クレジット取引セキュリティ対策協議会は3月4日、クレジットカード決済のセキュリティ対策をまとめた「実行計画」の改訂版を公表した。ECなど非対面取引におけるクレジットカードの不正利用対策など、追加項目を盛り込んだ。

「実行計画」は、2018年6月1日に施行された改正割賦販売法におけるセキュリティ対策義務の実務上の指針となる。定期的に改定されており、経産省が今回公表したものは「実行計画2019」。

経済産業省はクレジットカード決済のセキュリティ対策をまとめた「実行計画」の改訂版を公表
「実行計画」における対策の3本柱(画像は「実行計画2019」の概要版からキャプチャ)

「実行計画2019」では、主に以下の4点を改定した。

1. クレジットカード情報保護対策

新たな脅威への警戒とセキュリティ対策への継続的な取組の推進。たとえば、EC加盟店における漏えい事案の傾向などを踏まえ、自社システムの定期的な点検やその結果に基づく追加的な対策の実施。

2. クレジットカード偽造防止による不正利用対策

非接触ICカードにおいて一定金額を超える取引については、原則、接触IC取引のオフラインPIN入力とすること(ただし、オフラインPIN機能環境に対応できないカード型などでサインを要求する場合はこれを許容する)。

3. 非対面取引におけるクレジットカードの不正利用対策

  • 3Dセキュア(本人認証)の取組強化の一環として、利用者のパスワードの登録率向上のほか、カード会社がリスクの高い取引を判定する「リスクベース認証」導入を推進すること
  • セキュリティコードの多数回連続エラーの際には取引不成立とすること
  • 属性・行動分析の定義・有効性などを明記

4. その他

加盟店におけるセキュリティ対策の見える化の更なる周知(IC加盟店は実施中、EC加盟店は2019年度より実施予定)

「実行計画」がEC加盟店に求める対策とは?

「実行計画」ではEC事業者に対し、ECサイト側が顧客のクレジットカード情報を保持しない仕組みを作るか、カード情報を保持する場合には高レベルのセキュリティ対策(PCI-DSS準拠など)を求めた。

EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。

経済産業省はクレジットカード決済のセキュリティ対策をまとめた「実行計画」の改訂版を公表
EC加盟店における非保持化を実現するセキュリティ措置(画像は「実行計画2019」の概要版からキャプチャ)

また、クレジットカードの不正利用のリスクや、被害の発生状況に応じて、加盟店に対策を講じるよう規定している。対策の具体例は「本人認証(3Dセキュアなど)」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報の確認」の4つ。

リスクが高い商材として指定された「デジタルコンテンツ(オンラインゲームを含む)」「家電」「電子マネー」「チケット」を扱っている加盟店に対しては、上記のうち1つ以上を導入するよう求めている。

また、不正利用の被害が多発しているとカード会社が判断した加盟店は、上記のうち2つ以上の対策を導入する必要がある。

経済産業省はクレジットカード決済のセキュリティ対策をまとめた「実行計画」の改訂版を公表
非対面取引におけるクレジットカードの不正利用対策(画像は「実行計画2019」の概要版からキャプチャ)
この記事が役に立ったらシェア!
ニュース分類: 
記事カテゴリー: 

渡部 和章

ライトプロ株式会社 代表取締役

渡部 和章(わたなべ・かずあき)

通販/EC業界の専門紙を発行する新聞社で約7年半、記者を務めた後、2015年に編集プロダクションのライトプロを設立して代表に就任。EC業界のBtoB領域に特化した編集プロダクションとして活動中。

趣味は料理と漫画を読むこと。東京都在住。1983年生まれ。

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
楽天株式会社 eBay(イーベイ) ecbeing. Qoo10 Nint
[スポンサー]
株式会社アイル Wowma! クリームチームマーケティング合同会社 ユーザグラム