2023年1月24日17:21
経済産業省が事務局を務める「第6回 クレジットカード決済システムのセキュリティ対策強化検討会」では、2023年1月20日に報告案をまとめた。第5回の開催となった2022年12月23日にクレジットカード決済システムのセキュリティ対策強化検討会報告書の骨子案がまとめられていた。
これによると、情報漏洩防止(クレジットカード番号等の適切管理の強化)の対策として、EC サイト自体の脆弱性対策を必須化(システム上の設定不備改善、脆弱性診断、ウイルス対策等)する。また、情報処理推進機構(IPA)が今年度末に策定予定の「ECサイト構築・運用セキュリティガイドライン」などを踏まえた自主的取組の充実を図る。アクワイアラ(加盟店管理会社)は、加盟店管理(セキュリティチェック)におけるEC加盟店調査事項の対象拡大を求める。
イシュア(カード発行会社)など、クレジットカード取扱事業者に関しては、2024年3月末までに最新の国際セキュリティ基準「PCI DSS v4.0」準拠への移行が挙げられた。
漏えい時のインシデント対応の強化として、EC加盟店・決済代行業者などは、漏えい時の利用者への連絡・公表の早期化などマニュアルを改定する。日本クレジット協会は、(セキュリティ問題の原因・分析など、クレジットカード業界のセキュリティ対策に関する体制強化を図る。
また、不正利用防止対策における利用者の適切な本人確認の強化策として、2024年度末を期限に、イシュア(2023 年度まで)およびEC加盟店に不正利用防止措置として、利用者本人しか知り得ない・持ち得ない情報となる「ワンタイムパスワード(OTP)」「生体認証」などによる利用者の適切な確認(本人認証)の仕組みを順次導入することを求める。
さらに、原則全てのEC加盟店で、クレジットカードなどの決済時に本人認証を行う「EMV 3Dセキュア」の導入・運用を求める。リスクや取引規模が大きい加盟店においては、利用者の行動分析等、EMV3Dセキュア以外の方策による不正利用防止措置も必要であり、現状の不正利用防止4方策や具体的運用について、さらに検討していく。
さらに、利用者の適切な確認の実効性を担保するため、利用者の行動分析、AI等を活用した利用者の行動分析といったイシュアのリスクベース認証の精度の向上を挙げた。
犯罪抑止・広報周知として、イシュアに対して、サイトのテイクダウンや送信メールのドメイン管理(DMARC)等によるフィッシング 詐欺への自衛を求める。また、国、イシュア、EC加盟店が連携して、警察庁サイバー警察局や都道府県警等の連携強化による犯罪抑止を図る。さらに、日本クレジット協会などでは、EMV3Dセキュアのワンタイムパスワード設定など、クレジットの安全・安心な利用に関する利用者への被害防止のための措置の広報・周知を行うそうだ。
この記事の著者
ペイメントナビ編集部
カード決済、PCI DSS、ICカード・ポイントカードの啓蒙ポータルサイト