2018年6月の改正割賦販売法施行をふまえ、クレジット取引セキュリティ対策協議会から実務上の指針となる最新版の「実行計画2019(※)」が発表されています。
※「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」の2019年改訂版
クレジットカードでの取引をより安全に行うために、加盟店(事業者)として実行計画に沿った対策法を採り入れましょう。
目次
クレジット取引セキュリティ対策協議会が発表した「実行計画」
クレジット取引セキュリティ対策協議会が発表した「実行計画」とは、改正割賦販売法を遵守するための実務上の指針です。
この実行計画によると、2017年のクレジットカード取扱高は約58兆円。民間最終消費支出の約19%を占めると報告されています。
*民間最終消費支出:家計による消費財への支払い
またクレジットカードの取扱高は一貫して増加しており、今後も日本のキャッシュレス化は進むと考えられています。
その反面、カード情報の漏えいや不正利用による被害も拡大しています。カード会社・PSP・加盟店(事業者)・業界団体など、それぞれ役割・取組がありますがその中でもEC事業者としては「不正利用被害額の極小化」が課題の1つです。
参考:クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-概要版
実行計画における対策の3本柱
割賦販売法の改正や実行計画の発表は、”安全・安心なクレジットカード利用環境の実現”を目標に行われました。
そこで実行計画では
- クレジットカード情報保護対策
- クレジットカード偽造防止による不正利用対策
- 非対面取引におけるクレジットカードの不正利用対策
という「対策の3本柱」を挙げています。
1.クレジットカード情報保護対策
1つ目はクレジットカード情報保護対策です。
これは決済に必要なカード情報を盗らせないためのものです。
具体的には
- 加盟店におけるカード情報の「非保持化」
- カード情報を保持する事業者のPCI DSS準拠
などを促しています。
2.クレジットカード偽造防止による不正利用対策
2つ目はクレジットカード偽造防止による不正利用対策です。
不正利用の手口には、”漏えいした情報を使って偽造カードを作成する”といったものがあります。
そこで実行計画では、偽造カードを使わせないための具体策として
- クレジットカードの「100%IC化」の実現
- 決済端末の「100%IC対応」の実現
という2点を挙げています。
3.非対面取引におけるクレジットカードの不正利用対策
3つ目はECを中心とした非対面取引におけるクレジットカードの不正利用対策です。
第三者がカードの契約者を装い決済を行う”なりすまし”を防ぐため、リスクに応じた多面的・重層的な不正利用対策の導入を促しています。
実行計画で設定された不正利用を防止する具体的な4つの対策
前項で記載した非対面取引におけるクレジットカードの不正利用対策における具体的な方策についてお話します。
- 本人認証(3Dセキュア)の利用
- 券面認証(セキュリティコード)の利用
- 属性・行動分析(不正検知システム)の利用
- 配送先情報の蓄積と利用
という4点が挙げられています。
1.本人認証(3Dセキュア)の利用
1つ目は本人認証(3Dセキュア)の利用です。
3Dセキュアとはクレジットカードの契約時等に設定するパスワードで本人確認を行う方法です。
これを導入することで券面に記載されていない情報で本人確認ができるため、セキュリティ精度の向上が見込めます。
しかし決済時に入力する情報が増えるため、EC事業者としては購入者が途中で購入を辞めてしまう「カゴ落ち」のリスクもあります。
2.券面認証(セキュリティコード)の利用
2つ目は券面認証(セキュリティコード)の利用です。
クレジットカード券面に記載されている3桁もしくは4桁の番号を照合することで、セキュリティ精度を高めます。
パスワードのように契約者が失念してしまう懸念もなく、導入しやすい対策です。
しかしクレジットカードそのものを盗用されてしまった場合、効果が薄れてしまう点は意識しておきましょう。
3.属性・行動分析(不正検知システム)の利用
3つ目は属性・行動分析(不正検知システム)の利用です。
不正検知システムとは
- 利用端末情報
- IPアドレス
- 購入頻度や買い物の傾向
- 名前や住所表記の揺れ
- 配送先情報
といったデータから決済の安全性を評価し、不正利用かどうかを判断するシステムです。
参考:O-PLUX | 不正検知サービス | かっこ株式会社 – Cacco Inc.
どのようなデータで判断するかは各不正検知システムによって異なりますが、未然に危険性を調べられるため有効な手段です。
4.配送先情報の蓄積と利用
4つ目は配送先情報の蓄積と利用です。
不正利用に使われた配送先情報を蓄積し照合することで、被害を防止します。
この方法はデータが多ければ多いほど効果が見込めるため、実績のある外部サービスを利用するのも有効です。
前項でお伝えした不正検知システムの中には、この配送先情報の蓄積と利用できるものもあります。
参考:O-PLUX | 不正検知サービス | かっこ株式会社 – Cacco Inc.
実行計画では消費者に対する情報発信などにも言及
また、実行計画では消費者に対する情報発信として
- 加盟店に対するカード会社(アクワイアラー)からの情報提供による周知活動
- 消費者に対する情報発信による理解・協力推進
などにも言及しています。
例えば、実店舗での消費者向け周知活動として、共通シンボルマークを設けるなどの理解・協力推進活動があります。
ECではクレジットカードのセキュリティ対策を講じたEC加盟店による自己宣言として、自社ECサイトに明記することをあげています。
他にもカード会社や団体による消費者及び事業者等への情報発信として、
- クレジットカードのPINの認知度向上
- ECにおける不正利用対策の認知度向上
- ID・パスワードの使い回しの防止
- フィッシング対策への取組
- 利用明細のチェックに関する周知
などを挙げています。
改正割賦販売法と実行計画に基づいた対応で、より安全なクレジットカード利用を
改正割賦販売法では
- クレジットカード番号等の適切な管理
- クレジットカード番号等の不正利用の防止
など消費者保護を強化しています。
前項でも触れましたが、今回ご紹介している「実行計画」は、割賦販売法の改正を受けて作成されたものです。
改正前と比較すると決済代行会社や加盟店にも一定の義務が課されることになったため、消費者はより安全性の高い取引ができると考えられます。
実行計画はその内容をより具体化したもので、
- クレジットカード情報保護対策
- クレジットカード偽造防止による不正利用対策
- 非対面取引におけるクレジットカードの不正利用対策
という「対策の3本柱」を挙げています。
その他にも
- 消費に占めるクレジットカード取引とネット取引
- インターネットで購入・取引する場合の決済方法の推移
- クレジットカード取引の不正利用被害額の推移
といった情報も併せて公開しています。
より詳しく知りたい方は、クレジット取引セキュリティ対策協議会が発表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-概要版」をご覧ください。
参考:クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-概要版
