クレジット取引セキュリティ対策協議会によると、、3月1日に第5回本会議を開催し、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下「実行計画」という)-2018-」(注 2)を取りまとめたとして発表しました。
実行計画 2018 では、①カード情報の保護対策、②対面取引におけるカードの偽造防止対策(IC対応)、③非対面取引における不正利用対策について、実行計画2017の進捗を反映させつつ、2020 年に向けてさらなる取組の推進を図るための改訂したとしています。
具体的には
1.クレジットカード情報保護の強化に向けた対策
○加盟店は、カード情報の非保持化(同等/相当(対面取引加盟店、メールオーダー・テレフ
ォンオーダー加盟店)含む)又はカード情報を保持する場合は PCI DSS※1準拠すること。
○カード会社、PSP※2は PCI DSS 準拠すること。
※1 PCI DSS(Payment Card Industry Data Security Standard)とは、カード情報を扱う全ての事業者に対して国際ブランドが定めたデータセキュリティの国際基準をいう。
※2 本実行計画では、PSP(Payment Service Provider)とは、インターネット上の取引において EC 加盟店にクレジットカード決済スキームを提供し、カード情報を処理する事業者をいう。
2.クレジットカード偽造防止による不正利用対策
○加盟店は、クレジットカード決済端末を「100%IC 対応」すること。
○クレジットカード会社は、クレジットカードを「100%IC 化」すること。
3.非対面取引におけるクレジットカードの不正利用対策
非対面加盟店(EC、メールオーダー・テレフォンオーダー等)は、リスクや被害発生状況等
に応じた方策を導入する。
○全ての非対面加盟店は、加盟店契約における善管注意義務による不正利用発生を防止すると
ともに、オーソリゼーション処理の態勢整備を図ること。
○高リスク(業種)加盟店※3は、不正利用防止のための 4 方策※4の内、1 方策以上を導入する
こと。
○不正顕在化加盟店※5は、不正利用防止のための 4 方策※4の内、2 方策以上を導入すること。
※なお、4 方策の内、2 方策以上を導入していても不正被害が減少せず、引き続き、「不正顕
在化加盟店」と認識される加盟店は、カード会社(アクワイアラー)等より不正利用の発
生状況等の情報共有を受け、不正利用防止についての追加的な方策の導入等のため継続的
な検討が求められる。
※3 高リスク(業種)加盟店とは、特定 4 業種(①デジタルコンテンツ(オンラインゲームを含む)、②家電、③電
子マネー、④チケット)に属する加盟店をいう。
※4 不正利用防止のための 4 方策とは、①本人認証、②券面認証、③属性・行動分析、④配送先情報をいう。
※5 不正顕在化加盟店とは、不正利用被害が多発状況(継続的に一定金額を超える不正被害発生)にあるとカード
会社(アクワイアラー)等が認識する加盟店をいう。クレジットカードの番号がたびたび、不正アクセスにより漏洩していることを受け、EC事業者など個人情報を取得する事業者は特に注意が必要です。
サイバーセキュリティソリューションズではWebやネットワークといったIT環境に脆弱性がないかをチェックするソリューションをご提供しています。
⇒『脆弱性診断サービス』
PARTNER
