課題だ。実行計画では、(1)本人認証、(2)券面認証(セキュリティコード)、(3)属性・行動分析(不正検知システム)、(4)配送先情報といった4つの側面から、リスクに応じた方策の導入を求めている。この4つの軸は今後も変わらないものの、「特に非対面取引で不正利用額が増えており、重点テーマとして検討していく予定です。非対面取引における不正利用対策の効果を適切に発揮させるにはどうしたらいいかを精査していきます。ただし、EC領域は参入障壁が低いメリットもありますので、参入の阻害をしないことも考慮して不正対策を図っていくべきだと考えています」と日本クレジット協会では説明する。
非対面における不正利用対策に関しては、実行計画が策定された当初は「ECにおけるなりすまし対策」が重点課題だったが、法令との平仄を合わせて、「実行計画2018」からは、「MO・TO(メールオーダー・テレフォンオーダー)」など、インターネット以外の通信手段による通信販売事業者も対象となると明記された。すでに対応ソリューションも複数登場しており、通信販売事業者や関連プレイヤーの多くが対策を行っている状況だ。
消費者向けの周知活動として、EC加盟店などが、実行計画で求められるクレジットカードの情報保護対策および不正利用対策を講じている場合には、自社ECサイトにおいて、実行計画に取組んでいることを表示(自己宣言)することを推奨している。すでに大手企業が自己宣言を行っている。
実行計画は割販法の実務上の指針
非対面の不正利用減少に努める
実行計画は2020年3月で一区切りとなるが、日本クレジット協会では、「クレジット取引セキュリティ対策協議会は残る前提で考えています。現在は実行計画の振り返りをしており、2020年以降の実施項目について3月6日の本会議で承認をもらいます。実行計画は必要な内容のみ残す予定です」と話す。実行計画は改正割賦販売法の実務上の指針という方向性は変わらない。そのうえで、「最近は、コード決済等のクレジットカード払いが紐づく新たな支払方法も普及してきており、クレジットカード不正利用被害を発生させないための対応が求められます。また、前述のとおり非対面で不正利用額が増えており、それをどう減らしていくかが大きなテーマとなります」とした。
カード決済&リテールサービスの強化書2020より