経済産業省は3月1日、クレジットカード取引におけるセキュリティ対策に向けた2019年の実行計画を公表した。通販での対策について、不正利用への対策を見直した。また、消費者に対して、導入しているセキュリティ対策について周知活動に取り組むことなどを求めた。

　実行計画はクレジット取引セキュリティ対策協議会がまとめたもの。改正割賦販売法で求められるセキュリティ対策の実務上の指針と位置づける。協議会は、加盟店メンバーとしてオルビスや楽天、ヤフーのほか、ヨドバシカメラなどが参加。団体事務局に日本通信販売協会が出席した。

　2019年の実行計画では、通販などの非対面取引における不正利用対策の内容を見直した。「属性・行動分析」の定義やメリットを再整理。対策の要件を「不正判定の条件設定を更新・変更する機能を有する」、「個々の取引を自動判定する」を定義した。加盟店でしか収集できないデバイス情報などを活用することが可能で、検知精度の向上が期待できるとした。

　券面認証(セキュリティコード)の多数回アクセスへの対策を追加。カード会社には、セキュリティコードの桁数が少ないことを悪用した連続アクセスを早期に検知して取引不成立とする対策を求めた。

　3Dセキュアの取り組み強化を盛り込み、パスワード入力を求める取引の減少に期待できる「リスクベース認証」の導入を推進。3Dセキュアは、本人認証が要求される取引すべてで実施されることが必要とした。

　消費者への周知活動として、通販サイトなど加盟店が導入するセキュリティ対策の理解を高める施策をとりまとめる。具体的には、自社通販サイトで、実行計画に取り組んでいることを表示することを挙げた。

　具体的な取り組みについては、カード情報の保護対策として、通販などの加盟店に関する非保持化研修や、漏えい事案の傾向や対策に関するセミナーを開催することとした。また、実行計画とPCI　DSS準拠との関係について理解を深めるほか、新たな課題に対して必要な検討を行うよう求めた。

　具体的な不正利用対策については通販会社などの加盟店に向けて、不正利用被害の実情を把握し対策を求めた。カード会社に向けては、リスクベース認証の導入や3Dセキュアに係るパスワードなどの登録率の向上、ワンタイムパスワードや生体認証などの新しい認証方法の導入など対策を行うこととした。

　近年、情報漏えい対策が不十分な加盟店を狙った不正アクセスや、なりすましによる不正利用被害が増加。17年は236億円で、5年間で3・5倍に伸長した。