2021年5月12日8:15
コード決済事業者をカード情報の管理事業者に追加、EMV3-Dセキュアの導入態勢整備へ
クレジット取引セキュリティ対策協議会(以下、協議会)は、2020年3月24日に、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下、実行計画)を承継した、「クレジットカード・セキュリティガイドライン」を発表した。2021年3月11日には、カード情報保護対策の対象事業者の拡充など、同ガイドラインを一部改定して[2.0 版]を公表している。改定のポイントについて、事務局の一般社団法人日本クレジット協会(JCA)に話を聞いた。
割販法の実務上の指針として加盟店に周知
3つのワーキンググループで対策整備
「クレジットカード・セキュリティガイドライン」の策定から1年が経過したが、国内のセキュリティ対策は継続して進められている。事務局では「割賦販売法の実務上の指針であるクレジットカード・セキュリティガイドラインに沿って、各事業者で粛々と対応いただいています。不正被害額は若干ではありますが1年前と比べても減っている状況が見受けられます。」と説明する。
2020年3月は、加盟店のIC対応という実行計画における対応期限だったが、セキュリティガイドラインに変わった端境期で、IC対応についての問い合わせが寄せられたそうだ。加盟店のIC対応に関しては、各企業の事情もあるが、セキュリティガイドラインにおいては割賦販売法で規定される「必要かつ適切な措置」に該当するとして【指針対策】としている。
協議会では、2020年4月より本会議の下に3つのワーキンググループ(WG)とテクニカルグループを組成している。「セキュリティ対策推進ワーキンググループ」では、すでに取りまとめたクレジットカード情報保護対策分野における「非保持化 (非保持 同等/相当)」や対面取引の不正利用対策分野における「IC 取引」の各方策などの維持・管理に主眼を置いている。
「非対面不正対応ワーキンググループ」は、セキュリティガイドラインで示す「本人認証」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報」の4つの方策の実効性についての検討及び資金移動業者と銀行口座の紐付けにおける決済サービスの不正利用被害が発生したことを受け、コード決済事業者等とクレジットカード会社の他の決済サービスとの紐付け時の不正利用対策についてあらためて検討を行った。
「新型決済対応ワーキンググループ」では、新たな決済手段のうちコード決済サービスに対する不正利用対策を検討し、コード決済サービスに係る不正利用被害防止策に関する提言を取りまとめて一般社団法人キャッシュレス推進協議会に提出した。また、割賦販売法の改正により拡充されたクレジットカード番号等取扱業者に対するセキュリティガイドライン上の対策を取りまとめたという。
テクニカルグループでは、本人認証の再構築分科会、オープンソースのセキュリティ対策分科会、非接触IC取引オペレーション見直し等分科会、PCIの仕様変更に伴う非保持化基準の見直し分科会が活動を行った。
コード決済事業者のPCI DSS準拠や維持・運用が必要に
EMV 3-Dセキュアの対応を求める
「セキュリティガイドライン1.0」からの具体的な変更点として、「割賦販売法の一部を改正する法律(令和2年法律第64号)」により、拡充されたクレジットカード番号等取扱業者に該当するコード決済事業者には、PCI DSS準拠、および維持・運用が必要となった(コード決済事業者から委託を受けるPSPなども含む)。
実行計画ではコード決済事業者のような新たな決済サービスを提供する事業者の位置づけが明確ではなかったが、「クレジットカード取引等におけるセキュリティ対策の現状と2020年度以降の取組について~実行計画後の取組(ポスト2020)~」において、新たな決済サービス等におけるセキュリティ対策について取組むこととしていたことから、カード会社、加盟店、決済代行業者、コード決済事業者、セキュリティ事業者からなる新型決済対応ワーキンググループにおいて検討した結果、対象事業者の定義、求める対策について取りまとめた。
また、「セキュリティガイドライン2.0」では、EMV 3-Dセキュアの記載として、イシュアーに対し「EMV 3-Dセキュアを早期に導入する」ことを求め、また、アクワイアラ―及びPSPに対し「EMV 3-Dセキュアの導入態勢を早急に整備し、加盟店に対して導入を求める必要がある」とより踏み込んだ内容となった。その理由として、事務局では「非対面不正対応ワーキンググループにおいて、本人認証等の4つの方策について再検証を行い、より実効性のある方策にすることができないかどうか検討した結果、特に3Dセキュアについては、新たなバージョンであるEMV 3-Dセキュアに移行することで、加盟店への普及の課題になっていたカゴ落ちや静的パスワードの流出による不正利用被害の発生が防止できることが確認された。」とした。
