クレジットカード取引のセキュリティ対策
はじめに
クレジットカード会社、決済代行業者、セキュリティ事業者などから構成される「クレジット取引セキュリティ対策協議会」が、クレジット取引のセキュリティ対策として「実行計画」を取りまとめ公表しています。
- クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画を取りまとめました~国際水準のクレジットカード決済環境の整備を進めます~ – 経済産業省
- 協議会実行計画の概要 – 一般社団法人日本クレジット協会
実行計画は、PDFで全文を読むことができます。みなさん読みましょう。
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-【公表版】
以下、ざっくりと(非対面型のみ抜粋)
セキュリティ被害の状況
日本のクレジットカードの不正使用被害は2003年以降、減少していたがオンライン取引の増加により、2013年から再び増加している。
通過型と非通過型
そもそもカード情報を保持していなければ、カード情報を搾取されるリスクが払拭され、最も有効なセキュリティ対策と考えられる。
カード情報を保持しなければ事業を運営できない事業者は、PCIDSSに準拠することが求められる。
ECでのカード決済には、カード情報がサーバを通過する「通過型」と、通過しない「非通過型」の2種類がある。通過しなければ保持することがないため、リンク型またはJavaScriptを利用した悲通過型の決済システムの導入を促進する。
すでに通過型を導入済みのECは、システムログなどへのカード情報保存がされていないか確認をおこない、保存されている場合は対応をおこなう。また、非通過型への以降が強く推奨される。
漏洩時の緊急対応について
日本クレジットカード協会が公開している「カード情報漏えい時の緊急対応マニュアル」を参考に、速やかに対応をおこなう(※マニュアルがどこにあるかわからなかった><)
各主体の役割について(加盟店)
加盟店は以下の検討・対応をおこなう。
- 2018年3月末までにカード情報の非保持化又は PCIDSS 準拠完了を目指す。
- 通過型システムを導入しているEC加盟店は、自社のシステムのトランザクションログ等においてカード情報のログが蓄積されていないか、至急確認を行い、蓄積されている場合は削除するものとし、さらに、より安全な非通過型システムへの移行を進める。
ECでの不正使用対策について
- 3Dセキュアや認証アシストなろにより、本人確認を強化する。ただし、利用者のパスワード忘れなどによる機会損失の懸念がある。
- セキュリティーコードによる認証は導入コストが廉価であり、加盟店が導入しやすい。
- 過去の取引情報をもとにしたリスク評価をおこない、不正取引と判定するサービスがあり、メリットが大きい。
- 不正な配送先のDB情報をカード会社や大手加盟店が運用しており、安価なコストで導入が可能。
(おまけ)
日本では、磁気情報でのクレジットカード取引が大半を占めているが、磁気情報はスクリーニングによる偽造カード生成が容易である。
米国では偽造カード対策として、IC対応が急速に進められている。欧州ではほぼ100%がIC取引となっている。
日本でも、IC化をすすめる。
(おまけ)
用語集 – 一般社団法人日本クレジット協会
