不正検知・ノウハウ

クレジットカード・セキュリティガイドライン(実行計画の後継文書)について解説

2016年2月~2019年3月の間、クレジット取引セキュリティ対策協議会は「実行計画」を策定・実施。
クレジットカード取引において「国際水準のセキュリティ環境」を整備することを目的として、改善を行いました。

対応期限の2020年4月以降は、関係事業者が実施するセキュリティ対策として「クレジットカード・セキュリティガイドライン」を策定。引き続き、セキュリティ環境の整備を続けています。

本記事ではその「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)について解説します。

クレジットカード・セキュリティガイドラインの目的

カード情報の漏えい、不正利用の手口は、時とともに巧妙化・多様化。
それに対応するべく、事業者は被害の発生状況や手口等を検証し、セキュリティ対策の適切化を行う必要があります。

そこで、クレジットカード・セキュリティガイドラインでは、クレジットカード取引の関係事業者が講ずべきセキュリティ対策を策定。
さらに、その対策を有効に機能させるために取組むべき事項もまとめています。

クレジットカード・セキュリティガイドラインの関係事業者

本ガイドラインの「関係事業者」は、セキュリティ対策の実施主体者である

  • 加盟店
  • カード会社(イシュアー、アクワイアラー)
  • PSP

と、これらの事業者が対策を実施するに際し協力等を行う

  • 機器メーカー
  • ソリューションベンダー
  • 情報処理センター
  • セキュリティ事業者
  • 国際ブランド
  • 業界団体

などのクレジットカード取引に関係する事業者です。
また、またセキュリティ対策の検証が必要な場合には、関係事業者を追加する予定としています。

クレジットカード・セキュリティガイドラインの対象となるクレジットカード

本ガイドラインは基本的に国際ブランド付きのクレジットカードが対象です。
これは世界中で利用されており、不正利用のリスクが高いと考えられるためです。

国際ブランドが付いていないクレジットカードに関しては、利用できる範囲が限定され不正利用リスクが低いとし、現時点では対象としていません。

また、決済場面でコード等を用い、その決済代金がクレジットカードで請求される「コード決済サービス」に関しては、クレジットカード紐付け時におけるクレジットカード会社(イシュアー)及びコード決済事業者における本人確認等のセキュリティ対策が重要としています。

クレジットカード・セキュリティガイドラインの概要

分野別・セキュリティ対策の実施主体者別に、具体的な対策を一覧にしましたのでご覧ください。

クレジットカード情報保護対策分野の内容について

ー 加盟店
■カード情報を保持しない非保持化(非保持と同等/相当を含む)又はカード情報を保持する場合はPCI DSSに準拠する。【指針対策】
■カード情報の窃取を企図する者の最新の攻撃手口等の情報を踏まえ、対策実施後も不断に自社のセキュリティ対策の改善・強化を図る。
ー クレジットカード会社
■カード情報を取り扱うカード会社は、外部からの不正侵入やカード情報の外部への漏えい等といった外的脅威によるリスクを極小化し、かつ予見される様々なリスクに厳格に対処するためPCI DSSに準拠し、これを維持・運用する。このほか、関係法令・ガイドライン等を参照し、リスクに応じた必要なセキュリティ対策を講じるとともに、適切な管理運営を行う。【指針対策】
■カード会社(アクワイアラー)は、PSP等と連携の上、加盟店に対し非保持化(非保持と同等/相当を含む)又はPCI DSS準拠を推進するとともに、カード情報保護対策について必要な助言や情報提供等を行う。また、PCI DSS準拠を完了していないPSPがある場合には可及的速やかに準拠するよう指導を行う。
■カード会社(イシュアー)は、フィッシングやウイルス感染、ECサイト改ざんによる不正画面への遷移等、カード会員から直接カード情報等を窃取する手口も存在するため、消費者に対する注意喚起及びセキュリティ対策の必要性等の啓発を行う。
ー PSP
■カード情報を取り扱うPSPについては、PCI DSSに準拠し、これを維持・運用する。
■カード会社(アクワイアラー)と協力して、加盟店に対しカード情報保護対策について必要な助言や情報提供等を行い、その取組を支援する。
ー その他関係事業者等
①国際ブランド
■本ガイドラインに掲げるカード情報保護対策の実現に向け、国際ブランドの各種ルール等との調整を行い、各種課題の解決に向けて関係事業者と協働して取組む。
■グローバルな観点から、海外におけるカード情報保護に関するリスクや各種課題、我が国における国際水準のセキュリティ環境の整備の必要性等について、事業者向けの情報共有・発信に取組む。

②ソリューションベンダー
■非保持化加盟店に対し決済端末やソリューション等を提供する立場から、本ガイドラインに基づく非保持の状態が維持されるように、各事業者が連携の上、端末やソリューション等の機能・仕様面で情報漏えい防止のための必要なセキュリティ対策を講じることが求められる。

③行政
■割賦販売法に基づく監督等を通じ、カード会社及び加盟店等におけるカード情報の適切な管理のために必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げるカード情報保護対策の実施について、事業者向けや消費者向けの情報発信に取組む。

④業界団体等
■日本クレジット協会は、カード会社(アクワイアラー)と連携し、本ガイドラインに掲げるカード情報保護対策の必要性について加盟店に対する周知活動を徹底するとともに、加盟店の業界団体、消費者団体等との連携を強化し、事業者向けの情報発信に取組む。
■日本クレジット協会は、行政と連携の上、他の情報セキュリティに係る関係機関との連携・情報共有を図り、クレジット取引に関係する事業者等に対して適時情報発信を行う。

引用:「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要│一般社団法人日本クレジット協会

クレジットカード情報保護対策分野の内容は、表形式でまとめてありますので、該当箇所をご覧ください。

不正利用対策分野の内容について

(A)対面取引におけるクレジットカードの不正利用対策

ー 加盟店
■IC取引を可能とするため設置する決済端末の全てをIC対応する。【指針対策】
■特に、POSシステムでクレジットカード決済を行う加盟店は、自社のIC対応に係る実現方法を選択する際には、カード会社(アクワイアラー)や機器メーカー等に情報を求める。
ー クレジットカード会社(イシュアー・アクワイアラー)
■カード会社(イシュアー)は、発行するカードの全てをIC化する。
■カード会社(アクワイアラー)は、自ら所有する決済専用端末のIC対応を行う。
■カード会社(アクワイアラー)は、「IC取引時のオペレーションルール(クレジットカード・セキュリティガイドライン(公表版)30頁を参照)」に基づく運用がなされるように、加盟店に対して日本クレジット協会策定のガイドライン等について周知を行う。
■カード会社(アクワイアラー)は、契約を有する加盟店のIC対応を促進させるため、本セキュリティガイドラインで整理された各方策について加盟店の理解を促す活動を行うとともに、必要に応じて機器メーカーとも連携して情報を提供する。
■カード会社(アクワイアラー)は、POSシステムの接続インターフェース等の共通化やIC取引オペレーション等を踏まえ作成した「ICカード対応POSガイドライン」及び「非接触EMV対応POSガイドライン」について、機器メーカーや加盟店等への周知を行う。
ー その他関係事業者等
①国際ブランド
■IC取引時のオペレーションについて、我が国のクレジットカード業界として制定したルールを推進することに協働して取組む。また、技術の向上や環境の変化等により新たな措置等が必要になった場合は、カード会社と調整を行う。

②機器メーカー
■加盟店のIC対応を推進するため、IC対応の必要性及び本セキュリティガイドラインで整理された各方策について加盟店への周知活動等を進めるとともに、カード会社(アクワイアラー)とも連携し、加盟店へ必要な情報を提供する。
■POSシステムの接続インターフェース等の共通化や国際ブランドテストの簡略化等を活用し、加盟店におけるIC対応POSシステム導入時のコスト低減化に資する技術的解決策の実現に取組む。
■IC対応端末のコスト低減化や加盟店でのIC対応を円滑に行うために、今後開発・製造するクレジット機能を有するPOSシステムについては、IC対応可能なシステムを標準とする。

③行政
■割賦販売法に基づく監督等を通じ、対面加盟店における偽造カードによる不正利用防止のための必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げる偽造カードによる不正利用対策の実施について、事業者向けや消費者向けの情報発信に取組む。

(B)非対面取引(EC、メールオーダー・テレフォンオーダー)におけるクレジットカードの不正利用対策

ー 加盟店
■オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じたなりすまし不正利用対策を導入する。【指針対策】
「加盟店におけるなりすまし不正利用対策の具体的方策」(クレジットカード・セキュリティガイドライン(公表版)35頁)を参照
「加盟店における方策導入の指針」(クレジットカード・セキュリティガイドライン(公表版)37頁)を参照

■自社での不審なカード利用の把握に努めるとともに、不正利用の手口は日々巧妙化することから、カード会社における不正利用対策の更なる向上のため、当該情報(不審利用)について契約カード会社(アクワイアラー)やPSPと迅速な情報共有に努める。
■自社の不正利用対策の問題の特定とともにその解決を図るため、契約先のカード会社(アクワイアラー)やPSPとの間で迅速な情報共有に努める。
■加盟店サイトでの大量かつ連続する申込については早期に検知、遮断するなど、加盟店各社サイトにおいて被害の状況等に応じて必要な対策を講じることに努める。
ー クレジットカード会社(イシュアー)
■過去の取引履歴等の様々な情報から、不正取引か否かを判断するオーソリモニタリングの検知精度の向上・強化に努める。
■「3-Dセキュア」において、イシュアー版の属性・行動分析(不正検知システム)である「リスクベース認証」の導入を検討する。
■「3-Dセキュア」の利用拡大のため、カード会員の利用登録率の向上を図るとともに、「動的(ワンタイム)パスワード」の導入を促進する。
■加盟店(オフアス取引の場合はアクワイアラー経由)からの、真正利用確認照会件数の増加を想定した対応体制を整備する。
■「カード利用時におけるカード会員向け利用確認メール等通知」の導入を促進する。
■「セキュリティコード」の桁数が少ないことを悪用した多数回連続アクセスに対して早期に検知し、当該取引を不成立とする対策が必要である。
ー クレジットカード会社(アクワイアラー)及びPSP
■カード会社(アクワイアラー)及びPSPは、加盟店に対して、なりすまし不正利用対策の具体的な方策の導入について、適切な助言・協力ができるよう体制の整備をするとともに、リスク・被害発生状況に応じた方策導入の確実な実施のため加盟店に対する指導及び状況に応じた適切な提案を行う。
「加盟店における方策導入の指針」(クレジットカード・セキュリティガイドライン(公表版)37頁)を参照
■カード会社(アクワイアラー)は、加盟店に対し、不正利用対策の参考となるよう、なりすまし不正利用の傾向や事例等の情報及びなりすまし不正利用対策を導入しないリスクについて情報共有に努める。
■カード会社(アクワイアラー)は、オフアス取引において、加盟店におけるなりすまし不正利用対策の更なる向上のため、カード会社(イシュアー)から提供された不正情報についてできるだけ多くの加盟店と迅速な情報共有に努める。各加盟店における不正利用対策の問題の特定とともにその解決を図るため、各加盟店との間で迅速な情報共有に努める。
■PSPは、本ガイドラインに掲げる「本人認証」「券面認証」「属性・行動分析(不正検知システム)」「配送先情報」の各方策を提供できる体制を構築し、契約先の加盟店に対して導入の推進に努める。

ー その他関係事業者等
①国際ブランド
■我が国における非対面加盟店でのクレジットカード取引実態を踏まえ、各種課題の解決に向けて関係事業者と協働して取組む。
■「EMV 3-Dセキュア」に係るステークホルダーへの影響(運用ルール等)及び「EMV 3-Dセキュア」への移行について、情報の提供及び説明を行う。
■非対面加盟店における不正利用対策の取組を推進するため、海外のカード会社や加盟店における取組事例について情報提供を行うとともに、我が国における国際水準のセキュリティ環境の整備の必要性について、事業者向けの情報発信に取組む。

②行政
■割賦販売法に基づく監督等を通じ、非対面加盟店におけるなりすまし不正利用防止のための必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げるなりすまし不正利用対策の実施について、事業者向けや消費者向けの情報発信に取組む。

③業界団体等
■日本クレジット協会は、他の業界団体に協力を要請し、不正利用の実態を踏まえ、加盟店において本ガイドラインに掲げるリスクに応じたなりすまし不正利用対策を導入する必要性及び各方策の有効性等について、事業者向けの周知活動の強化に取組む。
■日本クレジット協会は、最新の不正発生状況を踏まえた「不正顕在化加盟店」の基準や「高リスク商材取扱加盟店」の特定商材の継続的な検討、不正利用被害が継続的に発生する加盟店の不正利用発生状況の分析・評価、加盟店が取り扱う商材に応じた各方策の有効性の検証や方策の組合せ効果の検証を継続して行う。
■日本クレジット協会は、不正利用による被害の実態や最新の犯罪手口、不正利用対策に対する取組の成功事例等について、他の情報セキュリティに係る関係機関との連携・情報共有を図り、クレジット取引に関係する事業者等に対して適時情報発信を行う。

引用:「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要│一般社団法人日本クレジット協会

不正利用対策分野の内容についても上述の通りです。
3Dセキュアやセキュリティコードの導入など、具体的な指示がありますので、早急に対応しましょう。

「宿泊予約サービス」が高リスク商材取扱加盟店に

日本クレジット協会は、「高リスク商材取扱加盟店」の特定商材の継続的な検討も行っています。
直近では、

  • デジタルコンテンツ(オンラインゲームを含む)
  • 家電
  • 電子マネー
  • チケット

に加え、宿泊予約サービスを主たる商材として取り扱う加盟店も含まれるようになりました。該当する事業者は注意しましょう。

これらの「高リスク商材取扱加盟店」は「なりすまし不正利用対策の4つの方策」として挙げられている

  1. 本人認証
  2. 券面認証(セキュリティコード)
  3. 属性・行動分析
  4. 配送先情報

のうち、1方策以上をとるように指示されています。
とくに宿泊予約サービスを主たる商材として取り扱う加盟店は、2020年9月末日迄にその対応完了が求められていました。

これらの方策を取り入れるためにおすすめしたいのが、不正検知システムの導入です。

不正検知システムとは、取引データや検知サービスそれぞれのノウハウから取引完了前に危険性を検知する仕組みです。
どのようなデータを利用するかは不正検知システムによって異なるのですが、本ガイドラインが挙げる4つの方策のうち、複数対応できるケースが多くあります。さらに、不正検知システムを提供する企業のサポートを受けらることもあるので、これから不正対策を取り入れるという事業者の方には特におすすめです。

また、当サイトを運営するかっこ株式会社の「O-PLUXforトラベル」など、不正検知サービスの中には宿泊予約サービス向けの対応を行うものもあります。
特定の業界にあわせた対応ができるので、検討してみてはいかがでしょうか。

航空会社、宿泊施設、旅行代理店、予約サイトの不正対策に!O-plux for トラベル

ピックアップ記事

  1. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  2. テレワーク時代における効果的なセキュリティ対策について
  3. 【保存版】企業ができるサイバー攻撃への対策
  4. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  5. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説

関連記事

  1. 不正検知・ノウハウ

    改正割賦販売法の内容とは?実行計画も含めて解説

    割賦販売(かっぷはんばい)やクレジットカードでの後払いを適切に規制…

  2. 不正検知・ノウハウ

    旅行事業者・旅行者が知っておくべき「不正トラベル対策」

    クレジットカード不正使用による被害は、2019年の時点で約273億円(…

  3. ニュース・業界動向

    チケット不正転売容疑で都職員を逮捕。3200枚の不正転売により5000万円の売上

    2019年11月28日、東京都北区に住む東京都の千代田都税事務所の職員…

  4. 不正検知・ノウハウ

    不正検知モデルとは?役割やモデルを活用したソリューションをご紹介

    電子取引が主要になったことで、インターネットを介した不正が多くなっ…

おすすめ記事

  1. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  2. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
  3. サイバー攻撃とは?効果的な対策・検知方法・種類を解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. 不正アクセスを検知する「不正検知システム」とは?
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 3Dセキュア

    3Dセキュアに対応しているおすすめカードブランド。3Dセキュアの役割や利用上の注…
  2. ニュース・業界動向

    経済産業省「割賦販売法の一部を改正する法律案」が閣議決定。新たに講じられる3つの…
  3. セキュリティ用語

    不正トラベルとは?その手口を図解・解説
  4. 不正アクセス

    不正アクセスを検知する「不正検知システム」とは?
  5. 不正検知・ノウハウ

    アドフラウド(adfraud)の具体的な手口と適切な対策方法
PAGE TOP