8 全体対応期限と改正割販法の施行日とのギャップについて教えて欲しい 実行計画 P20 33 等 対面加盟店については 実行計画の対応期限である 2020 年 3 月末の前に改正割賦販売法が施行されるため 実行計画の対応期限と改正割賦販売法の施行日とのギャップが生じております このため 実行計画 2

Similar documents
PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

1. 日本クレジット協会について 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行ってい

各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

PowerPoint プレゼンテーション

Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

- 目次 - はじめに 2 Ⅰ. 基本的な考え方 4 1. クレジットカード取引における不正利用被害の実態等 2. セキュリティ対策の強化に向けた基本的な考え方 Ⅱ. 分野別の具体的な実行計画 6 A. クレジットカード情報保護対策の強化に向けた実行計画 クレジットカード情報の適切な保護

平成22年12月

1. ネット取引の拡大とクレジットカード利用の増加 1 ネット取引の急拡大に伴い 近年 クレジットカード取引高は一貫して増加 直近では 46 兆円 ( 消費全体の約 16%) を占める ( 参考 ) 主要各国のカード利用率韓国 :73% 中国 :56% 米国 :34% ( 出所 ) 日本クレジットカ

クレジットカード犯罪の動向と 業界の対応状況について

1. 日本クレジット協会の概要 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行っていま

1. 日本クレジット協会の概要 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行っていま

PowerPoint プレゼンテーション

非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月 編

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

PaymentElite とは PaymentElite により様々な加盟店決済システムの構築が可能 対面決済加盟店 デパート 専門店 / 量販店 SC/GMS POS 決済サーバ CAFIS CAFIS (Cred itandfinanceinformationsystem) とは安心 安全 便利

セクション 1: 評価情報 提出に関する指示 加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要があります この文書のすべてのセクションの記入を完了します 加盟店は 該当する場合 各セクションが

日本再興戦略における位置づけ 日本再興戦略改訂 2014( 平成 26 年 6 月 24 日閣議決定 ) 5.(3) i) 金融 資本市場の活性化 2 資金決済高度化等 2020 年オリンピック パラリンピック東京大会等の開催等を踏まえ キャッシュレス決済の普及による決済の利便性 効率性の向上を図る

強化項目 PaymentEliteVer2.0 における機能強化項目 PCIDSS Payment Card Industry Data Security Standard クレジットカード情報保護を目的とした情報セキュリティ基準であるPCIDSS の要件に対応 (PCIDSSv2.0) 会員番号

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

はじめてのマイナンバーガイドライン(事業者編)

特定個人情報の取扱いの対応について

事業者が行うべき措置については 匿名加工情報の作成に携わる者 ( 以下 作成従事者 という ) を限定するなどの社内規定の策定 作成従事者等の監督体制の整備 個人情報から削除した事項及び加工方法に関する情報へのアクセス制御 不正アクセス対策等を行うことが考えられるが 規定ぶりについて今後具体的に検討

1 クレジットカードの利用意向 (1) クレジットカードを積極的に利用したいと思うか 問 1 あなたは, クレジットカードを積極的に利用したいと思いますか この中から 1 つだけお答えください そう思う( 小計 ) 39.8% そう思う 20.3% どちらかといえばそう思う 19.5% そう思わない

PowerPoint プレゼンテーション

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

資料 3 時代の要請を受けた 消費者保護の課題について 平成 31 年 4 月 経済産業省商務 サービスグループ 商取引監督課

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価の準拠証明書 加盟店 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし このテキストと

特定個人情報の取扱いの対応について

申請について 研究の概要 に機密情報を含めることはできますか 研究の概要 内の 研究内容に関連する業績( 原著論文 ) は英語論文のみですか また 記載する論文は in press でもよいですか 申請をした後で申請内容を修正したい場合はどのようにすればよいですか 申請をしましたが 都合により取り下

PowerPoint プレゼンテーション

<4D F736F F D20838F E F815B83688B40945C82B B E646F6378>

Microsoft PowerPoint - 03 【別紙1】実施計画案概要v5 - コピー.pptx

プレゼンテーションタイトル

1

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

セコムパスポート for G-ID 司法書士電子証明書ダウンロードツールマニュアルダウンロード編 ( 通常タイプ ) 2017 年 9 月 19 日セコムトラストシステムズ株式会社 Copyright 2017 SECOM Trust Systems Co.,Ltd. All rights rese

Microsoft Word - e-LearningæŒ°å‘Šè¬łæ›‰é€ƒæł¸.docx

目次 Ⅰ 一般社団法人日本クレジット協会の概要 Ⅱ 当協会の広報 啓発活動について Ⅲ 当協会における消費者相談の受付状況 Ⅳ インターネット取引に関するガイドライン Ⅴ スマートフォン決済セキュリティガイドライン 1

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

Webエムアイカード会員規約

ログイン 初期設定 初期設定 利用規定を確認し 同意する をタップ 端末番号 (TID) とパスワードを入力 OK をタップ カードリーダー兼 PIN パッド (LP-PCR2) を選択し OK をタップ 利用する接続方法と 接続する PIN パッドを選択 Bluetooth 接続の場合

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価 - サービスプロバイダ準拠証明書 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし

利用いただけます 利用登録後は都度振込取引時にワンタイムパスワード入力画面が表示さ れますので スマートフォンのトークンに表示される 6 桁のワンタイムパスワードを入力し てください ( ご利用方法の詳細は下記 5~7 をご覧ください ) (5) トークンの利用単位お客さまの運用に合わせて以下のよう


Microsoft Word - ○指針改正版(101111).doc

こんなときは 利用者 ID の権限設定をしたい P.5 メールアドレスを変更したい P.6 おなまえを変更したい P.6 電子認証第二パスワードのロックを解除したい P.6 利用者 ID を追加したい P.0 利用者 ID を削除したい P. パスワード認証の初期パスワードを再登録したい P. We

性別 女性 48% 男性 52% 男性 女性 年齢 29 歳 5% 30 歳以上 16% 20 歳未満 21 歳 1% 1% 22 歳 7% 23 歳 10% 20 歳未満 21 歳 22 歳 23 歳 28 歳 8% 24 歳 14% 24 歳 25 歳 26 歳 27 歳 27 歳 12% 26

<4D F736F F D A95BD90AC E93788E9993B68EE893968CBB8BB593CD93648E71905C90BF82E682AD82A082E98EBF96E282C689F1939A2E646F6378>

<93648EA593498B4C985E82C98AD682B782E E838A F E315F C668DDA95AA292E786C7378>

au WALLETクレジットカード特約

個人情報保護規定

【PDF】MyJCB利用者規定(セブン銀行用)

消費者の信頼で築く繁栄

性別 女性 48% 男性 52% 男性 女性 年齢 29 歳 5% 30 歳以上 16% 20 歳未満 21 歳 1% 1% 22 歳 7% 23 歳 10% 20 歳未満 21 歳 22 歳 23 歳 24 歳 28 歳 8% 24 歳 14% 25 歳 26 歳 27 歳 27 歳 12% 26

文書管理番号

パソコン画面イメージ 既に トークン発行 ボタンをクリックされ スマートフォン等に 専用アプリのダウンロード (P3) は終了しているが 初回のワンタイムパスワード認証 (P7) を行っていない場合は トークン発行の省略 ボタンが表示されますので これをクリックしてください この場合は 次の画面で

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

Microsoft PowerPoint - ⑥藤田_ASISTシンポジウム【予稿集】.pptx

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

本資料で使用する用語について 2 用語従来用いられている用語例意味 アクワイアラー (Acquirer) アクワイアラー アクアイアラー 加盟店契約会社 国際決済ブランド会社 と契約し 小売店 EC サイト等の販売事業者 ( 加盟店 ) に対し国際カードの受け入れおよび国際カード決済での販売代金の支

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

マイナンバー制度 実務対応 チェックリスト

2-3. 上記 2-2 以外の利用目的は以下の通りです 利用目的対応する利用者情報の項目 (1) 当社のサービスに関連して 個人を識別できない 端末情報形式に加工した統計データを作成するため ログ情報 Cookie 及び匿名 ID 位置情報 (2) 当社又は第三者の広告の配信又は表示のため 端末情報

まだ間に合う!PCI DSS準拠のための具体策セミナー_基調講演_fjコンサルティング

会員主催研修用

PowerPoint Presentation

<8F898AFA90DD92E8837D836A B32332E31312E32342E786C73>

借上くんマイナンバー制度対応

指定立替納付を使った場合の 国内提出書類の提出方法 1 出願書類や 納付書などを 指定立替納付で支払う場合の手順をご案内します ここでは ひな型を Word で編集する場合の手順を案内します 他を利用する場合は ユーザガイドをご覧ください (1) 指定立替納付を使うための事前準備 a. クレジットカ

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

PowerPoint プレゼンテーション

ICカードの基本的構造と その認証方法

楽天証券 メタトレーダー 4 口座開設マニュアル このマニュアルでは 楽天証券 メタトレーダー 4 の口座開設の進め方についてご説明していきます FX の口座開設は初めてという方は ぜひ本マニュアルをご活用ください

目 次. はじめに P. メニュー構成 P4. 決済メニューについて P6 4. 設定メニューについて P7

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

modere.co.jpをご利用いただきありがとうございます 当社では オンライン利用時におけるお客様のプライバシーの重要性を理解しております お客様のプライバシーを保護するための取り組みとして 当社では当プライバシーポリシー ( 以下 当ポリシー ) を採用しております なお 当ポリシー内で使われ

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

朝日ビジネスWEB ご利用までの流れ

Microsoft Word Aプレスリリース案_METI修正_.doc

<4D F736F F D E30332E A2D EE688B58A4A8E6E A882E682D1837C E815B81698B40945C92C789C1816A82C68B4

PowerPoint プレゼンテーション

Microsoft PowerPoint - PCIDSS説明 版.pptx

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

平成 26 年 3 月 6 日千葉医療センター 地域医療連携ネットワーク運用管理規定 (Ver.8) 千葉医療センター地域医療連携ネットワーク運用管理規定 第 1 章総則 ( 目的 ) 第 1 条この運用管理規定は 千葉医療センター地域医療連携ネットワーク ( 以下 千葉医療ネットワーク ) に参加

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

利用について... 3 Q1: 利用するために必要な手続きは?... 3 Q2: 申込手続きが必要な単位は?... 3 Q3: 請求閲覧システムの利用にあたっての料金は?... 3 Q4: 利用するために必要な環境は?... 3 Q5: 請求閲覧システムで閲覧できる帳票の種類は?... 3 Q6:

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

NACCS をはじめてご利用される方 1. 仮アカウントの発行 NACCS をはじめてご利用される方 NACCS をはじめてご利用される場合または事業所追加の申込をされる場合は 仮アカウントの発行から新 規の利用申込を行います ご利用いただける手続きはログイン画面から始めます NACCS のご利用開

スライド 1

クレジットカード加盟店契約に関するガイドライン 目次 1. 目的及び位置づけ 2 2. 一般的なモデル契約条項及び解説 3 Ⅰ 総則規定 3 ( 定義 ) 第 A 条 Ⅱ カード番号等の適切な管理に関連する条項 6 ( 取扱いの制限 ) 第 B 条 ( 取得の制限 ) 第 B 条 ( カード番号等の

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

Microsoft PowerPoint - CTYスマホ LINE設定.pptx

電子証明書取得する際に 事前にパソコンの環境設定が必要になります 信頼済みサイトへの登録方法 1. 沖縄銀行ホームページから e パートナー ( 法人 ) 管理者ログオンの順にクリックします 2. メニューバーのツール (T) インターネットオプション (O) の順にクリックします ツール (T)

14個人情報の取扱いに関する規程

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

(消費税)e-Tax編

Transcription:

クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 FAQ 項番カテゴリー質問内容回答 更新日 :2018 年 11 月 6 日 1 全体セキュリティ対策は義務としてやる必要があるのか 改正割賦販売法で 加盟店のセキュリティ対策が義務化されました 同改正法は 2018 年 6 月 1 日から施行され 施行後は法令上の義務となりますので 必要な措置を速やかに実施してください 2 全体 カード情報保護の対応 ( 非保持化もしくは PCI DSS 準拠 ) とについては どちらが優先されるのか どちらかが優先ということではなく 効率よく双方取り組むという考えです 3 全体 国内のアクワイアラーや PSP がセキュリティ対策の取組を行っても 国内の EC 加盟店がその取組に同意せず 海外のアクワイアラーと契約してしまうと意味がなくなってしまうのではないか 改正割賦販売法では アクワイアラーとして加盟店契約業務を行う場合には クレジットカード番号等取扱契約締結事業者 としての登録が必要となり 外国法人が日本国内で業務を行う場合には 国内営業所の登録が必要となり 同法の規制対象となります 4 全体自動精算機は対面取引の認識であるが正しいか 自動精算機はカードを読み取る端末内臓型の機械で処理をしており 対面取引と整理できるため 2020 年 3 月末が期限となります 5 全体セキュリティ対策の対応期限について教えて欲しい 実行計画における対応期限は以下のとおりです ただし 改正割賦販売法が 2018 年 6 月 1 日に施行されることを踏まえ 早急に対応する必要があります < 各主体別の対応完了期限 > 対面加盟店 : 2020 年 3 月末 非対面加盟店 : 2018 年 3 月末 カード会社 PSP: 2018 年 3 月末 6 全体 実行計画 2018 では対応期限が 2018 年 3 月までの期限の記載が削除されたが 2020 年まで延びたということか 実行計画 2018 公表の段においては 2018 年 3 月は 期限到来直前のため敢えて記載していないものです 延長という考え方はございません 7 全体実行計画にあるセキュリティ対策の対応期日に間に合わない場合 加盟店に対する罰則規定はあるのか 実行計画上 罰則規定はありません しかし 加盟店のセキュリティ対策措置 ( 情報保護対策 不正利用防止 ) については 改正割賦販売法に定める加盟店の義務となりますので 実行計画に掲げるセキュリティ対策措置を講じていない場合は 義務を満たしていない状況になります セキュリティ対策が不十分な加盟店については 契約先のカード会社等による加盟店調査を通じて 必要なセキュリティ対策措置を早急に講じるべく指導等が行われることになります なお このような指導にもかかわらず 必要なセキュリティ対策が講じられない場合には 加盟店契約が解除される場合がございますのでご注意ください 1

8 全体対応期限と改正割販法の施行日とのギャップについて教えて欲しい 実行計画 P20 33 等 対面加盟店については 実行計画の対応期限である 2020 年 3 月末の前に改正割賦販売法が施行されるため 実行計画の対応期限と改正割賦販売法の施行日とのギャップが生じております このため 実行計画 2018 では 改正割賦販売法が 2018 年 6 月 1 日から施行されることから 対面加盟店においても その時までの対応を基本とし 最終的には 全加盟店が 2020 年 3 月末までにカード情報の適切な保護に関する対応 ( 非保持化又は PCI DSS 準拠 ) 及びに関する対応 (IC 対応 ) が完了している状態になっていることを目指す と記載しております 9 全体 対面時 有効性チェック済みクレジットカードで受付し 登録 次月以降 当該登録カードで決済を行う継続課金加盟店は 対面加盟店 として扱われるのか いわゆる 継続課金加盟店 において カード登録時に端末で有効性チェックを行ったのち 当該登録されたカードの情報により売上を計上する場合 分類としては対面取引ではなく 非対面取引 として整理されます なお 保険の申込み等 有効性チェックのみにとどまらず 初回分の決済を併せて行っている場合については 対面取引 と整理され IC 対応の対象となります 10 情報保護対策情報保護対策における実行計画 2017 と 2018 の違いは何か 1MO TO 加盟店 ( 内回り ) 及び対面加盟店 ( 内回り ) における非保持と同等 / 相当の考え方を整理しました ( 1) MO TO 加盟店 ( 内回り ) において PCIP2PE 認定ソリューションを導入した場合は非保持と同等 / 相当のセキュリティ対策となります 対面加盟店 ( 内回り ) において PCIP2PE 認定ソリューションを導入した場合 または本協議会において取りまとめた技術要件に適合するセキュリティ基準 (11 項目 ) を満たす場合 非保持と同等 / 相当のセキュリティ措置となります 2MO TO 加盟店の非保持について要件を満たした決済専用端末やタブレット端末を活用した外回り方式を整理しました ( 1) 3 各加盟店の運用実態は異なり 顧客対応についても一律的な対応とすることは困難であることから 運用上の課題については各加盟店 カード会社 必要に応じて ASP 事業者等が連携の上 個別に検討を進めることとしました PCI DSS に準拠した ASP/ クラウドセンター等を運営する事業者が提供するセキュリティ対策が施された環境に加盟店がアクセスし一時的にカード番号を入手 利用する方法は非保持化後も認められます 4 過去のカード情報の保存について一定のセキュリティ対策のもとに認められる考え方を追加しました ( 電子帳簿保存法に基づく管理が求められる場合のみ )( 2) 1 対面加盟店における非保持と同等 / 相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について メールオーダー テレフォンオーダー加盟店における非保持化対応ソリューションについて 2 非保持化実現加盟店における過去のカード情報保護対策 1 2 については ご契約のカード会社 PSP もしくは当協会にお問い合わせください 2

11 情報保護対策カード情報の定義を教えて欲しい 実行計画 P10 脚注 4 実行計画上は カード情報 とは クレジットカード会員データ ( クレジットカード番号 クレジットカード会員名 サービスコード 有効期限 ) 及び機密認証データ ( 全トラックデータ CAV2/CVC2/CVV2/CID いわゆるセキュリティコード PIN 又は PIN ブロック ) をいう なお 以下の処理がなされたものはクレジットカード番号とは見做さない トークナイゼーション ( 自社システムの外で不可逆な番号等に置き換え 自社システム内ではクレジットカード番号を特定できないもの ) トランケーション ( 自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし 自社内では特定できないもの ) 無効処理されたカード番号 と定義されております 12 情報保護対策紙の媒体でクレジットカード番号を保存しているが これはカード情報の保持となるのか 実行計画 P11 脚注 6 実行計画における非保持化とは 以下 ( ) を除き カード情報を電磁的に送受信しないこと すなわち 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないことと定義されております 1 紙 ( クレジット取引伝票 カード番号を記した FAX 申込書 メモ等 ) 2 紙媒体をスキャンした画像データ 3 電話での通話 ( 通話データを含む ) においてカード情報を保存する場合 そのため 非保持の対応をしている加盟店において 紙の媒体でカード情報の保存をしている場合においても 当該加盟店は非保持となります ただし 情報保護の観点から PCI DSS や個人情報保護法等を参考に自社の情報管理基準で保護を図ってください 13 情報保護対策 社内サーバーにカード番号等を画像データや pdf データ ( 電子帳票 ) として保存しているケースがあるが このようなデータにも PCI DSS 対応が必要なのか 実行計画 P11 脚注 6 実行計画における非保持化とは 以下 ( ) を除き カード情報を電磁的に送受信しないこと すなわち 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないことと定義されております 1 紙 ( クレジット取引伝票 カード番号を記した FAX 申込書 メモ等 ) 2 紙媒体をスキャンした画像データ 3 電話での通話 ( 通話データを含む ) においてカード情報を保存する場合 そのため 非保持の対応をしている加盟店において 紙媒体をスキャンした画像データでカード情報が含まれている場合においても 当該加盟店は非保持となります ただし 情報保護の観点から PCI DSS や個人情報保護法等を参考に自社の情報管理基準で保護を図ってください 3

14 情報保護対策通話録音をしており カード情報も含まれるが これはカード情報の 保持 となるのか 実行計画 P11 脚注 6 実行計画における非保持化とは 以下 ( ) を除き カード情報を電磁的に送受信しないこと すなわち 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないことと定義されております 1 紙 ( クレジット取引伝票 カード番号を記した FAX 申込書 メモ等 ) 2 紙媒体をスキャンした画像データ 3 電話での通話 ( 通話データを含む ) においてカード情報を保存する場合 そのため 非保持の対応をしている加盟店において 通話録音でカード情報が含まれている場合においても 当該加盟店は非保持となります ただし 情報保護の観点から PCI DSS や個人情報保護法等を参考に自社の情報管理基準で保護を図ってください 15 情報保護対策 非保持は カード情報 からカード番号など直接決済に関係する情報を無くせば非保持になるのか また カード情報はカード番号が無くとも他の情報 ( セキュリティコードなど ) だけでもカード情報となるのか 実行計画においては カード番号を保持せず 有効期限 カード会員氏名 サービスコード のみを保持しているだけでは保持とはなりません なお セキュリティコードや PIN/PIN ブロックは 機密認証データ に該当するので 通常は保存すること自体が禁止されています 16 情報保護対策 紙媒体をスキャンした画像データにおいてカード情報を保存する場合は 保持 に該当しないと書かれているが ( 実行計画 P,11 脚注 ) 当該画像データをテキスト化した場合もカード情報の保持に該当しないか 画像データからテキスト化した場合 それはテキストデータになると考えられます 実行計画上 そのような形式で保存されるのであれば保持となります 17 情報保護対策無効処理されたカード番号はカード情報ではないという認識でよいか 実行計画 P10 脚注 4 無効処理されたカード番号はカード情報と見做しません 但し 完全に無効となったカード情報であることが前提となります 18 情報保護対策 カード会員データ ( カード番号 カード会員名 サービスコード 有効期限 ) にある カード会員名 はカード決済に係る会員名であるが 一方加盟店自体でもカード決済に関わらず 顧客名 は持っている 機密認証データと PAN 有効期限 サービスコードがなければ カード会員名 と同一人物であっても顧客名自体を保持している事はカード情報を保持していることになるか PAN とともに無いカード会員名等 単体のみであればカード情報とは見做しません 19 情報保護対策 自社システム内において 16 桁のクレジットカード番号を 4 分割して保存する場合 カード情報の保持にあたるか 実行計画 P11 脚注 4 実行計画上では トークナイゼーション ( 自社システムの外で不可逆な番号等へ置き換え 自社システム内ではクレジットカード番号を特定できないもの ) やトランケーション ( 自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし 自社内では特定できないもの ) 無効処理されたカード番号については カード番号と見做さないとされています 自社システム内で行った処理であり かつ上記以外の処理である場合は クレジットカード番号と見做されるため ご質問のスキームはカード情報を保持していると考えられます 4

20 情報保護対策トークン ( トークナイゼーション ) やトランケート ( トランケーション ) を検討しているが 定義を教えてほしい 実行計画 P10 脚注 4 実行計画上のカード番号と見做さない処理であるトークナイゼーションとは 自社システムの外で不可逆な番号等に置き換え 自社システム内では元のクレジットカード番号を特定できない 処理を施したものです また 同じくカード番号と見做さない処理であるトランケーションとは 自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし 自社内では特定できない 処理を施したものです 21 情報保護対策 EC 加盟店において カード情報 通過型 である場合 カード情報を 暗号化 トークン化 してれば 非保持 に該当するのか EC 加盟店における 通過型 の場合 カード情報の通過後の処理如何に関わらず カード情報が加盟店の機器 ネットワークを通過することになりますので 非保持には該当せず PCI DSS 準拠が求められます 22 情報保護対策 PSP の定義について教えて欲しい 実行計画 P2 脚注 1 本実行計画においては インターネット上の取引において EC 加盟店にクレジットカード決済スキームを提供し カード情報を処理する事業者をいいます インターネットゲートウェイにカード情報が保存されてしまうのであれば 保持していることとなります 23 情報保護対策 PSP にカード情報 ( カード番号等 ) を連携する場合には インターネットゲートウェイにカード番号等のログが一定期間残るが 保持していることになるのか 実行計画 P11 脚注 6 実行計画で定められる 非保持化 とは 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないこと です 24 情報保護対策 顧客から電話 FAX はがき等で入手したカード情報を自社の機器に入力して決済を行うにあたり PSP が提供しているリンク型もしくは Java Script 型の入力フォームを用いて PSP にカード情報を送信する方法は非保持となるか カード情報が自社の機器を 通過 していることから 非保持となりません メールオーダーやテレフォンオーダーにおける非保持化実現方策については メールオーダー テレフォンオーダー加盟店における非保持化対応ソリューションについて ( ) をご確認ください 本資料については ご契約のカード会社 PSP もしくは当協会にお問い合わせください 25 情報保護対策 PCI DSS とはどのようなものか 実行計画 P50 PCI DSS とはカード情報を取り扱うすべての事業者に対して国際ブランドが定めたデータセキュリティの国際基準です 安全なネットワークの構築やカード会員データの保護等 12 の要件に基づいて 約 400 の項目から構成されており 準拠 とは このうち該当する要求事項にすべて対応できていることをいいます 26 情報保護対策 PCI DSS の日本語版は用意されているか 日本語版については JCDSC サイト (http://www.jcdsc.org/) よりご確認ください 27 情報保護対策国際ブランドが付いていないカードは PCI DSS の考え方では除外で良いのか 実行計画 P5 実行計画上は対象外となります しかし セキュリティ対策を何も講じなくて良いとはなりません 5

28 情報保護対策実行計画における PCI DSS 準拠の範囲に電子マネーも含むのか 実行計画 P5 実行計画では国際ブランド付きのクレジットカードを対象としています 29 情報保護対策 カード情報を保持する加盟店は 売上 ( 取引件数 ) 等の規模に関係なく 全ての加盟店において PCI DSS 準拠が必須なのか ( 何か基準があれば 開示してほしい ) 加盟店は カード情報の非保持化またはカード情報を保持するのであれば PCI DSS 準拠が必須になります 準拠方法等については 日本クレジット協会が策定した PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 をご確認ください PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 は日本クレジット協会の HP 安全 安心なクレジットカード取引への取組み 関連資料 に公開されています 30 情報保護対策 決済専用端末 (CCT) のみ導入している対面加盟店は カード情報の非保持となるのか それとも PCI DSS 準拠の対象となるのか 実行計画 P11 POS 等の加盟店システムにカード情報を連携や保持をせず ( 保存 処理 通過せず ) IC 対応した決済専用端末 (CCT 及びそれと同等以上のセキュリティレベルのもの ) のみを使用し 直接 外部の情報処理センター等に伝送している場合は非保持となり PCI DSS 準拠は不要となります 31 情報保護対策自社 ( 加盟店 ) がカード情報を保存 処理 通過しているのか分からない 自社 ( 加盟店 ) が提携している PSP やシステム会社に確認してください トランザクションログに意図せずにカード情報が記録されているということがございますので ログを確認し カード情報が記録されているようであれば 削除してください なお 業務上 カード情報の保持が必要な場合は PCI DSS 準拠が求められます 32 情報保護対策 通過型 ( モジュール型 ) の EC 加盟店で カード情報を保存していない場合はどのような対応が必要か 実行計画 P12 13 通過型 ( モジュール型 ) の EC 加盟店は カード情報が 自社で保有する機器 ネットワークに保存していなくとも通過しているため 非通過型 ( リダイレクト ( リンク ) 型か Java Script 型 ) への移行もしくは PCI DSS 準拠が必要となります 33 情報保護対策 JavaScript 決済はカード情報非通過型 ( 非保持 ) と判断して良いか 非保持の場合 PCI DSS の対象外となるのか 実行計画 P12 13 PSP が提供する決済方式が加盟店サーバーをクレジットカード番号が通過しない方式 ( トークン等 ) であれば 非保持として整理しています 実行計画上 非保持の場合は PCI DSS 準拠までは求めていませんが ネットワーク保護等必要なセキュリティ対策は実施してください 6

非対面取引のリカーリング ( 継続課金 ) 加盟店が非保持を実現するには 業務委託のほか 以下の対応が考えられます 34 情報保護対策 リカーリング ( 継続課金 ) 加盟店において 自社でカード情報を含め受付処理を行う場合において非保持化を実現するには 受付処理自体を回避しなければければならないか 実行計画 P13 14 非保持の対応として 非保持化ソリューション導入または 非保持と同等 / 相当の対応として PCI P2PE 認定ソリューションの導入が考えられます ( ) メールオーダー テレフォンオーダー加盟店における非保持化対応ソリューションについて に詳細は記載してございます 本資料については ご契約のカード会社 PSP もしくは当協会にお問い合わせください 35 情報保護対策 PCI DSS に準拠するにはどうしたら良いか 準拠方法については 各社の環境にもよりますので 詳しくは日本カード情報セキュリティ協議会 ( 以下 JCDSC) または認定セキュリティ評価機関 (QSA) にご相談ください あわせて PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 ( ) をご確認ください また 自社のセキュリティレベルを見る上での参考として 簡易診断表を利用できます 簡易診断表は JCDSC の HP からダウンロードできます PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 は日本クレジット協会の HP 安全 安心なクレジットカード取引への取組み 関連資料 に公開されています 36 情報保護対策 クレジットカード加盟店がクレジットカード取扱業務を外部委託する場合 PCI DSS に準拠している業者への委託であれば 当該加盟店は PCIDSS 準拠の必要はないとの認識でよいか 外部委託することによって 加盟店所有の機器 ネットワークにおいてカード情報が保存 処理 通過しないのであれば 実行計画上 当該加盟店は非保持となり PCI DSS 準拠は不要となります なお 委託先の PCI DSS 準拠状況等の管理は必要です 確認の主体者は委託元になります なお 実行計画には以下のように記載されております 37 情報保護対策委託先のカード情報保護については 誰が確認の主体となるのか 実行計画 P20 カード情報の適切な保護を推進するためには カード情報を取り扱う事業者全てが自主的な取組を進めることが重要となります なお 各主体がカード情報を取り扱う業務を外部委託する場合は 委託者自身が委託先のセキュリティ状況を確認し 責任を持って PCI DSS 準拠等の必要な対策を求めていただくこととなります また 複数の委託者からカード情報を取り扱う業務を受託する又はショッピングカート機能等のシステムを提供する事業者は 自社システムにおけるカード情報の保持状況について確認の上 PCI DSS 準拠等の必要な対策を行うことが求められます 38 情報保護対策 非保持と同等 / 相当として例示されている PCI P2PE については 国際ブランド合意のもと別紙 3. タイプ別 SAQ ( 実行計画 P.51) の表にある SAQ P2PE の 33 項目も含めて PCI DSS 準拠不要という理解でよいか 実行計画における非保持化 ( 非保持と同等 / 相当を含む ) を達成している場合は PCI DSS への準拠は求めておりません PCI P2PE 認定ソリューションの導入は 非保持と同等 / 相当の 1 方策であるため 加盟店において PCI DSS への準拠は求めておりません 7

39 情報保護対策 PCI DSS の対応期限が対面加盟店と EC 加盟店で異なるのはなぜか 現状 カード情報の漏えいの頻度が高い EC 加盟店は対面加盟店よりも早期に対策を行う必要があります 現在 我が国において最も被害額が多い番号盗用の手口を未然防止するためにも PCI DSS への早期準拠を求めています 40 情報保護対策 加盟店 (EC サイト リアルとも ) から委託を受けてポイント付与業務を行っている会社でデータの受信項目には ID 番号の他にカード番号が含まれている ( データ受信はクローズドネットワーク ) この場合 PCI DSS の準拠は必要か またその場合対応期限はいつか 加盟店の委託先として加盟店の責任のもと PCI DSS 準拠等を求めることになると考えられます なお それら対応期限については 対面に係る部分が 2020 年 3 月末 非対面に係る部分が 2018 年 3 月末と 業務及びシステムが完全に分離されていることをもって 段階的に対応していくこと ( セグメント ) も可能になります PCI DSS 準拠時のセグメント可否等については QSA に確認してください 41 情報保護対策 PCI DSS 準拠までのギャップ分析は どのくらいの期間がかかるのか 各社の PCI DSS 準拠の適用範囲によって要する期間は異なるため 一概には言えません 42 情報保護対策 同一の加盟店で対面取引と非対面取引があり データ分析の為にカード番号をサーバーに保存している その場合の対応期限は対面 非対面のはどちらで考えるべきか 対面取引と非対面取引それぞれで扱うカード情報を確実に分離できる場合は 各々の期限で対応する事も可能ですが 完全に分離できないのであれば期限が早い方かつより厳格な方法 ( オンサイトレビュー等 ) 対策が強固な方に合わせて PCI DSS 準拠の対応をお願いいたします 43 情報保護対策 PCI DSS に準拠するための認定審査機関を紹介して欲しい 当協会から個別に審査機関をご紹介することは公正性の観点からできかねます 日本カード情報セキュリティ協議会 (JCDSC) のホームページに連絡先が紹介されておりますのでご確認ください 44 情報保護対策 PCI DSS の検証方法の自己問診について その結果をどこかに提出することが求められたりするのか また自己問診の運用はどのようになっているのか PCI DSS の原則では 自己問診 (SAQ) の実施は年 1 回 提出先は以下のとおり 当該企業の立場によって変わります カード会社の場合 : メンバー会社であれば国際ブランドから提出を求められることがあります PSP の場合 : 接続先のアクワイアラーから提出を求められることがあります 加盟店の場合 : アクワイアラーから提出を求められることがあります 45 情報保護対策自己問診では 役員が署名するとあるが どのような意味合いの署名になるのか 内容に関して責任をもって認めるというものです 企業によって 社長や役員が署名しています 当該企業の決裁権限に従った形でよいと思われます 一般的には役員クラスの署名が多いです 8

46 情報保護対策 一つの会社で加盟店の顔 イシュアの顔がある場合 どこまでやるべきか PCIDSS の取得方法はオンサイトレビューなのか自己問診なのか もしくはどのような方法になるのか 実行計画では主体毎の PCI DSS 準拠の期限が決められているので期限内の対応が必要となります 業務の中で PAN を取り扱う業務自体をスコープとして PCI DSS 準拠が必要ですが イシュアーと加盟店の両方の業務を行っている場合でシステムが完全に分けられている場合は イシュアーとしての準拠 加盟店としての準拠が各々で必要になります システムが共通の場合は 期限が早い方かつより厳格な方法 ( オンサイトレビュー等 ) に合わせて PCI DSS 準拠の対応をお願いしております その際の準拠の方法は日本クレジット協会が策定した PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 をご確認ください 準拠の仕方については日本カード情報セキュリティ協議会 (JCDSC) にご相談ください PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 は日本クレジット協会の HP 安全 安心なクレジットカード取引への取組み 関連資料 に公開されています 47 情報保護対策 PCI DSS 準拠の段階においてスコープ調査があるが QSA はどのようなことをするのか 例えば システム概念図やデータフロー図等の提示を受けて カード情報の経路を特定 PCI DSS 準拠が必要な範囲の見極めを行います また 資料 文書上の不足を指摘の上 ギャップ分析を行います 48 情報保護対策 PCI DSS 準拠にかかる基準及び検証方法等に関する実施要領 ( 平成 29 年 6 月 21 日 ) では クレジットカード会社のアクワイアラーでレベル A 以外の社は 自己問診による PCI DSS 検証方法でよいということであるが 具体的にどのような自己問診を使用することになるのか PCI データセキュリティ基準において アクワイアラー用の自己問診はございません イシュアが利用できる サービスプロバイダ用自己問診 D をご利用ください 49 情報保護対策非保持になったとしても必要なセキュリティ対策とは具体的に何を行えばよいか 情報保護の観点から PCI DSS や個人情報保護法等を参考に自社の情報管理基準で保護を図ってください 50 情報保護対策非保持化 ( 非保持と同等 / 相当を含む ) について 誰が達成もしくは未達成を証明するのか 証明する認定機関はございません カード会社 ( アクワイアラー ) ベンダー等と協議のうえ対応してください なお 改正割賦販売法の考え方は カード会社 ( アクワイアラー ) にて 加盟店の対応状況を確認するとなっております 51 情報保護対策 EC 加盟店における非通過型の 2 方策 ( リダイレクト ( リンク ) 型と Java script 型 ) に違いはあるのか 実行計画上 どちらも EC 加盟店におけるカード情報の非保持化を推進するための方策となります なお どちらかの決済システムを導入した上で 事業者により PCI DSS に準拠する を選択した場合は 導入した決済システムの導入形態により求められる SAQ のタイプが異なります リンク型 :SAQ A(22 項目 ) Java Script 型は SAQ A-EP(193 項目 ) 52 情報保護対策 日本クレジット協会において策定した加盟店におけるカード情報漏えい時の緊急対応マニュアル ( 実行計画 P,19) とはどのようなものか また 公表されているものなのか 当該マニュアルは非公表扱いとなっております 加盟店の方は 必要な際に契約されているカード会社にお問い合わせください 9

53 偽造防止対策偽造防止対策における実行計画 2017 と 2018 の違いは何か 1 ガソリンスタンドにおける IC 対応について わが国固有の商慣習 自動精算機対応 防爆対応等の状況から国際基準に則った対応が現状困難である事を踏まえ 2020 年までに実現可能な方策を示した指針を策定しました ( 1) 2 国内で広く普及しているオートローディング方式の自動精算機について 国際基準に則った対応が現状困難であることを踏まえ 代替コントロール事例を示す指針を策定しました ( 2) 3POS 加盟店の接触型と非接触型 IC の同時導入を志向するニーズに応えるためガイドラインを作成しました ( 3) 4 改正割賦販売法の国会附帯決議を踏まえ 消費者が IC 対応加盟店であることを認識 識別できるように IC 対応済みであることを示す 共通シンボルマーク IC 対法デザイン 及び IC 取引の必要性や特徴を理解してもらうための IC 取引啓発デザイン を策定し 周知活動に使用することとしました 1 国内ガソリンスタンドにおける IC クレジットカード取扱対応指針 2 オートローディング式自動精算機の IC 化対応指針と自動精算機の本人確認方法について 3 非接触 EMV 対応 POS ガイドライン 1~3 についてカード会社は日本クレジット協会会員専用ページから取得いただけます 54 偽造防止対策 クレジットカードの IC 化 100% について この クレジットカード の定義が示されているものはあるか 実行計画 P5 実行計画では クレジットカードのうち世界中で共通に使用できるがゆえに不正利用リスクの高い国際ブランド付きのカードを対象としています 一方 国際ブランドが付いていないカードについては 使用範囲が限定される点ではリスクは低いため本実行計画の対象としていませんが リスクに応じたカード情報保護対策及びが必要である点には留意すべきとなっております 55 偽造防止対策 IC 取引における本人確認方法に係るガイドライン 本人確認不要 ( サインレス /PIN レス ) 取引に係るガイドライン はどのように入手できるのか IC 取引における本人確認方法に係るガイドライン 本人確認不要 ( サインレス /PIN レス ) 取引に係るガイドライン は クレジット業界としての実行計画推進のための方策の位置づけとなっています 上記ガイドラインについては カード会社 機器メーカーを通じお取り寄せください カード会社は日本クレジット協会会員専用ページから取得いただけます 56 偽造防止対策 IC カード対応 POS ガイドライン はあらためて提示されるのか IC カード対応 POS ガイドライン は既に策定されています 上記ガイドラインについては カード会社 機器メーカーを通じお取り寄せください カード会社は日本クレジット協会会員専用ページから取得いただけます 57 偽造防止対策 IC 取引時のオペレーションルール とはどのような内容なのか 当該ルールは個別具体的に示してはいませんが IC 取引における本人確認方法に係るガイドライン や IC カード対応 POS ガイドライン に包含されております 58 偽造防止対策 オフライン PIN とはどのようなものか 実行計画 P25 脚注 15 オフライン PIN とは カード利用時に会員が入力した数字と カードの IC チップ内に保存された PIN とを照合するものであり 一方 オンライン PIN は オンラインネットワークを経由してカード会社 ( イシュアー ) のシステム上で照合するものである 10

59 偽造防止対策 IC カードは顧客に PIN 入力をしてもらうとの事だが PIN を忘れた場合は現状通りのスワイプ & サインで計上しても良いのか IC カードによる取引では 顧客に PIN( 暗証番号 ) 入力をしてもらうことになるが PIN を忘れた場合は磁気ストライプの読み取り ( スワイプ ) とサインで取引しても良いのか 実行計画 P26 原則 IC 対応端末において IC カードは磁気ストライプでの取扱いはできません ただし カード会員の PIN 忘れ等の一時的な救済機能として PIN 入力スキップ機能 (PIN バイパス ) を認めております なお PIN 入力スキップ機能 (PIN バイパス ) は 一部海外のカード発行会社のカード等 PIN バイパスを許容しないカードも存在し利用阻害が発生することや PIN による本人確認を実施しないことで不正利用が発生する可能性があることから 業界として カード会員に対する PIN 認知の啓発の活動と並行して PIN 入力スキップ機能の将来的な廃止を検討しております 60 偽造防止対策サインレスでクレジットカードを利用してもらっているが IC カード対応となった場合は運用が変わるのか 実行計画 P27 28 実行計画では IC 取引においても限定的に PIN レスは認められます クレジット業界では IC 取引における本人確認方法に係るガイドライン 及び 本人確認不要 ( サインレス /PIN レス ) 取引に係るガイドライン を策定しています 上記ガイドラインについては カード会社を通じお取り寄せください 61 偽造防止対策 SS( サービスステーション ) の自動精算機について 協議会で何か課題があるのなら内容を教えてほしい 実行計画 P28 SS における IC 対応については 精算場所ごとのオペレーション 決済端末等の情報通信 決済機器にかかる各種法規制 ( 防爆等 ) 対応や給油機一体型オートローディング式自動精算機の PCI PTS 認定 店員による給油サービス後の車内精算における PIN 入力等が課題であるため 2020 年時点での IC 対応における実現可能な方策を示した 国内ガソリンスタンドにおける IC クレジットカード取引対応指針 がとりまとめられました また オートローディング方式の自動精算機については PCI PTS の代替コントロール事例を示す オートローディング式自動精算機の IC 化対応指針と自動精算機の本人確認方法について がとりまとめられております 2 つの指針は日本クレジット協会会員専用ページから取得いただけます 62 偽造防止対策店頭に設置する端末は全て IC 対応する必要があるのか 非対面取引 に使用する端末については 協議会 WG3 で公表された 非対面加盟店におけるの具体的な基準 考え方について において 総合通販 MO/TO 継続課金加盟店については 決済時に別途セキュリティ対策を行う旨が示されているように IC 対応の対象外と整理されます 11

63 偽造防止対策 実行計画上 クレジットカードの IC カードへの切替え加速と カード会員からの要望があれば 更新時期の到来を待たずに同カードへの切替えを可能とする環境整備が謳われている この切替えにあたり セキュリティ上の観点から番号切替えをすべきか 同一番号のままでよしとするのか 考え方を教えて欲しい 実行計画 P35 実行計画上求められているのは 国内で流通する国際ブランド付きクレジットカードが 2020 年 3 月末までに 100%IC 化されていることのみであり 磁気カードから IC カードへの切替えを含め カードの再発行にあたり 番号を切替えるか否かは発行元であるイシュアーの判断の下行われるもの という考え方になります 以下 実行計画記載事項 (1) クレジットカード IC 化に向けた取組 カード会社 ( イシュアー ) は 2020 年 3 月末までに国内で流通する国際ブランド付きクレジットカードが 100%IC 化されていることを目指し IC カードへの切替えを加速する また カード会員からの要望があれば 当該カードの更新時期を待たず IC カードへの切替えを可能とする環境を早急に整える 64 における実行計画 2017 と 2018 の違いは何か 1 実行計画 2017 までは EC 限定でしたが 非対面取引全体が対象となりました 2 高リスク業種 ( 特定 5 業種 ) から EC モールは業種ではなく販売形態であるため除外し 高リスク業種は ( デジタルコンテンツ 家電 電子マネー チケット ) の特定 4 業種としました 3 改正割賦販売法の指針としての加盟店におけるリスク 被害発生状況に応じた方策導入の考え方を示しました 65 実行計画で示す方策以外で法履行ができる方策を教えて欲しい 実行計画上の方策と同等以上の性能を満たしているものであれば認められます なお 事業者はその 方策が実行計画上の方策以上の性能であることの証明を求められる可能性があります 3D セキュア 2.0 は今現在国内で提供できるソフトウェア ( マーチャントプラグインソフト ) ベン ダーは存在しておりませんので直ちに導入できる環境にはありません メリットは実行計画 66 3D セキュア 2.0 の導入可能な時期や 導入の際のメリット デメリット及び 現行 3D セキュアとの互換性を教えて欲しい 2018にも記載がございますが ブラウザベースに加え アプリケーションベースに対応していること リスクベースの判定項目が増えて判別力の向上よりパスワード入力の機会が減少することが期待できることです 留意点は 現行 3Dセキュアと互換性は無いので新たな ソフトを組み入れる必要があることです 67 静的 ( 固定 ) パスワード の課題に対する有効な解決策として示されている 動的 ( ワンタイム ) パスワード や 生体認証 とは何か ワンタイムパスワード ワンタイムパスワードは利用する都度変更される使い捨てパスワード ( 動的 / 可変パスワード ) です 事前に登録した数値による固定パスワード ( 静的パスワード ) よりも 不正利用のリスクを低減することが期待できます カード会社が発行する専用デバイスや顧客のスマートフォンアプリでパスワードを表示する方法や SMS 等で都度顧客に送信される方法があります ワンタイムパスワードの管理はイシュアーの認証を代行する ACS で行うことが多いようです 生体認証 指紋等の生体情報をスマートフォン等の端末と紐付けておくことで カード利用の都度端末における生体情報の照合により本人確認を行えるようにするものです 生体情報の管理はスマートフォン等の端末で行われる ( カード会社や加盟店では生体情報をもたない ) ことが多いです 12

68 デバイス情報とは何を指すのか 具体的に教えてください EC 取引におけるユーザーの機器 ( パソコン スマートフォン等 ) から得られる情報となります 69 外部サービスの利用とありますが どのようなサービスですか 属性行動分析のシステムツールを販売しているシステムベンダーがあり そのベンダーのシステムツールを自ら導入すること PSP を利用している加盟店は PSP のサービスを利用することです 70 オーソリゼーションと善管注意義務は追加方策になるのか 追加方策にはなりません 全非対面加盟店が最低限行っている条件となります 71 MO TO 加盟店におけるを複数導入する際の考え方を教えて欲しい MO TO 加盟店で対応する場合は EC 特有の方策 (3D セキュア ) は導入できないため 他の方策での対応となります なお セキュリティコードで対応することは可能ですが センシティブ情報にあたるため保存することができない点は運用上で考慮する必要がございます 72 加盟店の不正利用防止対策については何をどこまでやれば対策済として良いのか 基準があれば提示して欲しい 実行計画 P40 41 実行計画 2018 ではリスクに応じた多面的 重層的な対応を求めております その基準としては全ての加盟店が対応するべき対策として 1 善管注意義務と 2 オーソリゼーションの導入があります その上で高リスク加盟店としてデジタルコンテンツ 家電 電子マネー チケットの 4 業種については全ての加盟店が対応するべき対策 + 実行計画上の方策を 1 つ以上 不正顕在化加盟店と認定される場合は全ての加盟店が対応するべき対策 + 実行計画上の方策を 2 つ以上と指針を定めております 実行計画上の方策 : 本人認証 券面認証 属性行動分析 配送先情報 不正顕在化加盟店 : カード会社 ( アクワイアラー ) 各社が把握する不正利用金額が継続的に一定金額を超えた場合に該当する 73 不正被害発生状況等に応じた不正利用への対応基準に高リスク加盟店の 4 業種とあるが 4 業種を一部でも取扱っている加盟店は高リスク加盟店の定義になるのか 業種の判断は取扱の 主たる商材 で判断されます そのため 一部の取扱いでは 主たる商材 には該当しないと想定されますが 念のため 契約アクワイアラーにご確認ください ( 業種の判断はアク ワイアラーが行います ) 74 主たる商材の扱いが変更になり 高リスク ( 業種 ) 加盟店ではなくなったのだが 現在 実行計画上の方策は 1 つ導入している この場合 当該方策は止めてもいいのか 高リスク商材を取り扱う加盟店でなくなったとしても 不正利用被害を未然に防止する方策は有効だと考えられますので 継続して行っていただくようお願いします 75 不正顕在化加盟店はアクワイアラー個社の基準により認定されるということだが アクワイアラー毎にその評価が分かれている状態の加盟店は 1 つのアクアワイアラーから不正顕在化と認定された時点 で 不正顕在化加盟店となるのか 1 つのアクワイアラーから不正顕在化と認定された時点で 当該加盟店は不正顕在化加盟店ということになります 76 不正発生被害が継続的に一定額を超えた場合 不正顕在化加盟店とされ 2 方策以上の対策が求められることになるが 取扱高の大小に関わらず基準を一定額とするルールはおかしいのではないか 実行計画では不正利用被害の絶対額を下げる目的がございます そこで 不正利用被害が大きい加盟店の上位から重点的に下げて行く考え方としており 一定の基準以上の不正利用被害が発生していた場合は不正顕在化加盟店としています 不正利用被害も大きいが 取扱高が巨額で不正率で考えると薄まってしまい 不正顕在化加盟店としないことにした場合は不正利用被害の全体を押し下げることは難しいと考えております ご理解いただければと思います 13

77 不正顕在化の加盟店として実行計画上の方策 2 つ以上の対策を求められた場合 当社は属性行動分析を導入しているが もう一つ別のシステムベンダーから属性行動分析を導入して 2 つ以上として良いか 実行計画上の各方策には各々に長所 短所の特徴があり 多面的 重層的な対策の考え方として 組合せにより短所を補う意味合いがあるので 他の方策の導入をご検討ください 78 不正顕在化の不正利用金額はどのようなものか 調査中の金額も含まれるのか カード名義人が関与せず 第三者による なりすまし不正行為による被害であると確定した金額 となります 79 好事例を取りまとめ 業界団体に配布とあるが どの業界に配布したのか また その資料は協会 HP に公開されているのか PSP に向けて EC 決済協議会 日本通信販売協会等の協議会委員の業界団体に展開しています 資料は 一般公開はしておりません 必要に応じて契約アクワイアラーにお問い合わせください 14

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック