2021年3月11日12:21
クレジット取引セキュリティ対策協議会は、2021年3月11日、「クレジットカード・セキュリティガイドライン[2.0 版]」(公表版)(概要版)を取りまとめたと発表した。
同ガイドラインでは、①クレジットカード番号等の適切管理義務者の拡充と当該事業者が講ずるべき法令上の指針対策、および②非対面取引における不正利用防止対策の強化、特に本人認証の強化策を新たに盛り込んでいる。
なお、同ガイドラインは、割賦販売法で求められるセキュリティ対策にかかる措置の実務上の指針として位置付けられ、同ガイドラインに掲げる措置またはそれと同等以上の措置を講じている場合には、同法で定める必要かつ適切な措置が講じられていると認められるものとなる。
具体的な改定項目として、クレジットカード番号等の適切管理義務主体者を拡充した。改正割賦販売法(2021年4月1日施行)によりクレジットカード番号等の適切管理義務者として追加された事業者を、「決済代行業者等」および「コード決済事業者等」として定義し、同事業者に求められる指針対応を取りまとめた。決済代行業者等は、①PCI DSSに準拠し、これを維持・運用する。また、非保持化(非保持と同等/相当を含む)の対策を講じている対面取引は、同対策に加え、リスクに応じた必要なセキュリティ対策を講じるとともに、適切な管理運営を行うとしている。
コード決済事業者等は、① PCI DSSに準拠し、これを維持・運用する。また、②コード決済事業者等から委託を受けてカード情報を他の決済情報により特定できる状態で管理している事業者についてもPCI DSSに準拠し、これを維持・運用するとした。
非対面取引における不正利用防止対策の強化として、クレジットカードの非対面取引における不正利用防止対策として、カード会社(イシュア)、アクワイアラーおよび PSP(ペイメントサービスプロバイダー)が取り組む本人認証の強化等について取りまとめた。
イシュアは、本人認証手段である「3-Dセキュア」においては最新のバージョンである EMV 3-Dセキュアを早期に導入するとした。また、クレジットカードと連携するコード決済事業者等に対する多面的・重層的な対策の実施を求める。クレジットカードを、コード決済事業者等が提供する他の決済サービスと連携(紐づけ)する取引の時点で、オーソリゼーションによるモニタリング、セキュリティコードの照合、3-Dセキュアにおけるパスワード照合及びリスクベース認証等の取引の時点の対策を複数組み合わせることにより、セキュリティ対策を多面的・重層的に講じる必要があるとした。
アクワイアラーおよび PSPについては、EMV 3-Dセキュアの導入態勢を早急に整備し、加盟店に対して導入を求める必要があるとしている。また、クレジットカードと連携する決済サービスを提供する決済事業者等との契約時におけるセキュリティ対策の確認を求める。さらに、コード決済事業者等のクレジットカードと連携することにより他の決済手段を提供する事業者と包括加盟店契約等を締結する場合には、同事業者が、一般社団法人キャッシュレス推進協議会がとりまとめた「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」や一般社団法人日本資金決済業協会がとりまとめた「銀行口座との連携における不正防止に関するガイドライン」など関係するガイドラインに準拠する等、十分な安全対策が講じられていることを確認する必要があるとした。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト
