非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月 編
はじめに クレジット取引セキュリティ対策協議会 ( 事務局 : 一般社団法人日本クレジット協会 ) では 2020 年に向け 国際水準のセキュリティ環境 を整備することを目指し 2016 年 2 月に クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 ( 以下 実行計画 という ) を策定し 毎年度 各主体における実行計画の進捗及び達成度等を踏まえ 改訂を行っております また 本実行計画は 2018 年 6 月 1 日に施行された改正割賦販売法のセキュリティ対策義務の実務上の指針となっており ここに掲げる措置を講じている場合には法令上の基準を満たしていることになります 当協会では 改正割賦販売法の施行を踏まえ 加盟店におけるカード情報保護対策の一層の推進のため 関係事業者の皆様のご関心が高い非対面加盟店における 非保持化 の要件や仕組み等について 協議会関係者の多大なご協力を得て 研修テキストとして取りまとめました 本研修を通じて 受講者となるカード会社 決済代行会社 (PSP) の加盟店管理実務担当者等の皆様がご契約先の加盟店に対して必要な助言や情報提供を的確に行い 加盟店における非保持化の推進に役立てていただけると幸いです 最後に 本研修資料の第 Ⅱ 章については EC 決済協議会の君野則之様 ( 株式会社ペイジェント ) 第 Ⅲ 章については公益社団法人日本通信販売協会の橋本祥永様 ( オルビス株式会社 ) にそれぞれ資料のご提供いただくなど多大なご協力いただきましたことを心より御礼申し上げたいと思います 2019 年 1 月 一般社団法人日本クレジット協会セキュリティ対策推進センター 1
第 Ⅰ 章 加盟店における カード情報保護対策について 2
クレジットカード取引の不正利用被害の増加 昨今 セキュリティ対策が不十分な加盟店等 ( 特にEC 加盟店 ) を狙った不正アクセスにより カード情報の漏えいが拡大 これに伴い 窃取したカード情報を使って 本人になりすました不正利用による被害は増加 (2017 年 176.7 億円と4 年間で約 2.6 倍 ) 不正利用は国境を越えて行われ 換金性の高い商品の購入を通じて 犯罪組織に多額の資金が流出しているとの指摘あり ( 億円 ) 250 200 クレジットカード不正利用被害額 176.7 236.4 4 年間で約 2.6 倍の増加 150 100 50 0 142.0 114.5 120.9 88.9 67.3 72.2 27.7 30.6 31.7 19.5 23.1 25.6 22.5 28.0 2014 年 2015 年 2016 年 2017 年 1 偽造カード被害額 2 番号盗用被害額 3その他不正利用被害額クレジットカード不正利用被害額 (1+2+3) 出所 : 一般社団法人日本クレジット協会 クレジットカード不正利用被害発生状況 3
改正割賦販売法と実行計画との関係 改正割賦販売法では 国際ブランドが付帯されたクレジットカードについては 監督の基本方針 に基づき セキュリティ対策の実務上の指針となる クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 ( 以下 実行計画 ) に掲げる措置又はそれと同等以上の措置を講じている場合には 施行規則 ( 省令 ) の 必要かつ適切な措置 が講じられているものと認められる クレジットカード番号等の適切な管理 1 クレジットカード番号等 ( 国際ブランドが付帯 ) の場合 : 実行計画に掲げられた漏えい等の事故の防止措置又はそれと同等以上の措置 実行計画に基づくカード情報保護対策 加盟店におけるカード情報の 非保持化 1 非保持と同等 / 相当 2 カード情報を保持する事業者の PCI DSS 3 準拠 1 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないこと 2 カード番号を特定できない状態とし 自社内で復号できない仕組み 3 国際ブランドが共同で策定したカード情報に関するセキュリティ規格 2 クレジットカード番号等 ( 国際ブランドが非付帯 ) の場合 : 不正利用のリスク等に応じて必要かつ適切な漏えい等の事故の防止措置 漏えい事故発生時の対応 原因究明調査 第三者による不正利用防止措置 再発防止措置 4
加盟店におけるカード情報保護対策 現状 課題 近年 サイバー攻撃によるEC 加盟店等からのカード情報の漏えい事故が頻発 カード情報を狙うハッカーの攻撃手口のグローバル化 巧妙化 加盟店の役割 加盟店は カード情報の非保持化 ( 非保持と同等 / 相当 ( 対面 MO TO 加盟店 ) 含む ) 又はカード情報を保持する場合はPCI DSS 準拠 対応済みの加盟店は 最新の攻撃手口に対応したセキュリティ対策の改善 強化を不断に実施 EC 加盟店の委託先事業者 ( ショッピングカート機能等 ) における対策 非保持化への取組 加盟店においてはカード情報を非保持化することを基本とした取組を第一に検討する 加盟店における非保持化に向けた具体的な対策を進めるにあたっては 対面取引加盟店と非対面取引加盟店に分けたアプローチをすることが有効 カード情報保護対策は加盟店の業務形態等により異なる 参考 実行計画 -2018- ~ 加盟店におけるクレジットカード情報保護対策について ~ 5
加盟店における非保持化の推進 非保持化 は 実行計画において PCI DSS 準拠に並ぶ措置 非保持化は PCI DSS 準拠とイコールではないものの カード情報保護という観点では同等の効果があるものと認められる 非保持化実現により 仮にマルウェアや標的型攻撃を受けた場合でも カード情報の漏えいを防ぐことができる 注意点 EC 加盟店の中には 自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースがある 加盟店に対する注意喚起を行い さらに カード情報を保持しないシステム ( カード情報非通過型 ) への移行を強く推奨する EC 加盟店において 非保持化を実現した場合であっても EC サイトの開発 運用段階での脆弱性や設定不備などへの対応が不十分であると カード情報が漏えいするリスクがある 自社システムの定期的な点検や追加的な対策を講じるなどの対応が重要 6
第 Ⅱ 章 EC 加盟店における非保持化について 7
EC 加盟店における 非保持化 とは 加盟店の保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないこと 非処理 カード情報を処理しない 非保持 3 要素すべてを満たした状態 非保存 カード情報を保存しない 非通過 カード情報を通過させない 8
EC 加盟店における 非保持化 のソリューション EC 加盟店において 決済代行会社 (PCIDSS 準拠済 ) が提供する 非通過 のソリューションを利用することで 加盟店側では 非保存 非処理 も実現することが可能 改善すべき現状 自社サイトでカード情報を取得 ( モジュール接続 ) リンク型決済またはトークン型決済の利用 < 実行計画の該当箇所 > 非通過型は カード情報が EC 加盟店ではなく PSP の機器 ネットワークを 通過 して 処理 され EC 加盟店はカード情報を 通過 処理 保存 することはないため EC 加盟店における非保持化を実現するセキュリティ措置として推奨されるものである ただし 非通過型の決済サービスを提供する PSP が PCI DSS 準拠済みであることが前提である よって EC 加盟店におけるカード情報の非保持化を推進するため PCI DSS 準拠済みの PSP が提供するカード情報の非通過型 ( リダイレクト ( リンク ) 型 又は Java Script 型 ) の決済システムの導入を促進することとする 9
非通過 ソリューションの概略イメージ 非通過 リンク型決済購入者が決済代行会社のページに遷移し カード情報を直接入力 CHOICE 非通過 トークン型決済 カード情報を置き換えたトークンを決済に利用 CHOICE 決済代行会社が支払画面を用意する ASP 型決済代行サービス 低コストかつ少ない開発工数で簡単に決済を導入できる 購入者のブラウザから決済代行会社に直接カード情報を送信後 発行されたトークン ( カード情報を置き換えたもの ) を利用してオーソリ取得する EC EC 1 画面遷移してカード情報入力 2 購入 3 オーソリ取得 1 カード情報送信 2 トークン発行 3 トークンを付けて購入 4 トークンでオーソリ取得 10
非通過ソリューションの意義 セキュリティ対策改善策のひとつセキュリティ対策については 様々な技術やサービスが提供されているが 100 パーセントの安全性を担保できるものではない ひとつの改善策として 非通過型ソリューション を利用することが可能 EC 加盟店のサーバでカード情報を保存しない場合も 不正アクセスによる漏えいリスクが残存する なぜなら 決済時の一時的なカード情報通過時にも不正アクセスの可能性が有るためである 非通過ソリューションの利用により カード情報がEC 加盟店のサーバを通過しなくなるため 不正アクセスによる漏えいリスクをさらに低減することができる 改善すべき現状 非通過ソリューション導入後 11
非通過ソリューション ~ リンク型決済 ~ リンク型決済とは 購入者が EC 加盟店のサイトで購入申込みの後 決済代行会社が提供する決済画面へ遷移して決済する方法である リンク型決済は 新規で構築する場合には データ連携と暗号化対応のみであり 最小限のシステム改修で対応することが可能である PCI DSS 準拠の決済代行会社システム環境下でカード情報の入力を行うので 安全な決済システムである 購入者から見た画面の遷移 12
リンク型決済のサービスフロー リンク型決済は 新規で構築する場合には データ連携と暗号化対応のみであり 最小限のシステム改修で対応することが可能である EC 13
リンク型決済 ~ デメリットと解消方法 ~ 従来 リンク型決済は 安全な決済システムである一方 デザインカスタマイズに課題があった 決済代行会社によっては 解消方法として CSS デザインと CSS デザインを視覚的に変更できる CMS 機能を提供している リンク型決済の課題 決済代行会社が作成した決済画面を使用するため 加盟店サイトのデザインコンセプトに準じた画面にできない カスタマイズソリューション CSS デザインの提供 利用により 色味 背景画像 アイコン画像 ボタンの文言 支払い方法の表示順などが EC 加盟店にて変更可能 CSS デザインを視覚的に変更できる CMS 機能を決済代行会社が提供 PC に加え スマートフォンのデザイン編集等も可能 14
非通過型ソリューション ~ トークン型決済 1~ トークン型決済とは モジュール型決済の仕様の一部を変更して 非通過 ( 購入者が入力したカード情報が EC 加盟店のサーバを通過しない ) を実現する決済方法である モジュール型決済が基本となるため カード情報の入力画面は EC 加盟店にて作成する すなわち 画面デザインは従来通り EC 加盟店は自由にカスタマイズをすることができる また 決済画面のドメインも EC 加盟店が使用しているドメインのままである また モジュールで後続処理 ( 売上計上など ) との連携を図っている場合も 引き続き同様のフローで対応が可能である 購入者から見た画面の遷移 従来の画面遷移から変更なし ドメインも EC 加盟店が使用しているドメインのまま 15
非通過型ソリューション ~ トークン型決済 2~ トークン型決済では JavaScript により 購入者が入力したカード情報を EC 加盟店のサーバを通過させずに 購入者のブラウザから直接決済代行会社のサーバへ送信し 決済代行会社でカード情報を別の文字列 ( トークン ) に置き換え そのトークンを使用して決済を行う EC 決済代行会社が提供するトークンは再使用が出来ないワンタイムトークンのため 使用後のトークンが漏えいしても不正利用されない 16
トークン型決済 ~ 決済フローの変化 1~ 従来のモジュール型決済 EC 17
トークン型決済 ~ 決済フローの変化 2~ トークン型決済 ( 従来モジュール型決済の一部仕様変更 ) EC 18
第 Ⅲ 章 MO TO 加盟店における非保持化について MO TO: メールオーダー テレフォンオーダー 19
MO TO 加盟店における 非保持化対応ソリューション 20
MO TO 加盟店における非保持化対応ソリューション 1. 外回り方式 (1) 決済専用端末を利用した外回り方式 (2) タブレットを利用した外回り方式 1: クレジット特化型 2: 代理受注方式 加盟店側の利用方法の違いによる 2. 内回り方式 PCI P2PE 認定端末を利用した内回り方式 ( 参考 ) その他 (1) IVR( 電話自動応答システム ) の活用 (2) アウトソーサー (PCI DSS 準拠 ) の活用 ( 全部委託 ) 21
( 参考 ) ネットワークの仕組み 外回り方式 内回り方式 MO TO 加盟店 アクワイアラ /PSP MO TO 加盟店 アクワイアラ /PSP ネットワーク ネットワーク ネットワーク ネットワーク カード情報 ( カード番号 ) カード情報 ( 暗号化 ) 非保持化実現 (PCI DSS 準拠不要 ) 加盟店が保有する機器 ネットワークにおいてカード情報が通過 PCI DSS 準拠又は非保持と同等 / 相当の措置が必要 22
1. 外回り方式 (1) 決済専用端末を利用した外回り方式 (2) タブレットを利用した外回り方式 1クレジット特化型 2 代理受注方式 加盟店側の利用方法の違いによる 23
(1) 決済専用端末を利用した外回り方式 < システム ネットワーク概要図 > PC 接続専用決済端末経由でクラウド決済を実施 決済 GW や PSP 等が運営 決済ゲートウェイの略 ASP/ クラウドセンター PCI DSS 準拠 通販システム PSP インターネット等 決済経路 3G/LTE MO TO 加盟店 SIM SIM 受注経路取引結果送信経路 USB USB 加盟店側システム NW 24
< 加盟店側の機器 > 専用機器でカード情報を入力 決済端末と接続するための専用アプリケーションが必要 加盟店の PC へカード情報は渡らない USB 接続しているため 売上連携可能 SIM WI-FI( 無線 LAN) は NG カード情報は SIM で端末毎に送受信をするためセキュア 金額等連携 USB カード番号 有効期限はここでタイプし PC に渡らないため PC にセキュリティ上問題があっても影響がない 取引 ID 等連携 ( カード情報は渡らない ) ここにカード番号は残らない上に GW 側からのレンタルで常にセキュリティを向上 加盟店側システム NW デバイス ( レンタル ) 25
(2) タブレットを利用した外回り方式 ~1 クレジット特化型 < システム ネットワーク概要図 > カード情報のみタブレットを使用して入力 お客様 決済 GW や PSP 等が運営 通販システム インターネット 3G/ LTE ASP/ クラウドセンター PCI DSS 準拠 MO TO 加盟店 SIM SIM SIM SIM SIM 受注情報は加盟店の PC から入力 カード情報のみ タブレットを使用して入力 タブレットに限定 (PSP 等からの提供であっても PC は不可 ) 26
< 加盟店側の機器 > 受注用 PC とタブレットの 2 台を保有し カード情報のみタブレットを使用して入力 加盟店側とは一切の通信や接続しない 3G/ LTE インターネット ASP/ クラウドセンター PCI DSS 準拠 SIM SIM で一台毎に通信すること WI-FI( 無線 LAN) は NG カード番号入力 3546-1234-5627-8901 有効期限 12/23 タブレットのブラウザを使い PSP 等の管理画面等でオペレーターが直接入力する PC にて文章データの複写 ( コピー & ペースト ) ができなたいため タブレットの戻り値 ( 売上番号等 ) を手動入力する必要がある タブレットの保守管理は全て PSP 等が実施 加盟店では設定の変更が不可 PSP 等が提供するタブレット ( レンタル ) (ios/android/windows) 27
タブレットを利用した外回り方式 ~2 代理受注方式 < システム ネットワーク概要図 > タブレットで注文そのものを実施 ( お客様と同じ注文環境 ) 通販システム インターネット受注経路 決済経路 3G/ LTE お客様 決済 GW や PSP 等が運営 ASP/ クラウドセンター PCI DSS 準拠 加盟店 SIM SIM SIM SIM SIM 加盟店側システム NW クレジットカード利用なしのみ対応 クレジットカード利用がある場合 受注そのものをタブレットで実施 PSP 等が提供するタブレット ( レンタル ) 28
< 加盟店側の機器 > クレジットを利用する受注は 全てタブレットを使用して受注処理を行う ( 加盟店のシステムは CRM に利用 ) 加盟店側とは一切の通信や接続しない 3G/ LTE インターネット ASP/ クラウドセンター PCI DSS 準拠 SIM SIM で一台毎に通信すること WI-FI( 無線 LAN) は NG オペレーターが 顧客と同じようにタブレットのブラウザを使い EC 受注を実施 クレジットを利用しない受注は処理可能 また CRM システムなどを閲覧 タブレットの保守管理は全て PSP 等が実施 加盟店では設定の変更が不可 顧客と同じ受注環境のため PSP 等との連携も完璧に実現可能 Customer Relation Management の略 PSP 等が提供するタブレット ( レンタル ) (ios/android/windows) 29
2. 内回り方式 PCI P2PE 認定端末を利用した内回り方式 30
PCI P2PE 認定端末を利用した内回り方式 < システム ネットワーク概要図 > PCI P2PE 認定ソリューションを導入した場合には 非保持と同等 / 相当のセキュリティ措置となる 通販システム 受注経路 & 決済経路 インターネット PCI P2PE 認定による保護 決済 GW や PSP 等が運営 ASP/ クラウドセンター PCI DSS 準拠 PCI P2PE: カードリーダーデバイスから決済処理ポイントまでカード会員データを安全に伝送処理する仕組みで PCIS CC に認定されたソリューションのこと MO TO 加盟店 USB インターネットへの接続経路は一例 USB 加盟店側システム NW 31
< 加盟店側の機器 > 自社システム ASP/ クラウドセンター PCI DSS 準拠 復号キーは事前に設定した PSP 等だけが保有し 加盟店は復号が不可 暗号文字だけのため社内 NW 上通過 OK PC に渡った時点で暗号文字のため PC 上では何も処理しない PC 側はアプリでクレジット入力の際は SRED Key しか入力できなくすれば良い 加盟店側システム NW PSP 等が PCI P2PE に対応していることが絶対条件となる USB 一方通行 SRED 認定 PC から見ると USB キーボードと同じ扱い ( ただの入力機械に過ぎない ) 1 カード番号入力後 Enter 4937-1234-5627-8901 2 有効期限 1222 3 有効期限入力後 Enter で PC に送信 <DvcMsg Ver^*1.1*><Dvc App^*SecureKey Software*AppVer^*1.0* DvcType^*M130-IDTECH* DvcSN^*50454619701* Entry^*MANUAL*></Dvc><CardCEncode^*2*ECData^* DE9A327CC293C874B522392B10F2A11B8A15D3CAA1FF 4CC5544A940516120838* CDataKSN^*6299490171000E800015* Exp^*1222* MskPAN^*4937((((((((8303*EFormat^*4*></Card><Ad dr></addr><tran TranType^*CREDIT*></Tran></DvcMsg> PSP 等が提供するデバイス ( レンタル ) カード番号と有効期限を入力すると このデバイス内で暗号化 液晶ディスプレイは途中から *** での表示になり マスキングされる カード番号は暗号化文字となり PC へ出力 同じカード番号でも毎回違う暗号となる 32
( 参考 ) その他 (1) IVR( 電話自動応答システム ) の活用 (2) アウトソーサーの活用 ( 業務の完全委託 ) 33
(1)IVR( 電話自動応答システム ) の活用 1 1 お客様への転送型 (TO のみ ) 等 6PSP 等へ送信 TO 加盟店 PCI DSS 準拠必須 34
(1)IVR( 電話自動応答システム ) の活用 2 2 自社電話操作型 (MO も対応可能 ) ( クレジットカード利用あり ) 等 2 クレジットカードの利用がある場合 オペレーターが電話機にて IVR へカード情報を登録 4PSP 等へ送信 MO TO 加盟店 IVR 決済会社 PCI DSS 準拠必須 35
(2) アウトソーサーの活用 ( 業務の完全委託 ) カード情報を含む注文の受付 処理は一切社内で実施しない カード情報を含む注文 問い合わせ カード情報を含む注文 問い合わせ 通販企業 電話は転送 郵送 /FAX スキャナで画像伝送すると通過 処理になることに注意! アウトソーサー PCI DSS 準拠 お互い独立したシステムでネットワーク的に繋がっていないこと! Down load 加盟店ではカード情報を一切取扱いしない データ納品 カード情報は含まない アウトソーサーでは カード情報を含む注文を受付 加工し加盟店に納品 PW 付メール等 36
IVR アウトソーサーの活用に関する課題 IVR の活用 (2 パターン共通 ) アウトソーサーの活用 ( 業務の完全委託 ) 電話対応であり オペレーターの人員確保が必要なこと 課題 PCI DSS 準拠が必要なことに加え 業務の完全委託に対応できる事業者が少ない可能性 37
アウトソーサーにおける非保持化 38
アウトソーサーにおける非保持化 MO TO 加盟店の販売代行業務 ( コールセンター データ入力センター等の業務 ) を行うアウトソーサーについては 当該 MO TO 加盟店の業務範囲において 非保持化 の対象となる 1. 事業者のシステムとネットワークを占有 支店型 MO TO 加盟店側で非保持化ソリューションを導入し 当該販売業務を代行するアウトソーサー側に当該ソリューションを設置 2. アウトソーサー側で全て処理する場合 完全委託型 MO TO 加盟店の販売業務を代行するアウトソーサー側において非保持化ソリューションを導入 ( 加盟店契約 : 委託元加盟店がアクワイアラー PSP と契約 ( アウトソーサーではない )) アウトソーサー側で 紙 紙媒体をスキャンした画像データ 音声データ においてカード情報を保存する場合には PCI DSS 準拠までは求めない ( MO TO 加盟店の販売代行業務範囲に限る ) 39
( 参考 )MO TO 加盟店とアウトソーサーの関係 本資料の アウトソーサー とは MO TO 加盟店の販売代行業務 ( コールセンター データ入力センター等の業務 ) を行う事業者のことを指す 殆どは MO TO 加盟店のシステムを利用 MO TO 加盟店 = アウトソーサー 40
支店型のイメージ 加盟店の機器 システムを使用する場合 ( アウトソーサー側では紙 紙媒体をスキャンした画像データ 通話データのみ保存 ) 41
完全委託型のイメージ アウトソーサー側のシステムで処理する ( アウトソーサ側では紙 紙媒体をスキャンした画像データ 通話データのみ保存 ) 42
注意点 : カード情報の画像データ等の伝送は行わないこと MO TO 加盟店 アウトソーサー FAX ハガキ等スキャン 非保持又は PCI DSS 準拠 完全委託型でシステムは自前 画像を元にデータエントリー 専用 NW 又はインターネット経由 入力結果 ( カード情報をコードに変換済 ) 加盟店が保有する機器 ネットワーク内の 保存 のみであり 処理 通過 はできない 本実行計画において 1 紙 ( クレジット取引伝票 カード番号を記した FAX 申込書 メモ等 ) 2 紙媒体をスキャンした画像データ 3 電話での通話 ( 通話データ含む ) においてカード情報を保存する場合には 保持 とはならない 注 1)1~3 以外において非保持化 ( 非保持と同等 / 相当含む ) が実現されていることが前提 43
その他注意すべき点 44
その他注意すべき点 1 お問合せフォーム 特に お問合せフォームやメールによる意図せぬ顧客からのカード情報提供は件数もたまり易く 結果漏えいにつながり易いので 速やかに削除するなどの対策を講じる等の注意が必要である 45
その他注意すべき点 2 通販業務と一般業務との物理的区分け 一台の PC で全てを処理 受注とその他は PC を分ける 受注システム 受注システム フルアクセス ERP システム ワークフロー 必要最低限 ERP システム ワークフロー 受注専用 PC 一般業務 PC こうした措置を講じておかないと システム側を非保持化してもカード情報漏えいにつながる可能性がある 46
非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月初版 一般社団法人日本クレジット協会編 本テキストは 2019 年 1 月時点の クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 に基づく内容となっています