2019年9月4日8:00
キャッシュレス社会の健全な発展のために対策徹底を求める
経済産業省と産学官の連携組織「一般社団法人キャッシュレス推進協議会」は、2019年4月、コード決済(QRコード決済) における不正流出したクレジットカード情報の不正利用防止対策に関するガイドラインを策定した。2018年末の「PayPay」 の不正利用をはじめとしたQRコード決済における、クレジットカード情報の不正利用に対応した。
あらゆるプロセスでの防止を検討
コード決済(QRコード決済)における不正流出したクレジット カード情報の不正利用防止対策を業界横断的に検討するため、経産省も参画する産学官の枠組みであるキャッシュレス推進協議会で は、コード決済事業者、クレジットカード事業者などの参加を得て、 2018年末に検討会を立ち上げ、コード決済事業者とクレジットカー ド事業者として守るべきセキュリティの水準の検討を進めていた。
経済産業省 商務情報政策局 商務・サービスグループ 消費・流通政策課 キャッシュレス推進室 室長補佐 小暮千賀明氏は、「キャッシュレス社会を健全に発展させるためには、不正に対する対応が必要で、業界としての守るべきルールを定めるべきという考えを共有しました」と説明する。
ガイドラインは、実際にセキュリティコード(CVV)も含めた、クレジットカードの券面情報全てが流出している事象も確認されていることから、カード券面以外の情報も含めて、いかに本人確認を行うのかを検討したうえで、あらゆるプロセスでの防止を検討した。
具体的には、コード決済事業者として守るべきセキュリティの水 準を示すため、なりすましや架空人物でのアカウント作成、不正取 得した情報を使ってのカード情報の登録などを重点的に検討した。
3-Dセキュア導入で最低限のセキュリティ確保
ガイドラインの概要では、アカウント作成時に、本人確認の徹底とコード決済事業者が持っている周辺情報を活用することや、 カード情報の登録時には、セキュリティコードの入力回数の制限 や登録できるクレジットカード枚数制限などを求める一方、クレ ジットカード会社にはカードの名義人に対する啓発などを促す。
決済利用時には、金額や利用回数に関する上限設定や、異常な取引を検知するためのモニタリングの実施とモニタリング結果の活用。決済後には不正検知の精度向上・強化などを求めている。
アカウント作成から、カード情報の登録、決済利用、決済後の 全体を通し「3-Dセキュア」の導入や、「3-Dセキュア」と同等のセキュリティ確保が可能な不正利用対策の実施を求めている。
小暮氏は、「不正が起きやすい状況をなくすということであり、3-D セキュアの導入で、最低限のセキュリティを担保できるという考え方です。とはいえ、どこか一点のセキュリティを高めれば問題が解 決するというわけではありません。総合的な対策が必要で、消費者も、個人情報保護に関する感度を高めていただきたいです」と話す。
不正発生に素早く対応した経産省、協議会
※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より