クレカ決済のセキュリティ対策を講じているECサイトは「実行計画」に取り組んでいると自己宣言を
クレジット取引セキュリティ対策協議会(事務局・日本クレジット協会)は、カードの不正利用対策などを実施したEC事業者に対して、取り組みの内容をECサイト上で消費者に周知するよう呼び掛けている。改正割賦販売法によって義務付けられたセキュリティ対策の指針を踏まえたもの。EC・通販業界に向けては、日本通信販売協会に周知を依頼した。
同協議会は今年3月、2018年6月1日に施行された改正割賦販売法におけるセキュリティ対策義務の実務上の指針として「実行計画2019」を公表。情報漏えいやカードの不正利用などを防ぐためのセキュリティ対策を規定するとともに、EC事業者が実行計画に基づいてセキュリティ対策を実施した場合には、その旨を自社のECサイト上で宣言するようを求めている。
宣言文の参考例は以下の通り。
- 「割賦販売法に基づき、クレジット取引セキュリティ対策協議会の定める実行計画に取り組んでおります」
- 「割賦販売法に基づき、クレジットカード取引のセキュリティ対策に取り組んでおります」
協議会は実行計画を毎年改定しており、今年3月に最新版の「実行計画2019」を公表した。
「実行計画」がEC加盟店に求める対策とは?
「実行計画」ではEC事業者に対し、ECサイト側が顧客のクレジットカード情報を保持しない仕組みを作るか、カード情報を保持する場合には高レベルのセキュリティ対策(PCI-DSS準拠など)を求めた。
EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。
また、クレジットカードの不正利用のリスクや、被害の発生状況に応じて、加盟店に対策を講じるよう規定している。対策の具体例は「本人認証(3Dセキュアなど)」「券面認証(セキュリティコード)」「属性・行動分析(不正検知システム)」「配送先情報の確認」の4つ。
リスクが高い商材として指定された「デジタルコンテンツ(オンラインゲームを含む)」「家電」「電子マネー」「チケット」を扱っている加盟店に対しては、上記のうち1つ以上を導入するよう求めている。
また、不正利用の被害が多発しているとカード会社が判断した加盟店は、上記のうち2つ以上の対策を導入する必要がある。