「クレジットカード・セキュリティガイドライン[3.0 版]」公表(クレジット取引セキュリティ対策協議会)

2022年3月9日18:10

クレジット取引セキュリティ対策協議会は、2022年3月9日に会議を開催し、「クレジットカード・セキュリティガイドライン[3.0 版]」を取りまとめたと発表した。

「クレジットカード・セキュリティガイドライン[3.0 版]」公表(クレジット取引セキュリティ対策協議会)

同ガイドラインでは、新たに①割賦販売法改正により拡充されたクレジットカード番号等取扱業者に対する同ガイドラインにおける定義とセキュリティ対策、②IC取引時のオペレーションルールの見直し、③EC加盟店の指針対策の見直し、④EC加盟店における非対面不正利用対策の具体的方策である EMV 3-D セキュアの説明などを新たに盛り込んでいる。

なお、ガイドラインは、割賦販売法で求められるセキュリティ対策にかかる措置の実務上の指針として位置付けられ、ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、同法で定める必要かつ適切な措置が講じられていると認められる(指針対策)。

まず、割賦販売法改正により拡充されたクレジットカード番号等取扱業者に対するガイドラインにおける定義とセキュリティ対策を明確化では、(1)「4号事業者」が決済代行業者等、(2)「5号事業者」がQR コード決済事業者等、(3)「6号事業者」が5 号事業者の委託会社、(4)「7 号事業者」が加盟店向け決済システム提供事業者、と定義された。

4 号事業者の決済代行事業者等とは、割賦販売法第 35 条の 16 第 1 項第 4 号に規定される事業者であり、具体的には、アクワイアラから交付を受けた代金相当額(立替金)を加盟店に交付する事業者を指す。4 号事業者については対面取引、非対面取引のいずれにかかわらず PCI DSS を準拠し、維持・運用することが求められる。ただし対面取引を取扱う 4 号事業者であって、カード会員データを自社で保有せず、保存・処理・通過を自社以外の業者で行っており、立替払いのみを行っている事業者については同協議会が定める資料「セキュリティ対策チェック項目」に基づき対策を実施し、これを維持・運用する方策も認められるそうだ。

5号事業者のQR コード決済事業者等は、割賦販売法第35条の16第1項第5号に規定される事業であり、具体的には、カード会員データ等を別の決済用情報(QR コード、ID など)に紐付け、当該決済用情報で後払い決済を行うことができるサービスを提供している事業者を指す。5 号事業者については、PCI DSS に準拠し、これを維持・運用する必要がある。

5 号事業者の委託会社となる「6号事業者」は、割賦販売法第35条の16第1項第6号に規定される事業者であり、具体的には、5 号事業者からカード会員データの伝送処理保存を委託されている事業者を指す。6号事業者については、PCI DSS に準拠し、これを維持・運用することが求められる。

加盟店向け決済システム提供事業者の「7 号事業者」は、割賦販売法第 35条の 16 第 1 項第 7 号及び割賦販売法施行規則第 132 条の 2 に規定される事業者であり、具体的には、加盟店が決済代行会社またはアクワイアラにカード会員データを提供するために、クレジットカード決済機能を有するシステムおよびそのサービスを提供する事業者を指す。この事業者には、カード会員データの伝送処理保存を行っている事業者、決済代行会社またはアクワイアラに接続できる決済モジュールを提供している事業者も含まれる。7 号事業者については、PCI DSS に準拠し、これを維持・運用する必要がある。

2 号事業者で「非保持化」を達成した加盟店を除く、1号事業者から7号事業者についてはPCI DSS に準拠しカード情報の保護を行う。なお、非保持化を達成しても業務の都合等により PSP(ペイメント・サービス・プロバイダー)等から別途カード情報の還元を受けて保持する場合には「非保持」とはならず、PCI DSS に準拠しなければならない。

IC取引時のオペレーションルールの見直しでは、本人確認方法としての「サイン」の取得は 2025年3月を目途に加盟店の任意とし、取得しないことを推奨、「サイン」を取得する場合においても売上票に記載されたサインとの同一性確認は必須とはしないとした。このため、2022年4月以降、加盟店及びカード会社による(サインの任意化について)段階的な周知・啓発活動を実施する。また、現状、IC 取引においてカード会員の PIN 失念時の一時的な救済措置として運用されている PIN 入力スキップ機能(PIN バイパス)について、2025 年 3 月をもって原則廃止することとする。そのため、2022年4月より加盟店への告知を進め、実施可能な加盟店より順次対応を求める。また、カード会員に対する PIN の認知率の向上に一層努めるそうだ。

また、NoCVM(本人確認不要取引)の見直しを実施。決済端末の IC 対応推進にあたり、取引の安全性が確保できる環境であることを前提に、例外的な取引として許容されている「本人確認不要取引」について、一定金額以下の取引については本人確認を不要とする非接触 IC 取引の世界的な拡大の状況や、今後「サイン」を取得しない取引を推奨することも踏まえ、2022年4月より順次運用の見直しを行う。

そのほか、EC 加盟店の指針対策の見直しと明確化として、指針対策に高リスク商材取扱加盟店、及び不正顕在化加盟店の対策を追記。EC 加盟店における非対面不正利用対策の具体的方策であるEMV 3-Dセキュアの説明を追記している。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP