「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」における
 ECサイト実施対策

~カード情報非保持化・不正使用対策~

2016/04/26

2018年3月末までに、EC事業者でのカード情報非保持化、またはPCIDSS準拠が必要に

今年2月に、クレジット取引セキュリティ対策協議会が、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。

この実行計画は、2020年に向けたインバウンド需要の高まりを想定し、世界最高水準のセキュリティを備えたクレジットカード決済環境を整備するために、行政、加盟店、カード会社・決済代行会社等の事業者での実施すべき対策をまとめたものです。

本コラムでは、EC事業者が、2018年3月末までの対応期限に実施すべき対策をまとめました。

「実行計画」における対策の3本柱

下記対策のうち、EC事業者様での対応が必要な対策は「1.カード情報の漏えい対策」「3.ECにおける不正使用対策」になります。

1.カード情報の漏えい対策

加盟店におけるカード情報の非保持化*、またはカード情報取扱いの場合、国際セキュリティ規格「PCI-DSS」準拠

2.偽装カードによる不正使用対策

クレジットカード・決済端末の「100%IC化」の実現

3.ECにおける不正使用対策

多面的・重層的な不正使用対策の導入

*カード情報非保持とは、事業者様のサーバでのカード情報の「保管」「処理」「通過」をしないことを指します。

EC事業者様での必要な対応

1.カード情報の漏えい対策

クレジットカード決済の接続方式の整理




接続方式 カード情報 非通過型 通過型
リンク型 Javascript型 モジュール型
接続概要 カード決済の際、事業者サイトURLより決済代行会社の決済画面URLに画面遷移 事業者のカード情報入力画面にJavaScriptAPIを組込み、カード情報は事業者サーバを経由せず伝送処理 事業者サーバをカード情報が通過し伝送処理
事業者様での
カード情報保持
しない しない できる
事業者様での
カード情報伝送・処理
しない しない する
事業者様の
PCI-DSS対応
不要 不要 必要
決済画面の自由度 低い 高い 高い

※PCI-DSSはリンク型、JavaScript型の場合でも認証を受けることが可能です。

EC事業者様の対応チャート

EC事業者様の対応についてチャート図にしました。ご自身のECサイトについてご確認ください。

EC事業者様の対応チャート

3.ECにおける不正使用対策

事業者様での不正使用被害状況の把握に加え、下記対策を基本とした複合的な対策実施が必要となります。

具体的な不正使用対策

  • 本人認証(3Dセキュア): 消費者に特定のパスワードを入力させることで本人を確認
  • セキュリティコード: 券面の数字(3~4桁)を入力し、カードが真正であることを確認
  • 属性・行動分析: 過去の取引情報等に基づくリスク評価によって不正取引を判定
  • 配送先情報: 不正配送先情報の蓄積によって商品等の配送を事前に停止

ベリトランスまでお気軽にお問い合わせください!

ベリトランスでは、事業者様のカード情報非保持化対応、不正使用対策のための各種ソリューションを取り揃えています。
ぜひお気軽にお問い合わせください。

お気軽にお問い合わせ・ご相談ください

03-6367-1510 平日9:00~18:00(土日祝年末年始除く)

  • 資料請求
  • お問い合わせ
  • 無料体験版