「クレジットカード取引における セキュリティ対策の強化に向けた実行計画」の成果は?(クレジット取引セキュリティ対策協議会)

2020年4月28日8:06

2020 年3 月までに加盟店の非保持化/PCI DSS、ICクレジットカード対応が進む

クレジット取引セキュリティ対策協議会(協議会)は、2020 年に向けて国際水準のクレジットカード取引のセキュリティ環境を整備するため、クレジットカード会社や加盟店をはじめとするクレジットカード取引に関係する各主体が講ずべき措置を取りまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を策定しており、年度ごとに内容をブラッシュアップしてきた。2020 年3 月までの実行計画の成果、および2020 年4 月以降の取り組みについて、事務局の日本クレジット協会に話を聞いた。

加盟店のカード情報非保持化が進む
ECサイトの決済画面改ざんの被害も

クレジット取引セキュリティ対策協議会(協議会)では、実行計画の推進により、2020年3月末までに不正利用被害額の極小化を目指し、国内の安全・安心なクレジットカード利用環境の実現が図られるよう、クレジットカード取引に関係する幅広い事業者と連携しつつ、セキュリティ対策の強化に向けた取り組みを推進してきた。

実行計画では、(1) クレジットカード情報保護対策、(2) 対面取引における不正利用対策(偽造カード防止対策)、(3)非対面取引における不正利用対策(なりすまし防止対策)の3本柱で、それぞれ取り組みを行ってきた。

「実行計画」における対策の3本柱(出典:クレジット取引セキュリティ対策協議会)

まず、クレジットカード情報保護対策では、2018年3月末までに、カード情報の漏えい頻度が高い非対面(EC)加盟店について、原則として非保持化を推進し、保持する場合はPCI DSS準拠を求めた。対面加盟店に関しては2020年3月までを期限としている。さらに、カード情報を保持する必要性のあるカード会社(イシュア・アクワイアラ)および PSP(決済代行事業者等)については PCI DSS 準拠が求められる。

日本クレジット協会では、「カード情報保護対策は成果が出ています。漏えい事案の多かった非対面(EC)加盟店では非保持化が進みました」と説明する。これにより、実行計画が策定当初の主流の手口であった、加盟店に残っていたカード情報が漏洩する被害が減少している。

一方で、2019年12月20日に経済産業省が、インターネットサイト構築パッケージ「EC-CUBE」の脆弱性等を突いたインターネットショップのサイトの改ざん等により、クレジットカード番号等が窃取されるといった被害が多発していると注意喚起した。近年は、加盟店の決済画面を改ざんされてクレジットカード情報が抜き取られる手法(フォームジャッキング)による被害が増えている。同様の手口が増えないよう、協議会でもセミナー等による情報提供を行っている。なお、2019年末まで経済産業省の割賦販売小委員会が開催され、今後は大量のカード情報を伝送、処理する事業者などもカード情報保護義務の対象に含めるという法改正が予定されている。

また、実行計画では、要件を満たした決済専用端末やタブレット端末を活用した外回り方式の導入により「非保持」、PCI P2PE認定ソリューションを導入、もしくは協議会において取りまとめた技術要件に適合するセキュリティ基準(11項目)を満たせば、内回り方式でも非保持と同等/相当と認められている。P2PEに対応する大手加盟店も出てきており、コンビニエンスストア、ファストフード店などで導入されている。

カード情報保護対策の対象となるカード会社や決済処理事業者といったサービスプロバイダでは、PCI DSS準拠が進んでいるそうだ。加盟店等からカード情報取扱いの委託を受ける決済処理事業者は、ビジネスを展開するうえでPCI DSS準拠等が求められる。

100%に近い形で加盟店のIC化が進行
不正利用の金額も大幅に減少

対面取引における不正利用対策では、クレジットカードおよび加盟店の決済端末のIC対応100%実現という明確な目標を掲げている。日本クレジットカード協会の「CAT共同利用システム」のIC化率も年々高まっているように、加盟店のIC化は進んできた。大型加盟店のPOSのICクレジット対応も年々、増えてきた印象があるそうだ。日本クレジット協会は「まだ磁気で処理をされている大型店でもIC対応端末自体は設置されているケースもあり、2020年3月末の期限に向けて最終チェックが行われているようです」と話す。成果として、「日本クレジット協会の偽造カードの不正利用額の調査では、2017年の32億円から2018年は16億円と半減しています。2019年は若干増加傾向にありますが、成果が出ていると感じています」と説明する。

なお、ガソリンスタンドについては、フルサービススタンドでの車内精算など日本固有の商慣習、セルフスタンドでの給油機一体型の自動精算機、その他防爆準拠(消防法等)の課題があるため、2020年時点でのIC対応における実現可能な方策を示した「国内ガソリンスタンドにおける IC クレジットカード取引対応指針」が取りまとめられている。また、オートローディング方式では、国際的なセキュリティ基準である「PCI PTS」に準拠することが技術的に難しいことから、代替コントロール事例を示す「オートローディング式自動精算機のIC化対応指針と自動精算機の本人確認方法について」が取りまとめられた。

加盟店のICクレジット対応に加え、消費者への啓発も重要となる。日本クレジット協会では、消費者がIC 対応加盟店であることを認識・識別できるよう、IC 対応済みであることを示す「共通シンボルマーク」及び「IC 対応デザイン」を策定しており、加盟店のIC 対応の「見える化」に向けた周知活動にも力を入れる。

IC クレジットカード対応済加盟店であることを示す共通シンボルマーク等掲出。左が「IC 対応」・「暗証番号の認知度向上」 共通シンボルマーク、右が「IC 対応デザイン」(出典:クレジット取引セキュリティ対策協議会)

利用阻害のない形で不正対策を進める
ECサイトが実行計画への取り組みを自己宣言

非対面取引における不正利用対策は、世界的に顕在化している大きな課題だ。実行計画では、(1)本人認証、(2)券面認証(セキュリティコード)、(3)属性・行動分析(不正検知システム)、(4)配送先情報といった4つの側面から、リスクに応じた方策の導入を求めている。この4つの軸は今後も変わらないものの、「特に非対面取引で不正利用額が増えており、重点テーマとして検討していく予定です。非対面取引における不正利用対策の効果を適切に発揮させるにはどうしたらいいかを精査していきます。ただし、EC領域は参入障壁が低いメリットもありますので、参入の阻害をしないことも考慮して不正対策を図っていくべきだと考えています」と日本クレジット協会では説明する。

非対面における不正利用対策に関しては、実行計画が策定された当初は「ECにおけるなりすまし対策」が重点課題だったが、法令との平仄を合わせて、「実行計画2018」からは、「MO・TO(メールオーダー・テレフォンオーダー)」など、インターネット以外の通信手段による通信販売事業者も対象となると明記された。すでに対応ソリューションも複数登場しており、通信販売事業者や関連プレイヤーの多くが対策を行っている状況だ。

消費者向けの周知活動として、EC加盟店などが、実行計画で求められるクレジットカードの情報保護対策および不正利用対策を講じている場合には、自社ECサイトにおいて、実行計画に取組んでいることを表示(自己宣言)することを推奨している。すでに大手企業が自己宣言を行っている。

実行計画は割販法の実務上の指針
非対面の不正利用減少に努める

実行計画は2020年3月で一区切りとなるが、日本クレジット協会では、「クレジット取引セキュリティ対策協議会は残る前提で考えています。現在は実行計画の振り返りをしており、2020年以降の実施項目について3月6日の本会議で承認をもらいます。実行計画は必要な内容のみ残す予定です」と話す。実行計画は改正割賦販売法の実務上の指針という方向性は変わらない。そのうえで、「最近は、コード決済等のクレジットカード払いが紐づく新たな支払方法も普及してきており、クレジットカード不正利用被害を発生させないための対応が求められます。また、前述のとおり非対面で不正利用額が増えており、それをどう減らしていくかが大きなテーマとなります」とした。

カード決済&リテールサービスの強化書2020より

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP