クレジットカード・セキュリティガイドラインとは?

日本でもキャッシュレス化が進み、クレジットカードは生活に欠かせないものになってきました。
クレジットカードが普及するほど、やはり気になるのがその安全性でしょう。

安全で安心なクレジットカードの利用環境を整備するため、情報保護と不正利用の防止を目的としてクレジットカードの取引に関わる事業者が実施すべきセキュリティ対策の取り組みをとりまとめたもの、それが「クレジットカード・セキュリティガイドライン」です。

「クレジットカード・セキュリティガイドライン」は割賦販売法が規定するセキュリティ対策義務の「実務上の方針」と位置づけられており、掲げられている措置を同等以上に講じている場合は、セキュリティ対策の基準を満たしていると認められます。

「クレジットカード・セキュリティガイドライン」は2020年3月に1.0版、2021年3月に2.0版が発表されました。
しかし、クレジットカードの情報漏洩や、不正利用は年々増加し、手口も巧妙化しています。
そこでガイドラインで示す内容が改定されることになりました。

2022年(令和4年)3月、一般社団法人日本クレジット協会が事務局を務める「クレジット取引セキュリティ対策協議会第8回本会議」が開催され、最新となる【3.0版】が取りまとめられました。

内容は段階的に実施されますが、直近では2022年10月にクレジットカードの「3-Dセキュア1.0」の取扱いが終了し、「3-Dセキュア2.0」へ移行が必須となります。

また、同タイミングでクレジットカードの加盟店申請の審査も、セキュリティ対策が万全かどうかの確認が強化されます。

クレジットカード・セキュリティガイドライン【3.0版】の概要をご紹介!

「クレジットカード・セキュリティガイドライン【3.0版】」の改定の主なポイントは、クレジットカード情報の保護対策と、不正利用への対策の取り組みについてとなります。

こちらも、2022年10月より審査が強化される項目のため、自社の状況について確認が必要となります。

クレジットカード情報の保護対策

・加盟店におけるクレジットカード情報の非保持化、脆弱性対策、ウイルス対策、管理者権限の管理、デバイス管理等の漏えい防止対策の実施

自社製品をECサイト上で販売している場合等、ECサイト自体がクレジットカード番号などのクレジットカード情報の保存等を行わないことがクレジットカード情報の非保持化となります。また、ECサイト等では脆弱性対策、ウイルス対策等も必要になります。

ECサイトの管理画面等のシステムの管理者権限や担当者が利用するデバイスも適切に管理する必要があります。

・カード会社、決済代行会社、ECモール事業者、コード決済事業者、ECシステム提供会社などの「PCI DSS」準拠

「PCI DSS」とは、クレジットカード業界における、カードの会員データを安全に取り扱うための国際的なセキュリティ基準です。

・加盟店での暗証番号入力のスキップ機能の廃止(2025年3月までに実施)

そもそも暗証番号の入力スキップ機能はカード会員が暗証番号を忘れてしまった時の救済措置であり、海外発行のクレジットカードの場合は暗証番号スキップ機能を許可しない設定となっているものもあります。

クレジットカードの偽造防止による不正利用対策

・クレジットカード決済端末のIC化

「IC」とは「Integrated Circuit」の略で、従来の磁気カードと比べて構造が複雑になっており、セキュリティ機能も高くなります。
日本は欧米と比べてIC化が遅れており、ICと磁気テープが併用されているカードが多かったのですが、このような状況ではスキミングの被害を受ける可能性が残ってしまうため、IC化が義務づけられました。

EC取引におけるクレジットカード情報の不正利用対策

・EC加盟店、決済代行会社、カード会社による、EMV3-Dセキュア等の本人認証、券面認証(セキュリティコード)、不正検知システム、不正配送先データベースの照合、固定パスワードからワンタイムパスワードへの移行などといった、不正利用対策の実施が求められます。

・EMV3-Dセキュア

「EMV3-Dセキュア」とは、オンラインショッピングなどにおいて、安全にカード決済を行うための本人認証サービスです。具体的な方法としては、ECサイトでクレジットカード情報を入力した後に、クレジットカード会社の会員サイト等に遷移して、登録したパスワードを入力することで本人であることを担保します。

・券面認証

「券面認証」は、カード番号とは別にクレジットカードの裏面に印字されている、3桁または4桁の数字を決済時に入力する仕組みです。クレジットカードの番号だけではなく、裏面に印字されているコードも入力必須にすることで、不正利用されにくいようになります。

・ワンタイムパスワード

「ワンタイムパスワード」とは、1度だけ有効な使い捨てのパスワードのことです。例えば、所有しているスマートフォンにワンタイムパスワード管理用のアプリをインストールしてQRコードを読み取ることで利用できるようになったり、クレジットカード会社のシステムに登録しておくことでSMS等でワンタイムパスワードが送られくるような仕組み等があります。

・不正検知システム

不正検知システムとは、日々の受注実績等をモニタリングすることで、ECサイト側で決済を中止することでクレジットカードの不正利用を防ぎます。盗難されたクレジットカードが不正利用された場合、クレジットカードの契約者はクレジットカード会社に対してチャージバックをするように申し出ることができます。

また、不正検知システムで検知したアカウントの配送先住所の情報を蓄積することで、商品の発送を事前に止めるなどの不正利用対策方法もあります。

・チャージバック対策

チャージバックとは、クレジットカード会社が決済した代金の売上を取消しすることです。そのため、ECサイト側とすると売上として計上していたものがクレジットカード会社または決済会社から振り込まれない、ということになります。このようなリスクを少しでも減らすためにも、不正検知システムを導入します。

・ペネトレーションテストや脆弱性試験の実施

こちらは決済以外の部分にも関わりますが、ECサイトなどのWeb上で構築するシステムはペネトレーションテストや脆弱性試験の実施を求められます。こちらについては、特に実施基準などは設けられてはいないようですが、信頼できる方法での検査が必要となります。

「クレジットカード・セキュリティガイドライン【3.0版】」では、これらの取り組みを導入することで、より安全なクレジットカード決済の仕組みを実現することが求められます。

クレジットカード・セキュリティガイドライン【3.0版】の改訂されたポイントとは?

2022年3月に公表された「クレジットカード・セキュリティガイドライン【3.0版】」は、2020年3月の1.0版、2021年3月の2.0版に続く取り組み強化の改定となります。

改定のポイントとしてあげられるのが、「EMV 3-Dセキュア(3-Dセキュア 2.0)」でクレジットカードの不正利用対策強化です。「3-Dセキュア 2.0」とも呼ばれ、これまでは全ての取引で認証を行なっていたのに対し、リスクが高い取引では認証により安全性を確保しながらもリスクの低い取引では認証を省略することで利用者の利便性の向上を実現します。なお、前述のとおり、「3-Dセキュア1.0」は、2022年10月で取り扱いが終了し、2.0への移行が必須となるため、システム改修などの対応が必要となります。

また、固定パスワードからワンタイムパスワードへの移行や、クレジットカードを利用する時のカード会員への通知の実施などもポイントとして挙げられます。

なお、「3Dセキュア2.0」については、こちらの記事で詳しく解説をしておりますので、合わせてご覧ください。

事業者が行っているクレジットカードのセキュリティ対策を解説!

クレジットカードのセキュリティに関する事故は主に次の2つに大別するといわれています。

クレジットカードの不正利用

クレジットカードの不正利用の対策としてあげられるのが、クレジットカードと決済端末のIC化の実現です。

これまでの磁気カードによる決算方法では、スキミングの恐れがあります。IC化することによってカード情報が暗号化されるので、偽造カードの使用防止につながります。

カード情報の漏えい

カード情報の漏えいを防ぐためには、加盟店におけるカード情報の非保持化、カード情報を保持する事業者のPCIDSS準拠が求められます。

ECにおけるクレジットカード決済には、カードの情報がEC事業者のサーバーを通過する通過型と、通過しない非通過型があります。

このうち、通過型の中にはカード情報が事業者側のサーバーに保存されるものがあります。そのため、通過型は非通過型とくらべ情報の漏えいがおこる可能性が高い傾向があります。
このため、カード情報を通過・処理・保存させないことが求められます。

「PCIDSS」とは、国際的なカードブランドである「American Express」「Discover」「JCB」「MasterCard」「VISA」の5社が共同で策定した、クレジットカード業界における国際セキュリティ基準です。

「PCIDSS」は12の案件に基づき、約400もの要求事項から構成されています。クレジットカード情報の保護に特化しており、求められるレベルが高いことが特徴です。
準拠すると要求事項をすべてクリアしなければなりません。

クレジットカードの不正利用を防ぐ!利用者ができる対処法

次に利用者側がとるべきセキュリティ対策をみていきましょう。

クレジットカード裏面の署名を必ず記入しましょう

署名のないカードが第三者の手にわたってしまうと、勝手に記入されて使われる可能性があります。

クレジットカードの貸し借りはやめましょう

相手が家族であっても、カードの貸し借りは規約違反です。
本人以外の人物が利用して盗難被害にあった場合、保険の適用外となります。

暗証番号は推測されにくい数字に設定しましょう

生年月日や電話番号の末尾など単純な数字に設定すると、推測されやすくなってしまいます。

利用明細は必ずチェックしましょう

カードの不正利用による被害が補償されるのは、カード会社に紛失・盗難の届け出をしてから60日以内の損害額のみという場合が多いです。
保証期間が過ぎると保証されませんので、明細はこまめにチェックしましょう。

わたしたちの買い物を快適にしてくれるクレジットカード。「クレジットカード・セキュリティガイドライン」が改定されることでセキュリティ機能はより強固なものとなっていますが、より万全を期すためにはわたしたち自身もセキュリティに気を配り、適切に対応する必要があります。

クレジットカードの使用する際にはしっかりとしたセキュリティ意識を持って、より安全・快適な使用を心がけましょう。

クレジットカード・セキュリティガイドライン【3.0版】に準拠したシステムを開発するには

前述のとおり、2022年10月よりECサイトやWebサービスにおけるセキュリティ対策は強化されます。

また、利用者へ安全安心な環境を提供し、信頼されるサービスを構築することが事業者に強くもとめられております。

なお、「クレジットカード・セキュリティガイドライン【3.0版】」に準拠したシステムを開発するには、精通した事業者に依頼することをお勧めいたします。

Samuraiでは、目的と予算に合わせた柔軟なご提案が可能ですので、お気軽にご相談ください。

株式会社Samuraiお問い合わせフォーム

この記事を書いた人