2020年に向けてクレジットカードのセキュリティ対策強化〜クレジット取引セキュリティ対策協議会より〜

security

クレジット取引セキュリティ対策協議会は、JCBや三井住友カードなどクレジットカード事業者、ヤフーや楽天など加盟店、トレンドマイクロなどのセキュリティ事業者、VISAやMasterなどの国際ブランドが中心に、経済産業省管轄で発足した協議会です。
設立の目的は

2020 年オリンピック・パラリンピック東京大会の開催等を踏まえ、世界最高水準の
クレジット取引のセキュリティ環境を整備するため、カード会社のみならずクレジット取引に関係する事業者等からなる推進体制を構築して、セキュリティ対策の強化
に向けた取組の加速を図ることが目的です。

となっています。

2016年2月23日、このクレジット取引セキュリティ対策協議会から、クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画が発表されました。

国内で増加しつつあるクレジットカードの不正使用被害のうち6割が、漏えいしたカード情報のECでの不正使用だそうです。
card_security
このような不正使用を防ぐための対策として、以下の3点が実行計画とされています。

  1. カード情報の保護について
  2. カード情報の適切な保護の観点から、2020年までに、加盟店のカード情報を非保持化する取組を進めるとともに、保持する事業者等にはPCI-DSS(データセキュリティの国際規格)への準拠を進めます。

  3. カード偽造防止対策について
  4. 2020年までに、クレジットカード及び加盟店の決済端末の「IC対応化100%」を実現します。そのため、IC取引時のオペレーションルールの策定や、POSシステムにおけるIC対応の低コスト化等を進めます。

  5. ECにおける不正利用対策について
  6. ECにおけるなりすまし等の不正使用被害を最小化するため、2018年までに、EC加盟店において多面的・重層的な不正使用対策を導入します。

1.については、ECサイトなどが自社システム内にカード情報を保存しないよう推奨する、ということです。
IDとパスワードでログインすると、以前入力したクレジットカード番号が呼び出され、再入力の必要が無いECサイトが多いのですが、このような仕組みをなるべくやめさせる、ということのようです。
カード情報を保存する場合は、データセキュリティの国際基準である Payment Card Industry Data Security Standard (PCIDSS)に準拠することを推奨されています。
また、カード決済の情報を、ECシステムやPOSなど自社システムを経由させるのではなく、全てペイメント・サービス・プロバイダー(PSP)経由にする「非通過型」の促進についても述べられています。
例えばPayPalなどは、カード決済のやり取りはユーザーとPayPal間で行われ、ECサイトには「PayPalで決済が完了した」ことだけが伝えられる仕組みになっているので、EC事業者にはカード情報は残りません。
僕が個人的に運営しているECサイトでは、カード情報を保持するのはリスクなので、PayPal経由決済を導入し、ECシステム側にはカード情報を一切通さないようにしています。
こうしておけば、「お前のサイトを使った後にカードの不正使用された!お前のところから漏洩したんだろ!」と言われることもありませんからね。

2.は磁気情報型から、偽造カードを作ることが困難なIC型への移行を進める、というテーマ。
欧州ではほぼ100%の取引がIC型担っているが、日本ではまだ普及が遅れています。
IC型取引を増やすためには、クレジットカード自体のIC対応とともに、店舗などでの決済端末もIC対応にする必要があります。
POSや販売系基幹システムのリプレースなども関わってくるため、店舗側にとっては簡単に導入できないという理由もあるのでしょう。
このような課題に対応するため、今回の実行計画では決済専用端末のインターフェースやミドルウェアの共通化、POSハードウェアのIC対応促進などの方針が立てられています。
POSと決済端末を接続したクレジットカード決済通信のシステム開発って、かなり大変なんですよね。印刷すると厚さ10cmぐらいになる仕様書を読まなければならなかったり。
仕様が標準化されることにより、IC対応決済システム構築が簡単になれば、導入は進むのではないかと思います。

3.非対面な事、ユーザーのコンピュータのセキュリティの問題、情報漏えいしやすい事などにより、課題が多いEC。
3Dセキュアなどによる本人認証や、配送先の確認により、なりすましでの不正使用を防ぐ事が提言されています。
カード番号+有効期限だけで決済をおこなっているECサイトに改善を求める活動なども行っていくようです。
その他、ユーザーや加盟店に向けたクレジットカードのセキュリティに関する情報発信なども計画されています。

実行計画を読んで

ユーザーにとっても、販売店に取っても、クレジットカードの不正使用への対応は、とても手間がかかる、面倒な問題です。
不正使用の結果、犯罪組織の資金が潤う可能性もあります。
こういった課題に対応するため、クレジットカード不正使用の方法と原因を分析し、ソフト面、ハード面から対策を行っていく、非常に明確でわかりやすい実行計画になっていると思います。

実行計画本文詳細はこちら

使用した「クレジットカード不正使用被害額」グラフは、一般社団法人日本クレジット協会「クレジットカード不正使用被害額の発生状況」より。