クレジットカード情報非保持化とは?加盟店が実施すべき不正利用対策を徹底解説

2021/05/06

クレジットカード情報非保持化とは?加盟店が実施すべき不正利用対策を徹底解説

クレジットカード加盟店はカード情報非保持化またはPCI-DSS準拠が必要

2016年2月に、クレジット取引セキュリティ対策協議会が「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(以下「実行計画」)を発表しました。

この実行計画はインバウンド需要の高まりを想定し、世界最高水準のセキュリティを備えたクレジットカード決済環境を整備するために、行政、加盟店、カード会社・決済代行会社等の事業者それぞれの実施すべき対策をまとめたものです。

EC事業者(非対面加盟店)については2018年3月末まで、対面加盟店も2020年3月末までに必要な対策を実施することが求められていました。対応期限以降も割賦販売法及び実行計画の後継文書である「クレジットカード・セキュリティガイドライン」に基づき、加盟店はカード情報の適切な管理や不正利用対策を取るよう義務付けられています。

本コラムでは、クレジットカード・セキュリティガイドライン(旧:実行計画)の詳しい内容を分かりやすく解説した上で、全てのクレジットカード加盟店が講じるべき不正利用対策をご紹介します。


クレジットカード・セキュリティガイドライン(旧:実行計画)における対策の三本柱


下記対策のうち、EC事業者様での対応が必要な対策は「1.カード情報の漏えい対策」「3.ECにおける不正使用対策」になります。


1.カード情報の漏えい対策

加盟店におけるカード情報の非保持化*、またはカード情報取扱いの場合、国際セキュリティ規格「PCI-DSS」準拠

2.偽装カードによる不正利用対策

クレジットカード・決済端末の「100%IC化」の実現

3.ECにおける不正利用対策

多面的・重層的な不正利用対策の導入


クレジットカード情報の非保持化とは?

カード情報非保持化とは、事業者様のサーバでクレジットカード情報を「保管」、「処理」、「通過」しないことを指します。

実行計画で求められている「非保持化」は、文字通りカード情報を保管、処理、通過させないことに加えて、非保持化と同等あるいは相当する措置も対象です。例えば、POSや社内システムでカード情報を処理しても、カード情報を外部から特定できないように暗号化し、自社内でも複号できない仕組みであれば問題ないとされています。

なお、対面取引の場合や、MOTO(メールオーダーやテレフォンオーダー)を行っている場合、すでに非保持化を実現しているカード加盟店であれば、クレジット取引伝票、カード番号を記したFAX、申込書、メモなどの紙や、紙媒体をスキャンした画像データ、電話での通話(通話データを含む)によってカード情報を保存していても「保持」とは見なされません。

出典:
クレジット取引セキュリティ対策協議会『クレジットカード・セキュリティガイドライン 【1.0 版】 』
クレジット取引セキュリティ対策協議会『クレジットカード・セキュリティガイドライン FAQ


カード情報非保持化などの対策を取らないことに対する罰則はある?

クレジットカード・セキュリティガイドラインで示されたカード情報非保持化をはじめとする不正利用対策は、改正割賦販売法という法律によって義務付けられているものですが、罰則規定は特にありません。

しかし、セキュリティ対策が不十分な加盟店については、契約先のカード会社などから必要なセキュリティ対策措置を行うよう指導を受けることがあります。また、こういった指導を受けたにも関わらず改善が見られない場合は加盟店契約を解除される恐れもあります

カード加盟店である事業者様が適切な不正利用対策を講じないと、不正利用が発生するリスクが高まり、不利益を被る可能性が高くなるため注意が必要です。

出典:クレジット取引セキュリティ対策協議会『クレジットカード・セキュリティガイドライン FAQ


カード非保持化・不正利用対策についてEC事業者様で必要な対応


1.カード情報の漏えい対策

EC事業者のカード決済システムは、カード情報が事業者の機器やネットワークを通過する「通過型」と、通過しない「非通過型」のシステムに分けられます。

通過型は、非通過型に比べて不正アクセスやシステム改ざん、機器の脆弱性により情報漏えいのリスクが高く、過去に発生している漏えい事故は通過型を利用する事業者によるものが多くを占めていました。通過型を導入している事業者様はカード情報保持に該当するため、より安全性を高めるためにクレジットカード業界の国際的なセキュリティ基準である「PCI DSS」に準拠する必要があります。

しかし、PCI DSSに準拠するには、クレジットカード情報を安全に取り扱うための6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準を満たさなければならず、自社でPCI DSSに対応するには膨大なコストと工数が必要です。

そのため、多くのEC事業者は、PCI DSS準拠済みの決済代行会社が提供するカード情報の非通過型(「リダイレクト(リンク)型)」または「JavaScript型(トークン型)」)の決済システムを導入しています

クレジットカード決済の接続方式の整理
接続方式 カード情報 非通過型 通過型
リンク型 Javascript型
(トークン型)
モジュール型
接続概要 カード決済の際、事業者サイトURLより決済代行会社の決済画面URLに画面遷移 事業者のカード情報入力画面にJavaScriptAPIを組込み、カード情報は事業者サーバを経由せず伝送処理 事業者サーバをカード情報が通過し伝送処理
事業者様での
カード情報保持
しない しない できる
事業者様での
カード情報伝送・処理
しない しない する
事業者様の
PCI-DSS対応
不要 不要 必要
決済画面の自由度 低い 高い 高い

※PCI-DSSはリンク型、JavaScript型の場合でも認証を受けることが可能です。

EC事業者様の対応チャート

EC事業者様の対応についてチャート図にしました。ご自身のECサイトについてご確認ください。

EC事業者様の対応チャート

3.ECにおける不正利用対策


事業者様での不正利用被害状況の把握に加え、下記対策を基本とした複合的な対策実施が必要となります。

なお、不正利用リスクが高い商材(デジタルコンテンツ・家電・電子マネー・チケット・宿泊予約サービス)をメインとして扱う事業者は下記4つの対策のうち1つ以上、不正利用被害がすでに多発している事業者(不正利用金額が3か月連続50万円超)は同2つ以上の対策を講じるよう求められています。

具体的な4つの不正利用対策

  • 本人認証:
    ①3Dセキュア:消費者に特定のパスワードを入力させることで本人確認を行う。3Dセキュアを導入していればチャージバックが起こっても加盟店側が損失を負担するリスクを軽減できる。
    ②認証アシスト:取引時の情報とカード会社の登録情報を照合することで本人確認を行う。
  • 券面認証(セキュリティコード):券面の数字(3~4桁)を入力し、カードが真正であることを確認する。パスワードのように失念することがないためユーザーの負担が少ない。
  • 属性・行動分析(不正検知システム): 過去の取引情報等に基づくリスク評価によって不正取引を判定。自動的に不正取引を判定するため、事業者が逐一注文データをチェックする必要がない。
  • 配送先情報: 不正配送先情報の蓄積によって商品等の配送を事前に停止



あらゆるEC事業者様が不正利用対策を実施すべき理由

■クレジットカード不正利用被害の発生状況
カード不正利用被害の発生状況

国内のBtoC-ECの市場規模は、2019年時点で約19.3兆円にも達しました。総務省の「通信利用動向調査」によると、2019年におけるインターネットで購入する際の決済方法は、クレジットカード払いが79.7%と圧倒的なシェアを占めています。

一方、一般社団法人日本クレジット協会の調査によると、クレジットカードの不正利用被害額は増加傾向にあり、2020年は前年度より減少したものの、251億円となりました。最も被害額が大きかったのは番号盗用によるもので、具体的にはネットショッピングでのなりすまし利用などが頻発しています。クレジットカード情報の流出要因は、フィッシング詐欺やスキミング、架空ネットショップを利用した詐欺など複数のものがありますが、最近ではECサイトからの漏洩が増えているのが特徴です。

クレジットカードの不正利用が発生すると、カード会社が事業者に対して支払いの取り消しまたは返金を要求する、「チャージバック」という制度によって事業者様が損失を被る恐れがあります。そこで、ガイドラインで示されている対策の1つである本人認証(3Dセキュア)を導入していれば、チャージバックが起きても事業者様の損失の負担を防げる可能性があるのです。

現在の運用上のリスクやこれまでの被害の有無にかかわらず、複数のセキュリティ対策を組み合わせて導入することで、不正利用を未然に防止することが重要といえます。

出典:
一般社団法人日本クレジット協会『クレジットカード不正利用被害の集計結果について』
経済産業省『令和元年度内外一体の経済成長戦略構築にかかる国際経済調査事業(電子商取引に関する市場調査)』
総務省『令和2年版 情報通信白書|インターネットの利用状況』
消費者庁・経済産業省『インターネットショップでのクレジットカード番号の漏えい・不正利用に注意しましょう』


ベリトランスのクレジットカード決済システムは業界最高水準のセキュリティ

総合決済サービス「VeriTrans4G」は、クレジットカード情報の非保持・非通過に完全対応しており、EC事業に必要な決済手段を一括導入できるマルチ決済サービスです。クレジットカード決済の不正利用対策として、本人認証サービスの「3Dセキュア」と「セキュリティコード認証」を標準提供しています。

また、ベリトランスの不正検知サービスは、事業者の業種・商材や、不正利用の発生状況、予算などに応じて4種類から選択でき、不正被害やチャージバックのリスクを高い確率で抑止することも可能です。

オプションとして、配送先情報を利用した不正利用防止対策やカードの属性確認の仕組みもご用意しており、ベリトランスではクレジットカード・セキュリティガイドラインで提示されている全ての不正利用対策を高い水準で提供しています。

クレジットカード決済のセキュリティ対策を検討中の事業者様はぜひお気軽にお問い合わせください。

公開日 2016/04/26、最終更新日 2021/05/06

お気軽にお問い合わせ・ご相談ください
決済代行、越境EC、EC総合支援サービスの導入なら決済代行専業会社のDGフィナンシャルテクノロジー(旧:ベリトランス)へ。お急ぎの場合はお電話にてご連絡ください。

受付時間 平日10:00〜16:00 03-6367-1510

  • 資料請求
  • お問い合わせ
  • 試用プログラム

【ご案内】ベリトランスはDGフィナンシャルテクノロジー(DGFT)に社名変更しました。また、グループ会社イーコンテクストの決済事業も承継し、DGFTにて提供しております。