2024年4月10日12:32
経済産業省や一般社団法人日本クレジット協会、クレジットカード会社などは、2024年4月9日、クレジットカード・セキュリティ官民対策会議を経済産業省で開催した。犯罪者の不正の手口が巧妙になる中、不正利用の実態や取組状況、EMV 3-Dセキュアをはじめとした対策の方向性などについて官民で認識を共有し、一体的に取り組むそうだ。
カード会社、決済代行、業界団体などで構成
不正問題の実情を共有し、一体で取り組む
政府では、民間消費支出におけるキャッシュキャッシュレス決済の比率を2025年までに4割程度にするという目標を掲げている。2024年3月に公表された2023年の比率は39.3%となり、目標達成に向けて着実に伸びている。その約8割、106兆円がクレジットカード決済となっている。
一方で、クレジットカードの不正利用も年々増加を続けており、2023年の不正被害額は約540億円と過去最悪となった。仮にこの状況が続けば、「クレジットカード決済の信頼性が低下し、ひいてはキャッシュレス社会実現に向けた大きな足かせになりかねない」と経済産業副大臣 上月良祐氏は話す。そういう危機感を業界全体で感じる中、経済産業省ではこのほど、クレジットカード・セキュリティ官民対策会議を開催する運びとなった。上月氏は「クレジットカード決済に関わる官民の関係者が集い、そして不正利用の現状、対策の方向性を議論することで、不正利用の防止に向けて大きな推進力となることを期待しています」とした。
神戸大学大学院法学研究科・法学部教授の中川丈久氏によると、不正被害は顕在化しているが、カード会社や業界団体などの各関係者が集うことで、同じ目線で不正問題に対して実情を含めて共有する場にしていきたいという。
当日は、クレディセゾン 代表取締役 兼 副社長執行役員CHO 髙橋 直樹氏(代表取締役 兼 社長執行役員 COO 水野 克己氏の代理出席)、ジェーシービー 代表取締役 兼 執行役員社長 二重 孝好氏、三井住友カード 代表取締役社長 大西 幸彦氏、三菱UFJニコス 代表取締役社長 兼 社長執行役員 角田 典彦氏、ユーシーカード 代表取締役社長 福岡 和大氏、楽天カード 代表取締役 副社長執行役員 石崎 安雄氏(代表取締役社長 穂坂雅之氏の代理出席)も構成員として参加した。また、決済代行事業者のGMOペイメントゲートウェイ上席専務執行役員 システム本部長 杉山 真一氏(代表取締役社長 相浦 一成氏の代理出席)、公益社団法人日本通信販売協会 専務理事 万場徹氏(会長 粟野光章氏の代理出席)、独立行政法人国民生活センター 理事長 山田 昭典氏、一般社団法人日本クレジット協会 会長 山本豊氏、経済産業省大臣官房総括審議官/商務・サービスグループ長補佐 南亮氏が構成員として参加した。
なお、オブザーバーとして、警察庁サイバー警察局サイバー企画課 サイバー事案防止対策室長 根木まろか氏、ビザ・ワールドワイド・ジャパン 政府渉外部長 渡辺壮一氏、オンラインマーケットプレイス協議会 代表理事 片岡康子氏が参加している。
割賦販売法でクレカの不正対策を強化
EMV 3-DSはEUでの成果も参考に
経済産業省は、過去最大となった被害額のうち、不正アクセス等 で窃取したクレジットカード番号によるEC取引での不正利用が大部分を占めると説明。クレジットカード番号の窃取は、EC加盟店やPSP(ペイメント・サービス・プロバイダー)などに対するサイバー攻撃のほか、フィッシング技術の 巧妙化による消費者側からの窃取も多いとした。
割賦販売法の取り組みとして、2008年にイシュア(カード発行会社)、アクワイアラ(加盟店開拓事業者)に対し、クレジットカード番号の適切管理義務を導入した。2016年には、加盟店にクレジットカード番号の適切管理義務、および不正利用防止対策義務を導入した。また、アクワイアラには登録制を導入するとともに、加盟店の適切管理、および不正利用防止対策の状況調査を義務付けた。2020年には、決済代行業者やQRコード決済事業者などに対し、クレジットカード番号の適切管理義務などを導入している。
2022年8月から「クレジットカード決済システムのセキュリティ対策強化検討会」を開催し、原則、すべてのEC加盟店にEMV3-Dセキュアの導入を進めることを「クレジット・セキュリティガイドライン」に追記している。検討会以降は、2023年に情報漏洩防止において、独立行政法人情報処理推進機構(IPA)によるECサイト構築・運用セキュリティガイドライン制定した。また、同年には警察庁、総務省との連名によるカード会社へのフィッシング対策の要請、サイバー事案の未然防止のため警察庁(サイバー警察局)との連携を強化している。さらに、利用者への周知活動は継続して行ってきた。
なお、先行して不正対策強化のため本人認証を強力な顧客認証(SCA)を求める決済サービス指令を採択(2016年)した欧州連合(EU)では、EMV 3-Dセキュアを一般的顧客認証手段と位置づけている。EUでは順次、加盟国による国内制度化が行われ、相応の効果を発揮していると推察されるとした。また、同指令では、リスク度合い等によって、顧客認証を免除する仕組みを採用しているそうだ。
