2023年5月29日8:30
クレジット取引セキュリティ対策協議会(以下、協議会)は、2023年3月14日に第10 回本会議を開催し、「クレジットカード・セキュリティガイドライン【4.0 版】」を取りまとめた。同協議会は、日本のクレジットカード取引において、「国際水準のセキュリティ環境」を整備することを目的として、クレジット取引に関わる幅広い事業者及び行政等が参画して設立。「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(2016年2月~2019年3月の)を策定し、その対応期限後の2020年4月からも、関係事業者が実施するセキュリティ対策として「クレジット カード・セキュリティガイドライン」を策定し、継続して安心・安全なクレジットカード利用環境の整備に取り組んでいる。同協議会の事務局を務める日本クレジット協会(JCA)に「クレジットカード・セキュリティガイドライン【4.0 版】」や2023年度以降の取り組みについて説明してもらった。
2022年の不正被害額は436億円と過去最高額に
EMV 3-DS導入推進や多面的・重層的な対策を掲載
――現在のクレジットカードの不正などの状況については?
クレジット取引セキュリティ対策協議会(以下、協議会):協議会としては、不正利用の状況把握を行っていない。JCAの調査では、クレジットカードの不正利用被害総額は近年増加傾向にあり、2022年には436億円と過去最高額となっている。このうち、番号盗用被害の割合が 94%を占めており、主に非対面取引でのクレジットカード番号等のなりすましによる不正利用が主要な要因である。
一方、2023年1月に公表された「クレジットカード決済システムのセキュリティ対策強化検討会報告書」(以下「検討会報告書」」では、不正利用の対象となっているクレジットカード番号等は、EC 加盟店を始めとしたクレジットカード決済網に存在する事業者からの漏えいだけでなく、EC 加盟店のクレジットカード決済処理の仕組みを悪用してクレジットカード番号等を割り出す「クレジットマスター」、メールやSMS等を通じて利用者からクレジットカード番号等を騙しとる「フィッシング」により詐取されていると想定されると報告している。
また、不正利用の状況については、不正利用のほとんどが非対面取引であり、換金性があり転売しやすい商品や配送を伴わない商品が不正利用の標的となっていたが、昨今では、その時々の商品の需要の状況によって不正利用で購入される商品が変化することから、不正利用の対象となる商品は多様化し、また比較的低価格な商品の不正利用も増えてきていると報告している。
――クレジットセキュリティガイドラインで非対面の方針に大きな変化があった。今回の結果に至った背景について聞きたい。
協議会:クレジットカード・セキュリティガイドライン(以下「ガイドライン」という)では、非対面におけるカード情報の保護対策として、基本的なセキュリティ対策の強化、不正利用対策としての本人認証の強化に向けてEMV 3-D セキュアの導入推進や多面的・重層的な対策の導入の必要性を重点的に掲載している。
先般公表した【4.0版】では、前記の不正利用の状況等を踏まえて、特に非対面におけるカード情報の保護対策強化や、不正利用被害拡大防止に向けたEMV 3-D セキュア導入に向けて、カード会社(イシュア)やEC加盟店などの関係事業者が講ずべき対策、消費者等への周知・啓発について改訂した。
「EMV 3-Dセキュア導入ガイド」を作成
JCA関係会員へ「DMARC」の導入等について周知
――業界としてEMV 3-Dセキュア導入に向けたサポートについてどのような点があるのか。
協議会:協議会では、新規にEMV 3-Dセキュアを導入する全ての事業者に向けて、共通のガイドとして円滑な推進の一助となるべく「EMV 3-D セキュア導入ガイド」を作成・公表した。
「EMV 3-Dセキュア導入ガイド」では、非対面取引のクレジットカード加盟店、加盟店ECサイト構築ベンダー、イシュア、アクワイアラ・PSP等の企画担当者・システム担当者向けに、EMV 3-Dセキュアの導入手続きやシステム開発要件の他、EMV 3-Dセキュア導入加盟店における個人情報保護法の遵守に関する留意点、EMV 3-Dセキュアの安定した運用と認証精度の向上に関する推奨事項等について記載している。
――附属文書の新規策定の経緯について聞きたい。
協議会:2022年度は、カード情報の保護分野及び対面取引分野において、実務における必要性を考慮し、下記の2点の附属文書を新規策定した。「クレジットカード売上票の作成・保管に関するガイドライン」は、「サイン」を取得しない加盟店の運用変更が円 滑に進むことや運用の統一を目指し、クレジットカード取引における売上票の作成・保管に関しての運用を取りまとめたもの。「スマートフォン・タブレット等のアプリを利用した決済に関するセキュリティ対策の技術要件について」は、スマートフォンやタブレット等の汎用デバイスを用 いた決済及び、スマホアプリ等のSDKを利用する決済について、「非保持化(非保持と同等/ 相当を含む)」の取り組みを推進するため、具体的 な方策例について取りまとめたものである。
――DMARCの導入を経済産業省などが促すとあるが、カード会社への訴求についてはされるのか。
協議会:協議会としては「DMARC」の導入等について具体的な検討は行っておらず、本年度も現在のところ検討課題としては取り上げてはいない。
一方、JCAとしては2023年2月に関係会員に対して、経済産業省からの要請に基づいて、検討会報告書の公表等に伴うフィッシング対策の強化の一環として「DMARC」の導入等について周知を行った。
非対面不正の状況等に応じて見直し・改定へ
2023年度以降の3つの取り組みとは?
このコンテンツは会員限定(有料)となっております。
詳細はこちらのページからご覧下さい。
すでにユーザー登録をされている方はログインをしてください。