知らないと危険!?クレジットカード決済のセキュリティ事情

2016.08.02. by 小川 貴弘


みなさんこんにちは!
EC GROWTH LAB初投稿のGMO-PG小川です。

今日は、2020年の東京オリンピックに向けたクレジットカード業界のセキュリティ方針(実行計画)について、説明させていただきます。対面分野・非対面分野にて、それぞれの方針を定めた実行計画があるのをご存知でしょうか?実行計画を知らずに、2020年を迎えてしまうと大変なことになってしまうかもしれません!

「実行計画」ってなに?

2016年2月、「クレジットカード取引セキュリティ対策協議会」により、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画(以下、実行計画)」が定められました。実行計画の内容を簡単にまとめると大きく3点に分かれます。
(以下、「実行計画」の本文)
http://www.j-credit.or.jp/download/160223a2_news.pdf

①カード情報の漏えい対策
②偽造カードによる不正使用対策
③ECにおける不正使用対策

決済セキュリティ1

“出典:一般社団法人日本クレジット協会「クレジット取引セキュリティ対策協議会実行計画 -2016- (概要)」”

①カード情報の漏えい対策

カード情報の漏えいに関する事故がここ数年で大幅に増加しております。
そのための対策として、カード情報の非保持化、または、PCI-DSSの準拠が求められています。

○カード情報の非保持化って?

これまで、EC事業者様にてカード情報を保持されていなければ、「非保持」として認められていましたが、ECサイトの脆弱性によるカード情報漏えい事件が多発し、これまでの「非保持」だけでなく「非処理」「非通過」の実現も必須となりました。

では、「非処理」「非通過」の実現のためにはどのような手段があるのでしょうか?

解決法は「リンク型」「Java Script を使用した非通過型」の2種類があります。
「リンク型」とは弊社のような決済代行会社のページに遷移し、代行会社のサーバ上でカード情報を入力いただく手法、「Java Script を使用した非通過型」とは、弊社にて提供している「トークン決済」を指します。EC事業者様の方針次第ではありますが、上記どちらかに対応しなければなりません。

「トークン決済」に関しましては、弊社河野より、以前ご紹介させていただいておりますね!
http://ec-growth-lab.com/security/20150728/

こちらの対応は2018年3月までという期限がありますのでご注意を!

②偽造カードによる不正使用対策

こちらは「対面決済」のお話ですね。
旧来は対面でのクレジットカード決済では「磁気ストライプ」と「書名」による本人認証を行ってきました。この方法ですと、不正利用されやすいとの観点から、偽装されにくい「ICチップ」の導入が進められています。「ICチップ」は既に普及し始めているので、みなさんも認識があるかと思います。

決済セキュリティ2

今回の「実行計画」では、店舗事業者様の決済端末において、「ICチップ化:100%」を掲げています。対応期日は2020年3月までとなっていますが、大規模事業者様ですと、あまり余裕のあるスケジュールではないですね。。

③ECにおける不正使用対策

ECにおける取引にて、なりすまし等の不正使用に対する対応策を講じましょうという内容です。EC事業者様はご存知かとは思いますが、本件に対する対応策としては、「セキュリティコード」「3Dセキュア」「不正検知サービス」があります。「セキュリティコード」「3Dセキュア」は既にこれまた河野よりご案内済みですね。
http://ec-growth-lab.com/security/20150203/

新しく、登場致しましたのは、「不正検知サービス」です。
弊社でも今年、「不正検知サービス(ReD)」として、リリース致しました。
https://www.gmo-pg.com/service/function/red/

不正検知サービスとは、通常クレジットカード決済は頂いていない、購入者様のお名前、住所、電話番号、IPアドレス等々を不正使用されたものと同一か照合するサービスです。

住所や電話番号のみ照合するサービスから、IPアドレス等を駆使し、不正手口の情報まで取得して検知させるサービスまで、カバー範囲は様々です。②でお伝えした「対面決済のICチップ化」が進むにつれ不正使用の件数は対面決済から非対面決済へ流れる可能性が高く、現在不正使用の被害なく運営されている事業者様も注意が必要です。

こちらの対応期日は2018年3月までです。
不正検知サービスを導入される場合は、サービスの選定・システム改修・検知のロジック作成を考えると割りとタイトなスケジュールですね。

まとめ

「実行計画」には対面・非対面どちらの内容も含まれており、それぞれに対応期限が設けられています。未対応の場合のペナルティなどは明記されていませんが、すぐに対応できる内容ではないので事前の情報収集、そして、方針決定が必要となります。

本内容につきましては、弊社にて「セキュリティセミナー」も実施しておりますので、「実際に話を聞いてみたい」「直接相談したい」などのご要望が有りましたら、是非ご参加ください!

【9月東京開催】カードセキュリティセミナー
https://www.gmo-pg.com/seminar/160915/

【9月大阪開催】カードセキュリティセミナー
https://www.gmo-pg.com/seminar/160907/

「実行計画」を基に、安心・安全なECサイト作りを目指してまいりましょう!

The following two tabs change content below.
小川 貴弘

小川 貴弘

2014年GMO-PGに入社後、イノベーション・パートナーズ本部にて1年目はスタートアップ加盟店様を担当し、2年目からは大手物販加盟店様への提案を中心に営業を担当。主にアパレル・食品・化粧品分野の既存クライアント様の既存運用フローの見直しから新規事業の支援に携わる。時には加盟店様同士のマッチングや新規サービス立案のお手伝いなど決済代行業の枠にとらわれず、お客様の成長のために奮闘中

    
すべての人にインターネット
関連サービス