EC事業者などに政府が求めるカード決済のセキュリティ対策とは? 経産省が「実行計画2019」改定
2019/3/8 10:00 クレジット取引セキュリティ対策協議会は3月4日、クレジットカード決済のセキュリティ対策をまとめた「実行計画」の改訂版を公表した。ECなど非対面取引におけるクレジットカードの不正利用対策など、追加項目を盛り込んだ。
「実行計画」は、2018年6月1日に施行された改正割賦販売法におけるセキュリティ対策義務の実務上の指針となる。定期的に改定されており、経産省が今回公表したものは「実行計画2019」。
「実行計画2019」では、主に以下の4点を改定した。
1. クレジットカード情報保護対策
新たな脅威への警戒とセキュリティ対策への継続的な取組の推進。たとえば、EC加盟店における漏えい事案の傾向などを踏まえ、自社システムの定期的な点検やその結果に基づく追加的な対策の実施。
2. クレジットカード偽造防止による不正利用対策
非接触ICカードにおいて一定金額を超える取引については、原則、接触IC取引のオフラインPIN入力とすること(ただし、オフラインPIN機能環境に対応できないカード型などでサインを要求する場合はこれを許容する)。
3. 非対面取引におけるクレジットカードの不正利用対策
- 3Dセキュア(本人認証)の取組強化の一環として、利用者のパスワードの登録率向上のほか、カード会社がリスクの高い取引を判定する「リスクベース認証」導入を推進すること
- セキュリティコードの多数回連続エラーの際には取引不成立とすること
- 属性・行動分析の定義・有効性などを明記
4. その他
加盟店におけるセキュリティ対策の見える化の更なる周知(IC加盟店は実施中、EC加盟店は2019年度より実施予定)
「実行計画」がEC加盟店に求める対策とは?
「実行計画」ではEC事業者に対し、ECサイト側が顧客のクレジットカード情報を保持しない仕組みを作るか、カード情報を保持する場合には高レベルのセキュリティ対策(PCI-DSS準拠など)を求めた。
EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。
また、クレジットカードの不正利用のリスクや、被害の発生状況に応じて、加盟店に対策を講じるよう規定している。対策の具体例は「本人認証(3Dセキュアなど)」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報の確認」の4つ。
リスクが高い商材として指定された「デジタルコンテンツ(オンラインゲームを含む)」「家電」「電子マネー」「チケット」を扱っている加盟店に対しては、上記のうち1つ以上を導入するよう求めている。
また、不正利用の被害が多発しているとカード会社が判断した加盟店は、上記のうち2つ以上の対策を導入する必要がある。
