クレジット取引セキュリティ対策協議会実行計画 -2017- の概要について
1. 割賦販売法の改正 割賦販売法は クレジット取引に関するルールについて取りまとめた法律です 平成 28 年 12 月に割賦販売法が改正され クレジットカードを取り扱うお店 ( 加盟店 ) は 不正利用防止等のセキュリティ対策をとることが義務付けられました 改正の趣旨 近年 クレジットカードを取り扱う加盟店からクレジットカード番号等の漏えいや不正利用被害が増加していることなどから 安全 安心な環境でクレジットカードを利用できるための措置が講じられることになりました これらの措置は 2020 年の東京オリンピックに向け インバウンド需要の取り込みに向けたものでもあります 改正のポイント 加盟店には クレジットカード番号等の適切な管理 や クレジットカード番号等の不正利用防止 のための対策が義務付けられます 加盟店とクレジットカード契約 ( 加盟店契約 ) を結ぶカード会社には 加盟店のセキュリティ対策の状況等を調査し 対策が不十分な場合は必要な措置を講じるよう指導することが義務付けられます 施行日 2018 年 6 月 1 日 1
2. 改正割賦販売法と実行計画 -2017- クレジット取引セキュリティ対策協議会がとりまとめた 実行計画 は 割賦販売法で義務付けられている加盟店のセキュリティ対策の実務上の指針とされています クレジットカード番号等の適切な管理 ( 改正法第 35 条の 16) 実行計画におけるセキュリティ対策 3 本の柱 (1) カード情報の漏えい対策 カード情報を盗らせない 加盟店におけるカード情報の 非保持化 カード情報を保持する事業者の PCIDSS 準拠 クレジットカード番号等の不正利用防止 ( 改正法第 35 条の 17 の 15) (2) 偽造カードによる不正使用対策 偽造カードを使わせない クレジットカードの 100%IC 化 の実現 決済端末の 100%IC 対応 の実現 (3) EC における不正使用対策 ネットでなりすましをさせない 多面的 重層的な不正使用対策の導入 2
3. クレジットカード情報の漏えい防止 ( カード情報非保持 /PCI DSS 準拠 ) 現状 課題 近年 サイバー攻撃によるEC 加盟店等からのカード情報の漏えい事故が頻発 2015 年 30 件 ( 前年比 2.3 倍 ) カード情報を狙うハッカーの攻撃手口のグローバル化 巧妙化 加盟店等において カード情報を取り扱っている当事者意識が希薄で対策が不十分 目標 加盟店は 原則 カード情報の非保持化 カード情報を取り扱う事業者は セキュリティに関する国際規格 (PCI DSS) 準拠 各主体の役割 カード会社 PSP( 決済代行業 ) PCI DSS 準拠を完了 (2018 年 3 月まで ) カード会社は PCI DSS に準拠していない PSP との取引を見直し (2018 年 4 月目途 ) 加盟店に対して非保持化又は PCI DSS 準拠に向けた要請 支援 加盟店 2018 年 6 月 1 日改正割販法の施行 義務化 カード情報の非保持化又は PCI DSS 準拠 (EC 加盟店は 2018 年 3 月まで 対面加盟店は最終的には 2020 年 3 月までに完了 ) 最新の攻撃手口に対応したセキュリティ対策の改善 強化を不断に実施 行政 カード情報の適切な保護について 事業者や消費者に情報発信 NISC JPCERT 等のセキュリティ関係機関との連携 情報共有 3
4. 偽造カードによる不正使用防止 ( カードと決済端末の IC 対応 ) 現状 課題 偽造カードによる不正使用に対し 取引のIC 化は 現状では唯一無二の対策 海外でのIC 対応が進む中 国内加盟店のPOSシステム はIC 対応が進んでおらず セキュリティホール化 するリスクが高まっている 市場の約 8 割を占め 全体でのIC 対応端末は2 割未満 カードのIC 率は約 7 割 銀行 ATMのIC 対応は9 割超 目標 クレジットカード及び加盟店の決済端末のIC 対応 100% 実現 各主体の役割 カード会社 クレジットカードの IC 化 100% ( 改正法施行までに 100% に近づけ 2020 年 3 月までに実現 ) IC 取引時のオペレーションルール (PIN レス等 ) の策定 国際ブランド 加盟店が IC 対応する際の認証プロセスの効率化 加盟店 2018 年 6 月 1 日改正割販法の施行 義務化 POS 等の決済システムの IC 対応 ( 最終的には 2020 年 3 月までに完了 ) 低コスト化支援を完了 POS 機器メーカー POS の接続部分のソフトウェアを共通化 POS システムの IC 対応を標準化 行政 IC 加盟店の見える化 IC 未対応による不正使用被害の損失負担の在り方の明確化 ) 実効性確保の観点から 割賦販売法における更なる措置を検討 中小加盟店等への支援 4
5. ネットでのなりすまし等による不正使用防止 ( 本人認証等 ) 現状 課題 近年 ネット取引 (EC) におけるなりすまし等による不正使用被害が急増 不正使用被害額 (2015 年 120 億円 ) の約 6 割は EC における不正使用に起因 なりすましにより不正使用されやすい カード番号 + 有効期限 のみで決済可能な EC 加盟店が多数存在 目標 2020 年に向け EC における不正使用被害の最小化 EC 加盟店において 多面的 重層的な不正使用対策を導入 多面的 重層的な不正使用対策 いずれも一つで十分というものでないが 一定の有効性のある代表的な方策として提示 本人認証 (3D セキュア ) 消費者に特定のパスワードを入力させることで本人を確認 セキュリティコード券面の数字 (3~4 桁 ) を入力し カードが真正であることを確認 属性 行動分析過去の取引情報等に基づくリスク評価によって不正取引を判定 配送先情報不正配送先情報の蓄積によって商品等の配送を事前に停止 各主体の役割 カード会社 PSP 本人認証 (3D セキュア ) のためのパスワード登録の促進 EC 加盟店における不正使用対策の導入に向けた要請 支援 加盟店 2018 年 6 月 1 日改正割販法の施行 義務化 各社の被害状況やリスクに応じ 多面的 重層的な不正使用対策を導入 (2018 年 3 月まで ) 特に 何も不正使用対策を講じていない加盟店はカード会社 PSP の協力を得て 早急に導入 行政 不正使用対策の必要性や有効性について 事業者等に対し周知 啓発 被害の実態や最新手口等について外部専門機関と連携 情報発信 消費者に対し 不正使用の実態やパスワード等の使い回し等を注意喚起 5
6. 加盟店のクレジットカード取引形態ごとに必要なセキュリティ対策 1 Q クレジットカード取引の形態によって どのようなセキュリティ対策が必要になりますか? A カード取引には対面取引と非対面取引とがあり とるべき対策が異なります 店舗や営業訪問にて お客様からクレジットカードを提示いただきクレジット決済端末を使って決済を行っていますか? はい WEB や申込書でのカード番号取得 システムでの月次請求など カードの提示を受けない取引を行っていますか? いいえ WEB や申込書でのカード番号取得 システムでの月次請求など カードの提示を受けない取引を行っていますか? はい いいえ はい いいえ 加盟店種別 1 へ 加盟店種別 2 へ 加盟店種別 3 へ カード取引なし 6
7. 加盟店のクレジットカード取引形態ごとに必要なセキュリティ対策 2 対面取引 とは クレジットカード券面を使用して決済を行う取引 非対面取引 とは クレジットカード券面を使用しないで決済を行う取引 加盟店種別具体的な対策対応期限法的義務 自社のクレジット決済システムの IC 対応 (P4 参照 ) 2020 年 ( 平成 32 年 )3 月末 カード情報の非保持化を基本とし (P3 参照 ) 保持する場合は PCI DSS 準拠 2018 年 ( 平成 30 年 )3 月末 1 対面取引及び非対面取引を行っている加盟店 2 対面取引のみ行っている加盟店 以下 EC 取引に限る (P5 参照 ) 自社での不正使用被害状況の把握等の体制整備 クレジットカード会社又は PSP との迅速な情報共有 クレジットカード会社及び PSP との協力による 本人認証 券面認証 属性 行動分析等の方策を基本とした多面的 重層的な対策 自社のクレジット決済システムの IC 対応 (P4 参照 ) カード情報の非保持化を基本とし (P3 参照 ) 保持する場合は PCI DSS 準拠 2018 年 ( 平成 30 年 )3 月末 2020 年 ( 平成 32 年 )3 月末 割賦販売法上の義務あり 2018 年 ( 平成 30 年 ) 6 月 1 日施行 カード情報の非保持化を基本とし (P3 参照 ) 保持する場合は PCI DSS 準拠 2018 年 ( 平成 30 年 )3 月末 3 非対面取引のみ行っている加盟店 以下 EC 取引に限る (P5 参照 ) 自社での不正使用被害状況の把握等の体制整備 クレジットカード会社又は PSP との迅速な情報共有 クレジットカード会社及び PSP との協力による 本人認証 券面認証 属性 行動分析等の方策を基本とした多面的 重層的な対策 2018 年 ( 平成 30 年 )3 月末 7
8. 参考情報 当協会 WEB サイトにおいて 安全 安心なクレジットカード取引への取組み ページを開設し クレジットカードセキュリティについて詳しく解説 http://www.j-credit.or.jp/security/ 当協会 WEB サイト 加盟店 ( クレジットカードを取り扱うお店 ) の皆様へ ページで加盟店のセキュリティ対策について解説 https://www.j-redit.or.jp/security/understanding/member-store.html クレジット取引セキュリティ対策協議会実行計画 -2017- は WEB サイトで閲覧可能 http://www.j-credit.or.jp/security/pdf/plan_2017.pdf 8