2017年7月12日7:30
■日本クレジット協会
偽造対策はクレジットカードおよび加盟店の決済端末の100%IC化を目指す
「ICカード対応POSガイドライン」を整備・周知
偽造対策はカード会社、加盟店それぞれIC対応を済ませることが命題です。今回の改正割賦販売法では、クレジットカードのICカード化は含まれていません。日本クレジットカード協会によると、2016年12月末現在で、クレジットカードのIC化率は75.4%でした。また、各社の集計によると、2020年3月には100%近い数値になる予定です。
具体的な対策として、一定金額以下でのPINレス取引などについて記載したIC取引時のオペレーションルールや、POSメーカー向けの開発支援冊子であるICカード対応POSガイドラインの整備・周知が挙げられます。POSはカード処理だけではなく、さまざまな機能が加えられます。大手加盟店では10億円単位の投資案件となり、クレジットカードだけのために改修することは難しい状況もあります。POS端末はさまざまなメーカーが提供しており、接続するPOSとカード端末のインターフェースもメーカーごとに若干仕様が異なりますが、コストダウンに結びつく標準化もお示しできる状態となりました。また、新たな端末を使用する場合、国際ブランドの接続テストを行う必要がありますが、最初にテストしたブランドの内容が問題ない場合、他のブランドのテストの一部は省略できることもあるという回答をいただいています。ICカード対応POSガイドラインは、業界団体を通じてPOSベンダーに周知していますが、専門的な内容になるため一般公開はしていません。ただ、日本クレジット協会の会員については、会員専用ページから閲覧可能です。
行政の役割として、補助金等の活用促進に向けた周知等を行っています。また、ICに対応した加盟店の公表、消費者向けの分かりやすい表示など、IC対応に向けた事業者の取組状況を見える化するため、消費者に認知することも検討しています。
改正割賦販売法の円滑な施行およびセキュリティ対策の強化の観点から、加盟店契約に関するガイドラインを策定・公表する取り組みとして、たとえばIC対応していない加盟店で偽造カードが使われた場合は、加盟店の責任となり、カード会社は加盟店契約を見直すといったようなガイドラインが行政によりとりまとめられる予定です。
偽造カードによる不正利用防止の2017年度の重点的な取り組みとして、カード会社はクレジットカードIC化に向けた取り組みを行い、加盟店は実行計画に基づいてICクレジットカード対応端末を導入することが挙げられます。また、ICカード対応POSガイドラインを活用していただくとともに、行政は日本クレジット協会と協力して加盟店業界団体に対して、割賦販売法や実行計画を周知していく方針です。
2020年に向けECにおける不正利用被害を最小化
2018年までに多面的・重層的な不正利用対策導入を目指す
実行計画の3つめの柱となる、ネットでのなりすまし等による不正利用防止(本人認証等)については、原則多面的・重層的な取り組みが必要です。本人認証(3-Dセキュア)やセキュリティコード、属性・行動分析等により不正な利用ではないか判断することはもちろん、配送を伴う場合にはウィークリーマンションや空き家などを分析して、申し込みのチェックを行うことが重要です。ただ、非対面取引は、決め手と言えるほどの対策がないため、一定の有効性のある代表的な方策として提示しています。EC加盟店はPSPと相談し、状況に応じた多面的・重層的な取り組みを行っていく必要があるでしょう。
実行計画2017では、動的なワンタイム・パスワードや生体認証の導入について触れています。本人認証では、3-Dセキュア2.0への移行・導入について、継続検討することを挙げています。また、カード番号に加え、セキュリティコードも窃取される事例が確認されているため、他の認証手段と併用することでより高い効果が期待されます。属性情報や配送先情報等も含め、しっかりとした対策を行うことが重要です。カード利用時のカード会員への利用通知メール配信サービスも有効と想定されます。
2017年度の重点的取り組みとして、カード会社による不正利用対策強化が挙げられます。たとえば、3-Dセキュアのパスワードの登録率の向上、ワンタイム・パスワードや生体認証などの導入促進、配送先情報の利用拡大・情報共有についての検討、不正利用被害額が大きい加盟店および特定5業種の加盟店対応などの取り組みが重要です。
また、加盟店による不正利用被害減少への取り組みも同時に求められます。たとえば、不正利用被害が大きい加盟店は早急に対応を行っていただき、対策を行っているが不正利用被害額が大きい加盟店については、より強力な方策の導入などの取り組みを早急に進めていただくことです。さらに、不正利用対策が成果を上げている事例の分析・評価および成果の共有なども行う必要があります。
最後に、日本クレジット協会では実行計画の周知に加え、当協会WEBサイトにおいて、「安全・安心なクレジットカード取引への取組み」ページを開設し、クレジットカードセキュリティについて詳しく解説していますので、ご参照ください。今回の実行計画により、関係する事業者はコストや手間もかかり、苦労をおかけしていますが、継続してセキュリティ対策にご協力いただければ幸いです。
※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」の一般社団法人日本クレジット協会 セキュリティ対策推進センター センター長 飯田 和徳氏の講演をベースに加筆を加え、紹介しています。
