不正検知・ノウハウ

クレジットカード・セキュリティガイドライン(実行計画の後継文書)について解説

2016年2月~2019年3月の間、クレジット取引セキュリティ対策協議会は「実行計画」を策定・実施。
クレジットカード取引において「国際水準のセキュリティ環境」を整備することを目的として、改善を行いました。

対応期限の2020年4月以降は、関係事業者が実施するセキュリティ対策として「クレジットカード・セキュリティガイドライン」を策定。引き続き、セキュリティ環境の整備を続けています。

本記事ではその「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)について解説します。

クレジットカード・セキュリティガイドラインの目的

カード情報の漏えい、不正利用の手口は、時とともに巧妙化・多様化。
それに対応するべく、事業者は被害の発生状況や手口等を検証し、セキュリティ対策の適切化を行う必要があります。

そこで、クレジットカード・セキュリティガイドラインでは、クレジットカード取引の関係事業者が講ずべきセキュリティ対策を策定。
さらに、その対策を有効に機能させるために取組むべき事項もまとめています。

クレジットカード・セキュリティガイドラインの関係事業者

本ガイドラインの「関係事業者」は、セキュリティ対策の実施主体者である

  • 加盟店
  • カード会社(イシュアー、アクワイアラー)
  • PSP

と、これらの事業者が対策を実施するに際し協力等を行う

  • 機器メーカー
  • ソリューションベンダー
  • 情報処理センター
  • セキュリティ事業者
  • 国際ブランド
  • 業界団体

などのクレジットカード取引に関係する事業者です。
また、またセキュリティ対策の検証が必要な場合には、関係事業者を追加する予定としています。

クレジットカード・セキュリティガイドラインの対象となるクレジットカード

本ガイドラインは基本的に国際ブランド付きのクレジットカードが対象です。
これは世界中で利用されており、不正利用のリスクが高いと考えられるためです。

国際ブランドが付いていないクレジットカードに関しては、利用できる範囲が限定され不正利用リスクが低いとし、現時点では対象としていません。

また、決済場面でコード等を用い、その決済代金がクレジットカードで請求される「コード決済サービス」に関しては、クレジットカード紐付け時におけるクレジットカード会社(イシュアー)及びコード決済事業者における本人確認等のセキュリティ対策が重要としています。

クレジットカード・セキュリティガイドラインの概要

分野別・セキュリティ対策の実施主体者別に、具体的な対策を一覧にしましたのでご覧ください。

クレジットカード情報保護対策分野の内容について

ー 加盟店
■カード情報を保持しない非保持化(非保持と同等/相当を含む)又はカード情報を保持する場合はPCI DSSに準拠する。【指針対策】
■カード情報の窃取を企図する者の最新の攻撃手口等の情報を踏まえ、対策実施後も不断に自社のセキュリティ対策の改善・強化を図る。
ー クレジットカード会社
■カード情報を取り扱うカード会社は、外部からの不正侵入やカード情報の外部への漏えい等といった外的脅威によるリスクを極小化し、かつ予見される様々なリスクに厳格に対処するためPCI DSSに準拠し、これを維持・運用する。このほか、関係法令・ガイドライン等を参照し、リスクに応じた必要なセキュリティ対策を講じるとともに、適切な管理運営を行う。【指針対策】
■カード会社(アクワイアラー)は、PSP等と連携の上、加盟店に対し非保持化(非保持と同等/相当を含む)又はPCI DSS準拠を推進するとともに、カード情報保護対策について必要な助言や情報提供等を行う。また、PCI DSS準拠を完了していないPSPがある場合には可及的速やかに準拠するよう指導を行う。
■カード会社(イシュアー)は、フィッシングやウイルス感染、ECサイト改ざんによる不正画面への遷移等、カード会員から直接カード情報等を窃取する手口も存在するため、消費者に対する注意喚起及びセキュリティ対策の必要性等の啓発を行う。
ー PSP
■カード情報を取り扱うPSPについては、PCI DSSに準拠し、これを維持・運用する。
■カード会社(アクワイアラー)と協力して、加盟店に対しカード情報保護対策について必要な助言や情報提供等を行い、その取組を支援する。
ー その他関係事業者等
①国際ブランド
■本ガイドラインに掲げるカード情報保護対策の実現に向け、国際ブランドの各種ルール等との調整を行い、各種課題の解決に向けて関係事業者と協働して取組む。
■グローバルな観点から、海外におけるカード情報保護に関するリスクや各種課題、我が国における国際水準のセキュリティ環境の整備の必要性等について、事業者向けの情報共有・発信に取組む。

②ソリューションベンダー
■非保持化加盟店に対し決済端末やソリューション等を提供する立場から、本ガイドラインに基づく非保持の状態が維持されるように、各事業者が連携の上、端末やソリューション等の機能・仕様面で情報漏えい防止のための必要なセキュリティ対策を講じることが求められる。

③行政
■割賦販売法に基づく監督等を通じ、カード会社及び加盟店等におけるカード情報の適切な管理のために必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げるカード情報保護対策の実施について、事業者向けや消費者向けの情報発信に取組む。

④業界団体等
■日本クレジット協会は、カード会社(アクワイアラー)と連携し、本ガイドラインに掲げるカード情報保護対策の必要性について加盟店に対する周知活動を徹底するとともに、加盟店の業界団体、消費者団体等との連携を強化し、事業者向けの情報発信に取組む。
■日本クレジット協会は、行政と連携の上、他の情報セキュリティに係る関係機関との連携・情報共有を図り、クレジット取引に関係する事業者等に対して適時情報発信を行う。

引用:「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要│一般社団法人日本クレジット協会

クレジットカード情報保護対策分野の内容は、表形式でまとめてありますので、該当箇所をご覧ください。

不正利用対策分野の内容について

(A)対面取引におけるクレジットカードの不正利用対策

ー 加盟店
■IC取引を可能とするため設置する決済端末の全てをIC対応する。【指針対策】
■特に、POSシステムでクレジットカード決済を行う加盟店は、自社のIC対応に係る実現方法を選択する際には、カード会社(アクワイアラー)や機器メーカー等に情報を求める。
ー クレジットカード会社(イシュアー・アクワイアラー)
■カード会社(イシュアー)は、発行するカードの全てをIC化する。
■カード会社(アクワイアラー)は、自ら所有する決済専用端末のIC対応を行う。
■カード会社(アクワイアラー)は、「IC取引時のオペレーションルール(クレジットカード・セキュリティガイドライン(公表版)30頁を参照)」に基づく運用がなされるように、加盟店に対して日本クレジット協会策定のガイドライン等について周知を行う。
■カード会社(アクワイアラー)は、契約を有する加盟店のIC対応を促進させるため、本セキュリティガイドラインで整理された各方策について加盟店の理解を促す活動を行うとともに、必要に応じて機器メーカーとも連携して情報を提供する。
■カード会社(アクワイアラー)は、POSシステムの接続インターフェース等の共通化やIC取引オペレーション等を踏まえ作成した「ICカード対応POSガイドライン」及び「非接触EMV対応POSガイドライン」について、機器メーカーや加盟店等への周知を行う。
ー その他関係事業者等
①国際ブランド
■IC取引時のオペレーションについて、我が国のクレジットカード業界として制定したルールを推進することに協働して取組む。また、技術の向上や環境の変化等により新たな措置等が必要になった場合は、カード会社と調整を行う。

②機器メーカー
■加盟店のIC対応を推進するため、IC対応の必要性及び本セキュリティガイドラインで整理された各方策について加盟店への周知活動等を進めるとともに、カード会社(アクワイアラー)とも連携し、加盟店へ必要な情報を提供する。
■POSシステムの接続インターフェース等の共通化や国際ブランドテストの簡略化等を活用し、加盟店におけるIC対応POSシステム導入時のコスト低減化に資する技術的解決策の実現に取組む。
■IC対応端末のコスト低減化や加盟店でのIC対応を円滑に行うために、今後開発・製造するクレジット機能を有するPOSシステムについては、IC対応可能なシステムを標準とする。

③行政
■割賦販売法に基づく監督等を通じ、対面加盟店における偽造カードによる不正利用防止のための必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げる偽造カードによる不正利用対策の実施について、事業者向けや消費者向けの情報発信に取組む。

(B)非対面取引(EC、メールオーダー・テレフォンオーダー)におけるクレジットカードの不正利用対策

ー 加盟店
■オーソリゼーション処理の体制整備と加盟店契約上の善良なる管理者の注意をもって不正利用の発生を防止するとともに、リスクや被害状況に応じたなりすまし不正利用対策を導入する。【指針対策】
「加盟店におけるなりすまし不正利用対策の具体的方策」(クレジットカード・セキュリティガイドライン(公表版)35頁)を参照
「加盟店における方策導入の指針」(クレジットカード・セキュリティガイドライン(公表版)37頁)を参照

■自社での不審なカード利用の把握に努めるとともに、不正利用の手口は日々巧妙化することから、カード会社における不正利用対策の更なる向上のため、当該情報(不審利用)について契約カード会社(アクワイアラー)やPSPと迅速な情報共有に努める。
■自社の不正利用対策の問題の特定とともにその解決を図るため、契約先のカード会社(アクワイアラー)やPSPとの間で迅速な情報共有に努める。
■加盟店サイトでの大量かつ連続する申込については早期に検知、遮断するなど、加盟店各社サイトにおいて被害の状況等に応じて必要な対策を講じることに努める。
ー クレジットカード会社(イシュアー)
■過去の取引履歴等の様々な情報から、不正取引か否かを判断するオーソリモニタリングの検知精度の向上・強化に努める。
■「3-Dセキュア」において、イシュアー版の属性・行動分析(不正検知システム)である「リスクベース認証」の導入を検討する。
■「3-Dセキュア」の利用拡大のため、カード会員の利用登録率の向上を図るとともに、「動的(ワンタイム)パスワード」の導入を促進する。
■加盟店(オフアス取引の場合はアクワイアラー経由)からの、真正利用確認照会件数の増加を想定した対応体制を整備する。
■「カード利用時におけるカード会員向け利用確認メール等通知」の導入を促進する。
■「セキュリティコード」の桁数が少ないことを悪用した多数回連続アクセスに対して早期に検知し、当該取引を不成立とする対策が必要である。
ー クレジットカード会社(アクワイアラー)及びPSP
■カード会社(アクワイアラー)及びPSPは、加盟店に対して、なりすまし不正利用対策の具体的な方策の導入について、適切な助言・協力ができるよう体制の整備をするとともに、リスク・被害発生状況に応じた方策導入の確実な実施のため加盟店に対する指導及び状況に応じた適切な提案を行う。
「加盟店における方策導入の指針」(クレジットカード・セキュリティガイドライン(公表版)37頁)を参照
■カード会社(アクワイアラー)は、加盟店に対し、不正利用対策の参考となるよう、なりすまし不正利用の傾向や事例等の情報及びなりすまし不正利用対策を導入しないリスクについて情報共有に努める。
■カード会社(アクワイアラー)は、オフアス取引において、加盟店におけるなりすまし不正利用対策の更なる向上のため、カード会社(イシュアー)から提供された不正情報についてできるだけ多くの加盟店と迅速な情報共有に努める。各加盟店における不正利用対策の問題の特定とともにその解決を図るため、各加盟店との間で迅速な情報共有に努める。
■PSPは、本ガイドラインに掲げる「本人認証」「券面認証」「属性・行動分析(不正検知システム)」「配送先情報」の各方策を提供できる体制を構築し、契約先の加盟店に対して導入の推進に努める。

ー その他関係事業者等
①国際ブランド
■我が国における非対面加盟店でのクレジットカード取引実態を踏まえ、各種課題の解決に向けて関係事業者と協働して取組む。
■「EMV 3-Dセキュア」に係るステークホルダーへの影響(運用ルール等)及び「EMV 3-Dセキュア」への移行について、情報の提供及び説明を行う。
■非対面加盟店における不正利用対策の取組を推進するため、海外のカード会社や加盟店における取組事例について情報提供を行うとともに、我が国における国際水準のセキュリティ環境の整備の必要性について、事業者向けの情報発信に取組む。

②行政
■割賦販売法に基づく監督等を通じ、非対面加盟店におけるなりすまし不正利用防止のための必要な措置の適確な実施について指導等を行う。また、本ガイドラインに掲げるなりすまし不正利用対策の実施について、事業者向けや消費者向けの情報発信に取組む。

③業界団体等
■日本クレジット協会は、他の業界団体に協力を要請し、不正利用の実態を踏まえ、加盟店において本ガイドラインに掲げるリスクに応じたなりすまし不正利用対策を導入する必要性及び各方策の有効性等について、事業者向けの周知活動の強化に取組む。
■日本クレジット協会は、最新の不正発生状況を踏まえた「不正顕在化加盟店」の基準や「高リスク商材取扱加盟店」の特定商材の継続的な検討、不正利用被害が継続的に発生する加盟店の不正利用発生状況の分析・評価、加盟店が取り扱う商材に応じた各方策の有効性の検証や方策の組合せ効果の検証を継続して行う。
■日本クレジット協会は、不正利用による被害の実態や最新の犯罪手口、不正利用対策に対する取組の成功事例等について、他の情報セキュリティに係る関係機関との連携・情報共有を図り、クレジット取引に関係する事業者等に対して適時情報発信を行う。

引用:「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)の概要│一般社団法人日本クレジット協会

不正利用対策分野の内容についても上述の通りです。
3Dセキュアやセキュリティコードの導入など、具体的な指示がありますので、早急に対応しましょう。

「宿泊予約サービス」が高リスク商材取扱加盟店に

日本クレジット協会は、「高リスク商材取扱加盟店」の特定商材の継続的な検討も行っています。
直近では、

  • デジタルコンテンツ(オンラインゲームを含む)
  • 家電
  • 電子マネー
  • チケット

に加え、宿泊予約サービスを主たる商材として取り扱う加盟店も含まれるようになりました。該当する事業者は注意しましょう。

これらの「高リスク商材取扱加盟店」は「なりすまし不正利用対策の4つの方策」として挙げられている

  1. 本人認証
  2. 券面認証(セキュリティコード)
  3. 属性・行動分析
  4. 配送先情報

のうち、1方策以上をとるように指示されています。
とくに宿泊予約サービスを主たる商材として取り扱う加盟店は、2020年9月末日迄にその対応完了が求められていました。

これらの方策を取り入れるためにおすすめしたいのが、不正検知システムの導入です。

不正検知システムとは、取引データや検知サービスそれぞれのノウハウから取引完了前に危険性を検知する仕組みです。
どのようなデータを利用するかは不正検知システムによって異なるのですが、本ガイドラインが挙げる4つの方策のうち、複数対応できるケースが多くあります。さらに、不正検知システムを提供する企業のサポートを受けらることもあるので、これから不正対策を取り入れるという事業者の方には特におすすめです。

また、当サイトを運営するかっこ株式会社の「O-PLUXforトラベル」など、不正検知サービスの中には宿泊予約サービス向けの対応を行うものもあります。
特定の業界にあわせた対応ができるので、検討してみてはいかがでしょうか。

航空会社、宿泊施設、旅行代理店、予約サイトの不正対策に!O-plux for トラベル

ピックアップ記事

  1. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  2. 不正アクセスを検知する「不正検知システム」とは?
  3. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  4. 【保存版】企業ができるサイバー攻撃への対策
  5. クレジットカードにセキュリティコード(SC)がある理由を解説

関連記事

  1. 不正検知・ノウハウ

    不正検知モデルとは?役割やモデルを活用したソリューションをご紹介

    電子取引が主要になったことで、インターネットを介した不正が多くなっ…

  2. 不正検知・ノウハウ

    不正転売とは?不正転売に関連するトラブルや、チケット不正転売禁止法について解説

    メディアでも採り上げられ、問題視されている「不正転売」。この記…

  3. 不正検知・ノウハウ

    【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?

    商品やサービスの確認後に決済を行う「後払い」。ECサイトなどの…

  4. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#003 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

おすすめ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をする…
  2. 事業者が不正なチャージバックを防ぐ対策3つ!不正注文を防いだ…
  3. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  4. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  5. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正アクセス

    SBI証券で発生した不正アクセスの手口を解説
  2. 不正検知・ノウハウ

    オンラインにおけるクレジットカードのセキュリティに関する基礎知識。カード契約者も…
  3. セキュリティ用語

    決済代行会社とは何か?特徴や決済方法の動向を踏まえて解説
  4. ニュース・業界動向

    日本クレジット協会が発表した令和2年1月クレジットカードの利用状況について
  5. 不正検知・ノウハウ

    クレジットカード決済の不正検知対策を行うための体制構築・オペレーションを解説
PAGE TOP