セキュリティ対策

「改正割賦販売法」第35条の16第1項(クレジットカード番号等の適切な管理),第35条の17の15(クレジットカード番号等の不正利用の防止)のために必要な措置(クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-)に基づく取り組みについて以下に明示いたします。

はじめに

1-1.ネット取引の拡大とクレジットカード利用の増加

■ 近年、電子商取引(EC)の拡大に伴い、クレジットカードの取扱高は一貫して増加。

■ 2017年のクレジットカード取扱高は約58兆円で民間最終消費支出の約19%を占めます。


1-2.クレジット取引セキュリティ対策協議会

■ 2020年に向け、「国際水準のセキュリティ環境」を整備することを目指し、クレジット取引に関わる幅広い事業者及び行政が参画して設立(2015年3月)。

■ 協議会では、対策、期限、各主体の役割、当面の重点取組等をとりまとめた「実行計画」 (初版は2016年2月)を策定し、毎年度、実行計画の進捗を踏まえ、改訂を行っています。
(日本クレジット協会(事務局)を中心に、「実行計画」の推進体制を構築)。

■ 実行計画を推進することで、2020年3月末までに不正利用被害額の極小化を目指し、キャッシュレス社会の安全・安心なクレジットカード利用環境の実現を図ります。

 

基本的な考え方

2.クレジットカード取引における不正利用被害の実態等

■ 昨今、情報漏えい対策が不十分な加盟店等を狙った不正アクセスにより、カード情報の漏えい被害が拡大。

■ これに伴い、窃取したカード情報を使って、偽造カードや本人になりすました不正利用による被害は増加。(2017年236.4億円と5年間で約3.5倍)

■ 不正利用は国境を越えて行われ、換金性の高い商品の購入を通じて、犯罪組織に多額の資金が流出しているとの指摘あり。

■ 近年、番号盗用による不正利用被害額が増加傾向にあります。

3.セキュリティ対策の強化に向けた基本的な考え方

(1)「実行計画」の位置付け

改正割賦販売法
❶クレジットカード番号等の適切な管理
(改正法第35条の16第1項)
❷クレジットカード番号等の不正利用の防止
(改正法第35条の17の15)
のために必要な措置
必要な措置とは何か?

実行計画は実務上の指針

「実行計画」に掲げる措置又はそれと同等以上

(2)不正利用リスクに応じたセキュリティ対策の実施

■ 実行計画では、不正利用リスクに応じたセキュリティ対策を求めている。

■ 加盟店については、取引形態、取扱商材等によって不正利用リスクは異なるため、対策の実施にあたり留意すべきである。
◇国際ブランド付きのクレジットカード
 世界中で共通に使用できるため不正利用リスクが高い。
 ⇒実行計画では、国際ブランド付きのクレジットカードを対象としている。

◇国際ブランドが付いていないクレジットカード
 使用範囲が限定されるため国際ブランド付きのクレジットカードよりは不正利用リスクは低い。
 ⇒実行計画では、国際ブランドが付いていないクレジットカードは対象とはしていない。
 しかしながら、リスクに応じたカード情報保護対策及び不正利用対策が必要となる点に留意する。


(3)セキュリティ対策の検証と改善

■ セキュリティに係る方策は100%の安全性を担保するものではないという認識に立つ。
⇒ リスクに応じた多面的・重層的な対策を講じ、その実効性を不断に検証し必要な改善を図ることが求められる。


(4)加盟店に対する情報提供等

■ カード会社(アクワイアラー)・PSP、加盟店間の相互連携が重要。
⇒ 加盟店における対策の導入にあたり、契約関係にあるカード会社(アクワイアラー)やPSPは加盟店に対するサポートを行い、加盟店は契約関係にあるカード会社(アクワイアラー)等に対し必要な情報提供を求める。


(5)消費者に対する情報発信

■ 消費者自身のクレジットカードの不正利用に対する認知・意識の向上を図る。
⇒ 消費者に対する情報発信によってセキュリティ対策に係る理解・協力を得る。

 

分野別の具体的な実行計画

4.分野別の具体的な実行計画

■「実行計画」における対策の3本柱

A.クレジットカード情報保護対策◇カード情報を盗らせない
■加盟店におけるカード情報の「非保持化」

■カード情報を保持する事業者の PCI DSS準拠

改正割賦販売法の施行により、当サイト「Kanji Online Shop」においても、クレジットカード番号等の適切な管理や不正利用の防止といったセキュリティ対策が求められることとなっています。

B.クレジットカード偽造防止による不正利用対策◇偽造カードを使わせない
■ クレジットカードの「100%IC化」の実現
■決済端末の「100%IC対応」の実現
C.非対面取引におけるクレジットカードの不正利用対策◇なりすましをさせない
■ リスクに応じた多面的・重層的な不正利用対策の導入

 

A.クレジットカード情報保護対策

5-1.クレジットカード情報保護対策

現 状 ・ 課 題
• 改正割販法の施行により、カード会社のみならず、加盟店にもカード情報保護対策が義務化
• ECサイト改ざん・偽画面への誘導など、不正犯の巧妙化した新たな攻撃手口による被害発生

対 策
○ 加盟店はカード情報の非保持化(非保持と同等/相当を含む)又はPCI DSS準拠
 ☛ 非保持化: 自社で保有する機器・ネットワークにおいて、保存、処理、通過しないこと ☚


5-2.加盟店におけるカード情報保護対策

▢加盟店における対策(指針)一覧

(出典:「実行計画-概要-」クレジット取引セキュリティ対策協議会) 

5-3.非対面加盟店における非保持化・非保持と同等/相当

◆非保持化:非通過型(「リダイレクト(リンク)型」)の決済システムの導入

(出典:「実行計画-概要-」クレジット取引セキュリティ対策協議会) 

消費者及び事業者等への情報発信等について

6.消費者及び事業者等への情報発信

消費者向け周知活動 加盟店におけるセキュリティ対策の「見える化」への取組

■SSLサイトシール
サイトシールとは信用できる認証機関の認証を受けている証明となるものです。
ウェブサイト上にサイトシールを掲載、表示することで、安全なウェブサイトであることを示すものです。



■ ICクレジットカード対応済加盟店であることを示す共通シンボルマーク等掲出

■STOP. THINK. CONNECT.運動を応援しています。(出典:STOP. THINK. CONNECT.™ Webサイト)

2019年2月に発表した偽の通知を発端とするサイバー犯罪の急増について注意を促すポスターのデータです。

[PPTX 4.4MB]

2015年2月に東京メトロ全駅に掲出されたポスターのデータです。パネルやポスターなど大型の印刷に対応しています。

[PDF 650KB]

STOP.THINK.CONNECT.普及啓発キャンペーンの説明用のチラシデータです。プリンターで印刷し、配布などにご利用いただけます。

[PDF 500KB]

青少年の教育に利用頂けるツールです。授業、講義などにお使いいただくことを想定し制作したクイズ集です。

[PDF 4,944KB]

「ボット」と呼ばれる不正プログラムへの感染予防や対処についてまとめた文書です。

[PDF 294KB]

オンラインゲームを利用するお子さんに対して、利用時の注意点やリスクを減らすためのヒントについてまとめた文書です。ご両親向けの文書と一緒に活用ください。

[PDF 240KB]

オンラインゲームを利用するお子さんを持つ保護者に対して、利用時の注意点やリスクを減らすためのヒントについてまとめた文書です。お子さん向けの文書と一緒に活用ください。

[PDF 245KB]

SNSなどでLGBT(Lesbian, Gay, Bisexual, Transgender)のオンラインコミュニティに参加する場合の注意点やリスクについてまとめた文書です。

[PDF 238KB]

モバイル機器を安全に使用するためのヒントとアドバイスをまとめた文書です。

[PDF 247KB]

中高生向けに、SNSなどの利用時に自分や友人のプライバシーを保護するためのヒントやアドバイスについてまとめた文書です。

[PDF 1,114KB]

SNSなどの利用時に起きるコミュニケーショントラブルの予防やネットいじめなどに対応するヒントなどをまとめた文書です。

[PDF 947KB]

セキュリティ習慣の「STOP.THINK.CONNECT.」を楽しく学習するために開発されたカードゲームのデータです。カードデータとルールブックが含まれています。

[ZIP 21,188KB]

PDF形式のファイルをご覧いただく場合には、Adobe Readerが必要です。
Adobe Readerをお持ちでない方は、バナーのリンク先からダウンロードしてください。