2022年3月9日18:10
クレジット取引セキュリティ対策協議会は、2022年3月9日に会議を開催し、「クレジットカード・セキュリティガイドライン[3.0 版]」を取りまとめたと発表した。
同ガイドラインでは、新たに①割賦販売法改正により拡充されたクレジットカード番号等取扱業者に対する同ガイドラインにおける定義とセキュリティ対策、②IC取引時のオペレーションルールの見直し、③EC加盟店の指針対策の見直し、④EC加盟店における非対面不正利用対策の具体的方策である EMV 3-D セキュアの説明などを新たに盛り込んでいる。
なお、ガイドラインは、割賦販売法で求められるセキュリティ対策にかかる措置の実務上の指針として位置付けられ、ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、同法で定める必要かつ適切な措置が講じられていると認められる(指針対策)。
まず、割賦販売法改正により拡充されたクレジットカード番号等取扱業者に対するガイドラインにおける定義とセキュリティ対策を明確化では、(1)「4号事業者」が決済代行業者等、(2)「5号事業者」がQR コード決済事業者等、(3)「6号事業者」が5 号事業者の委託会社、(4)「7 号事業者」が加盟店向け決済システム提供事業者、と定義された。
4 号事業者の決済代行事業者等とは、割賦販売法第 35 条の 16 第 1 項第 4 号に規定される事業者であり、具体的には、アクワイアラから交付を受けた代金相当額(立替金)を加盟店に交付する事業者を指す。4 号事業者については対面取引、非対面取引のいずれにかかわらず PCI DSS を準拠し、維持・運用することが求められる。ただし対面取引を取扱う 4 号事業者であって、カード会員データを自社で保有せず、保存・処理・通過を自社以外の業者で行っており、立替払いのみを行っている事業者については同協議会が定める資料「セキュリティ対策チェック項目」に基づき対策を実施し、これを維持・運用する方策も認められるそうだ。
5号事業者のQR コード決済事業者等は、割賦販売法第35条の16第1項第5号に規定される事業であり、具体的には、カード会員データ等を別の決済用情報(QR コード、ID など)に紐付け、当該決済用情報で後払い決済を行うことができるサービスを提供している事業者を指す。5 号事業者については、PCI DSS に準拠し、これを維持・運用する必要がある。
5 号事業者の委託会社となる「6号事業者」は、割賦販売法第35条の16第1項第6号に規定される事業者であり、具体的には、5 号事業者からカード会員データの伝送処理保存を委託されている事業者を指す。6号事業者については、PCI DSS に準拠し、これを維持・運用することが求められる。
加盟店向け決済システム提供事業者の「7 号事業者」は、割賦販売法第 35条の 16 第 1 項第 7 号及び割賦販売法施行規則第 132 条の 2 に規定される事業者であり、具体的には、加盟店が決済代行会社またはアクワイアラにカード会員データを提供するために、クレジットカード決済機能を有するシステムおよびそのサービスを提供する事業者を指す。この事業者には、カード会員データの伝送処理保存を行っている事業者、決済代行会社またはアクワイアラに接続できる決済モジュールを提供している事業者も含まれる。7 号事業者については、PCI DSS に準拠し、これを維持・運用する必要がある。
2 号事業者で「非保持化」を達成した加盟店を除く、1号事業者から7号事業者についてはPCI DSS に準拠しカード情報の保護を行う。なお、非保持化を達成しても業務の都合等により PSP(ペイメント・サービス・プロバイダー)等から別途カード情報の還元を受けて保持する場合には「非保持」とはならず、PCI DSS に準拠しなければならない。
IC取引時のオペレーションルールの見直しでは、本人確認方法としての「サイン」の取得は 2025年3月を目途に加盟店の任意とし、取得しないことを推奨、「サイン」を取得する場合においても売上票に記載されたサインとの同一性確認は必須とはしないとした。このため、2022年4月以降、加盟店及びカード会社による(サインの任意化について)段階的な周知・啓発活動を実施する。また、現状、IC 取引においてカード会員の PIN 失念時の一時的な救済措置として運用されている PIN 入力スキップ機能(PIN バイパス)について、2025 年 3 月をもって原則廃止することとする。そのため、2022年4月より加盟店への告知を進め、実施可能な加盟店より順次対応を求める。また、カード会員に対する PIN の認知率の向上に一層努めるそうだ。
また、NoCVM(本人確認不要取引)の見直しを実施。決済端末の IC 対応推進にあたり、取引の安全性が確保できる環境であることを前提に、例外的な取引として許容されている「本人確認不要取引」について、一定金額以下の取引については本人確認を不要とする非接触 IC 取引の世界的な拡大の状況や、今後「サイン」を取得しない取引を推奨することも踏まえ、2022年4月より順次運用の見直しを行う。
そのほか、EC 加盟店の指針対策の見直しと明確化として、指針対策に高リスク商材取扱加盟店、及び不正顕在化加盟店の対策を追記。EC 加盟店における非対面不正利用対策の具体的方策であるEMV 3-Dセキュアの説明を追記している。