GMO PAYMENTGATEWAY

クレジットカード・セキュリティガイドライン

クレジットカード・セキュリティガイドライン

2020年3月に、クレジット取引セキュリティ対策協議会(※1)から、「実行計画2019」の後継として「クレジットカード・セキュリティガイドライン」が発表されました。これは2017年3月8日に公表された「実行計画2017」、2018年3月1日に発表された「実行計画2018」、2019年3月4日に発表された「実行計画2019」が2020年3月末をもって実施期限を迎えたため、その後継としてセキュリティ取組方針を定めたものになります。内容としては実行計画を踏襲しており大きな変更はありません。また、2018年6月に施行済みの「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカード決済を利用する非対面加盟店(EC事業者やコールセンターでの受注時にカード決済を利用する通販事業者など)はクレジットカード情報の適切な管理と不正使用対策が義務付けられています。そのため、改正割賦販売法の実務指針である改正割賦販売法の実務指針である「クレジットカード・セキュリティガイドライン」への対応が必要になります。
(※1)クレジット取引に関わる幅広い事業者及び経済産業省が参画して2015年3月に設立

クレジットカード・セキュリティガイドラインについて

クレジット取引セキュリティ対策協議会が発表した、クレジットカード取引におけるセキュリティ対策の強化に向けた「クレジットカード・セキュリティガイドライン」の3本柱とは下記のとおりです。

1.カード情報の漏えい対策 2.偽造カードの不正使用対策 3.ECにおける不正使用対策
カード情報を盗らせない
※PCIDSSに準拠したPSP (※2)のサービスを利用した非通過型決済の利用が必要です。
偽造カードを使わせない ネットでなりすましをさせない
  • ・加盟店におけるカード情報の「非保持化」
  • ・カード情報を保持する事業者のPCIDSS(※3)準拠
  • ・クレジットカードの「100%IC化」の実現
  • ・決済端末の「100%IC対応」の実現
  • ・リスクに応じた多面的・重層的な不正使用対策の導入

通信販売を含めたEC事業者にかかる「クレジットカード・セキュリティガイドライン」における主な改訂事項

■クレジットカード情報保護対策

  • ・クレジットカード情報保護対策未対応先の推進加速
  • ・クレジットカード情報保護対策の維持・運用
  • ・カード情報保護対策の対象事業者の拡大
  • ・多様化・巧妙化する漏えい手口等への対応

■非対面における不正利用対策

  • ・加盟店へのリスクに応じたセキュリティ対策の浸透
  • ・不正利用対策の再検証等

■新たな決済サービス等における不正利用対策
■消費者啓発の実施

(ご参考)

・クレジットカード・セキュリティガイドライン
公表版 概要版
・クレジットカード取引等におけるセキュリティ対策の現状と2020年度以降の取組について
本編 概要版

EC事業者に求められる対応について

EC事業者(非対面決済)事業者は以下の2つの対応が必要となります。

1.カード情報漏えい対策(非保持化)について

ネットショップで既にカード決済を利用されているEC事業者

カード情報の通過型決済を利用している場合

非通過型決済への移行、またはPCIDSSへの準拠が強く求められます。
システムログ等にカード情報を含む決済情報の有無を確認し、有りの場合は至急消去することが強く求められます。

カード情報の非通過型決済を利用している場合

対応は不要です。

ネットショップを始めるまたはネットショップへ新たにカード決済を導入するEC事業者

カード情報の通過型決済の利用を予定している場合

非推奨となります。利用する場合はPCIDSSへの準拠が強く求められます。
また設定にてシステムログにカード情報を含む決済情報を残さないようにすることが強く求められます。

カード情報の非通過型決済の利用を予定している場合

推奨となります。

【非通過型決済】※推奨 【通過型決済】
非通過型決済
通過型決済
カード情報は加盟店様に送信されず、当社へ直接送信されます。
カード情報を通過もしくは保存する加盟店様はPCIDSSへの準拠が求められます。

当社が提供する非通過型について こちらをクリック

2.不正使用対策

下記の項目を複数導入し、不正使用防止効果を高めていくことが求められる。

本人認証(3Dセキュア・認証アシスト)
券面認証(セキュリティコード)
属性・行動分析
配送先情報
当社では非保持化に対応したサービスをご提供しております。
まずは専門スタッフへお気軽にご相談ください。