• 決済
  • 連載第20回
  • 2016/6/10

クレジットカードのセキュリティ対策強化計画を発表 カード情報非保持や本人認証技術導入を2018年3月まで求める

AdobeStock_16024857

経済産業省、日本クレジット協会、楽天、ヤフー、カタログハウス、三越伊勢丹ホールディングス、ヨドバシカメラなどが活動する「クレジットカード取引セキュリティ対策協議会」は、2016年2月23日にクレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました。対面の加盟店、非対面の加盟店が安全にクレジットカードを処理するために必要な施策が細かくまとめられています。今回は非対面におけるカード情報保護対策、ECにおける不正使用対策について、同実行計画から求められる施策について取り上げます。

カード情報保持もしくはPCI DSS準拠を求める

「クレジット取引セキュリティ対策協議会」は、2020年のオリンピック・パラリンピック東京大会開催に向け、国内でキャッシュレス決済を促進するために、”世界最高水準のセキュリティ環境”を整備することを目的として立ち上げられました。2015年3月に発足し、同年7月の第2回本会議では、中間論点整理と今後の検討の方向性について取りまとめられました。

2月23日に発表された「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-」では、各主体者が推進するうえでの羅針盤となり、加盟店のコスト負担低減も含めて対策が公表されています。

近年、大きな問題となっているカード情報の保護については、加盟店がカード情報を保持しない取り組みを進めていくそうです。例えば、決済代行事業者を利用する場合、①クレジットカード情報が加盟店のサーバを通過するケース、②決済代行事業者のサーバで決済処理される――2つのケースが挙げられます。①のカード情報を処理・伝送・保存するケースにおいては、「SQLインジェクション」などによる不正アクセスにより、クレジットカード情報が漏えいする事件が相次いでいるため、不正利用対策が喫緊の課題となっています。一方、②の場合、加盟店のサーバで決済処理が行われるため、加盟店サイドからカード情報が漏えいする可能性は限りなく低く、安全です。

そのため、カード情報の漏えい頻度の高いEC加盟店は2018年3月末までに非保持化を進めるか、保持する場合はペイメントカードの国際セキュリティ基準である「PCI DSS」準拠を完了することを求めています。

不正利用対策は本人認証技術の導入などを進める

また、「ECにおける不正使用対策については、被害の傾向と攻撃手口等を踏まえ、EC加盟店は2018年3月末までに本人認証の導入などの多面的・重層的な対策を講じることを、それぞれ目指す」としています。

国際ブランドが推進する本人確認手段の「3-Dセキュア」やソニーペイメントサービスが提供する属性情報を活用した「認証アシストサービス」はもちろん、「セキュリティコード」の入力を求めたり、過去の取引情報などに基づき怪しい取引を防止する「不正検知システム」の導入、犯罪組織などの配送先情報をデータベース化した商品配送の防止などが対策として挙げられました。不正利用防止対策についても、2018年3月末までに導入を求めるそうです。

クレジットカードの不正利用額は増加傾向に(出所:一般社団法人日本クレジット協会「クレジットカード不正使用被害額の発生状況」)
クレジットカードの不正利用額は増加傾向に(出所:一般社団法人日本クレジット協会「クレジットカード不正使用被害額の発生状況」)

カード会社が加盟店に提案できる体制整備が課題か?

今回、さまざまプレイヤーが集い、実行計画がまとめられたことは評価できます。ただし、気になるのは具体的にカード会社から加盟店に提案できるかどうかだと思います。実際、今回の実行計画は強制力があるわけではありません。また、過去にもカード情報の不正利用対策を取りまとめた計画が発表されましたが、事はうまく運びませんでした。

たとえば、カード情報を保持しないスキームの推進について、日本クレジット協会は、「日本におけるクレジットカード情報管理強化に向けた実行計画」を2012年に発表しています。加盟店の対象は、レベルA~Dの4つに分類。レベルAは、年間の決済件数がアメリカン・エキスプレスの250万件以上、JCBの100万件以上、MasterCardとVisaの600万件以上の対象企業のうち、2ブランド以上の基準に該当した企業を4ブランドにより選別しました。例えば、レベルAで非対面のネット加盟店は、カード情報非保持が2012年9月まで、PCI DSS準拠が2013年3月までの期限が設けられましたが、カード情報を保持している加盟店であっても一部のショッピングモールやインターネットサービスプロバイダ(ISP)しかPCI DSSに準拠しませんでした。日本では、カード会社よりも加盟店の立場が強いため、なかなか推進が進まない状況です。

また、日本クレジット協会では2007年、インターネット決済の売上高上位100店に対し、本人認証技術である3-Dセキュア等の推進を実施。2011年には新規インターネット加盟店への導入を原則としました。しかし残念ながら、売上機会損失の懸念から普及は進んでいない状態です。加盟店の反発もあり、同協会は2012年策定の「インターネット上での取引時における本人なりすましによる不正使用防止のためのガイドライン」で、3-Dセキュアを推奨しつつも、それ以外で効力があると判断できる認証方式も認めています。

このように、過去のケースでは、推進発表後の具体的な対策に課題がありました。幸い、「クレジットカード取引セキュリティ対策協議会」では、今後も議論を継続していくということです。今後は、2018年末までの目標に向け、クレジットカード業界全体で加盟店に推進していく体制を整えてもらいたいですね。

著者紹介

秋山 恭平
  • 株式会社ネットプロテクションズ
  • マーケティング部
  • マネージャー
  • bnr_air
  • bnr_atobarai
  • bnr_frex

最近の投稿