経済産業省 カード情報非保持化へ、通販サイトの安全性強化
経済産業省などによる「クレジット取引セキュリティ対策協議会」は2月23日、クレジットカード取引における、セキュリティーの強化に向けた実行計画を取りまとめた。これによると、ネット販売関連では、加盟店は通販サイトにカード情報を保持しないための取り組みを推進するほか、保持する事業者にはクレジットカードのセキュリティー基準である「PCI DSS」への準拠を求める。また、不正利用を防ぐために、加盟店は本人確認サービス「3Dセキュア」など、多面的・重層的な対策を導入する。
同協議会は経産省のほか、通販関連では楽天やヤフー、カタログハウス、三越伊勢丹ホールディングス、ヨドバシカメラなどが委員となっている。
まず、カード情報の保護については、加盟店のカード情報を非保持化する取り組みを進める。決済代行事業者(PSP)を利用するネット販売加盟店におけるカード決済システムは、カード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に分かれる。通過型は、加盟店のシステムにカード情報が保存されることがあるため、外部からの不正アクセスなどで情報を盗まれるリスクが高い。一方、非通過型はカード情報がPSPのサーバーを通過して処理されるため、加盟店からの情報漏えいが発生するリスクは低い。
そのため、新規のネット販売加盟店には非通過型の決済システム導入を推奨するほか、すでに通過型システムを使っている加盟店については、自社サイトにカード情報を含む決済情報等のログが蓄積されるなど、システム的な課題を認知できていないケースもあることから、カード会社やPSPが加盟店に注意喚起し、システムログ等の消去や非通過型システムへの移行を求める。その上で、カード情報を保持する場合はPCI DSSへの準拠を要求する。
実行計画では、通販サイトにおけるカード情報の非保持化や、保持する場合のPCI DSSへの準拠について、2018年3月末までに対応を求めている。該当する加盟店にとっては、セキュリティー対策に一定のコストが必要となる。
また、窃取したカード番号による「なりすまし購入」対策については、加盟店が多面的な対策を導入する。3Dセキュアなど本人認証に関しては「セキュリティー対策の一つであり、義務付けるものではない」(協議会事務局の日本クレジット協会)として、それ以外にもセキュリティーコードの入力、過去の取引情報などに基づいた属性・行動分析による不正取引の判定、犯罪組織などの配送先情報をデータベース化することによる商品配送の防止など、さまざまな対策を行う。
カード番号と有効期限を入力するだけで買い物ができる通販サイトはまだ多く残っており、加盟店契約業務会社(アクワイアラー)やPSPを通じて加盟店に対応を求める。「対策が事業者まかせになっていた部分もあるので、協議会において実行計画を推進するための進捗管理の体制を作る」(日本クレジット協会)。本人認証については、消費者がパスワードを失念した場合に購入機会を逸する恐れがあるほか、通販企業にとっては、そもそも支払いまでの工程が長引くため購入率が落ちる懸念がある。
現在、国際ブランドでは「3Dセキュア2・0」が検討されており、一律のパスワード入力ではなく、属性・行動分析からリスクが高いと判断された買い物にだけ入力が求められる形式になるという。実行計画でも、「2・0」が開始された際には、早期に導入できるよう検討を進めることが明記された。
加盟店における不正利用防止対策についても、18年3月末までに導入を求める。その際は、複数の対策導入が望ましいとする。「3Dセキュアを導入せず、犯罪組織などの配送先情報をデータベース化することで対策している事業者もあるが、さらなる対策を講じていただきたい」(同)という。
そのほかの注目記事FEATURED ARTICLE OTHER
同協議会は経産省のほか、通販関連では楽天やヤフー、カタログハウス、三越伊勢丹ホールディングス、ヨドバシカメラなどが委員となっている。
まず、カード情報の保護については、加盟店のカード情報を非保持化する取り組みを進める。決済代行事業者(PSP)を利用するネット販売加盟店におけるカード決済システムは、カード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に分かれる。通過型は、加盟店のシステムにカード情報が保存されることがあるため、外部からの不正アクセスなどで情報を盗まれるリスクが高い。一方、非通過型はカード情報がPSPのサーバーを通過して処理されるため、加盟店からの情報漏えいが発生するリスクは低い。
そのため、新規のネット販売加盟店には非通過型の決済システム導入を推奨するほか、すでに通過型システムを使っている加盟店については、自社サイトにカード情報を含む決済情報等のログが蓄積されるなど、システム的な課題を認知できていないケースもあることから、カード会社やPSPが加盟店に注意喚起し、システムログ等の消去や非通過型システムへの移行を求める。その上で、カード情報を保持する場合はPCI DSSへの準拠を要求する。
実行計画では、通販サイトにおけるカード情報の非保持化や、保持する場合のPCI DSSへの準拠について、2018年3月末までに対応を求めている。該当する加盟店にとっては、セキュリティー対策に一定のコストが必要となる。
また、窃取したカード番号による「なりすまし購入」対策については、加盟店が多面的な対策を導入する。3Dセキュアなど本人認証に関しては「セキュリティー対策の一つであり、義務付けるものではない」(協議会事務局の日本クレジット協会)として、それ以外にもセキュリティーコードの入力、過去の取引情報などに基づいた属性・行動分析による不正取引の判定、犯罪組織などの配送先情報をデータベース化することによる商品配送の防止など、さまざまな対策を行う。
カード番号と有効期限を入力するだけで買い物ができる通販サイトはまだ多く残っており、加盟店契約業務会社(アクワイアラー)やPSPを通じて加盟店に対応を求める。「対策が事業者まかせになっていた部分もあるので、協議会において実行計画を推進するための進捗管理の体制を作る」(日本クレジット協会)。本人認証については、消費者がパスワードを失念した場合に購入機会を逸する恐れがあるほか、通販企業にとっては、そもそも支払いまでの工程が長引くため購入率が落ちる懸念がある。
現在、国際ブランドでは「3Dセキュア2・0」が検討されており、一律のパスワード入力ではなく、属性・行動分析からリスクが高いと判断された買い物にだけ入力が求められる形式になるという。実行計画でも、「2・0」が開始された際には、早期に導入できるよう検討を進めることが明記された。
加盟店における不正利用防止対策についても、18年3月末までに導入を求める。その際は、複数の対策導入が望ましいとする。「3Dセキュアを導入せず、犯罪組織などの配送先情報をデータベース化することで対策している事業者もあるが、さらなる対策を講じていただきたい」(同)という。