実行計画2019

実行計画2019

2019年3月4日に、クレジット取引セキュリティ対策協議会(※1)から、クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画2019」が発表されました。これは2017年3月8日に公表された「実行計画2017」、2018年3月1日に発表された「実行計画2018」をベースに、2020年に向けてさらなる取組の推進を図るための改訂が行われています。また、2018年6月に施行済みの「割賦販売法の一部を改正する法律(改正割賦販売法)」では、クレジットカード決済を利用する非対面加盟店(EC事業者やコールセンターでの受注時にカード決済を利用する通販事業者など)はクレジットカード情報の適切な管理と不正使用対策が義務付けられています。そのため、改正割賦販売法の実務指針である実行計画への対応が必要になります。
(※1)クレジット取引に関わる幅広い事業者及び経済産業省が参画して2015年3月に設立

実行計画について

クレジット取引セキュリティ対策協議会が発表した、クレジットカード取引におけるセキュリティ対策の強化に向けた「実行計画」の3本柱とは下記のとおりです。

1.カード情報の漏えい対策 2.偽造カードの不正使用対策 3.ECにおける不正使用対策
カード情報を盗らせない
※PCIDSSに準拠したPSP (※2)のサービスを利用した非通過型決済の利用が必要です。		 偽造カードを使わせない ネットでなりすましをさせない
  • ・加盟店におけるカード情報の「非保持化」
  • ・カード情報を保持する事業者のPCIDSS(※3)準拠
  • ・クレジットカードの「100%IC化」の実現
  • ・決済端末の「100%IC対応」の実現
  • ・リスクに応じた多面的・重層的な不正使用対策の導入

通信販売を含めたEC事業者にかかる「実行計画2019」における主な改訂事項

(1)カード情報漏えい事案の動向を踏まえ、以下のセキュリティの重要性を強調。
・非保持化を実現した場合でも、継続してカード情報の保護に務めること。
・新たな脅威への対策が継続的に必要となること。
・関係事業者との連携を行い、セキュリティ対策を講じること。

(2)非対面におけるクレジットカードの不正利用対策について。
・リスクに応じた多面的・重層的な不正利用対策が必要です。不正利用対策における具体的方策は以下です。
本人認証(3Dセキュア等)/券面認証(セキュリティコード)/属性・行動分析/配送先情報。
・リスク・被害発生状況に応じた方策の導入。
全ての非対面加盟店、高リスク加盟店、不正顕在化加盟店とリスクや被害発生状況に応じた方策の導入が必要になります。

(3)EC加盟店のセキュリティ対策の「見える化」方策。
・EC加盟店等が、実行計画で求められるクレジットカードの情報保護対策及び不正利用対策を講じている場合には、自社ECサイトにおいて、実行計画に取組んでいることを表示(自己宣言)する。

(※2) Payment service providerの略で決済代行業者のこと
(※3) Payment Card Industry Data Security Standardの略。国際カードブランド5社が共同で策定したグローバルセキュリティ基準

(ご参考)

クレジットカード取引におけるセキュリティ対策の強化にむけて(実行計画-2019-の概要) こちらをクリック
「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-」こちらをクリック
経済産業省 こちらをクリック

EC事業者に求められる対応について

EC事業者(非対面決済)事業者は以下の2つの対応が必要となります。

1.カード情報漏えい対策(非保持化)について

ネットショップで既にカード決済を利用されているEC事業者

カード情報の通過型決済を利用している場合

非通過型決済への移行、またはPCIDSSへの準拠が強く求められます。
システムログ等にカード情報を含む決済情報の有無を確認し、有りの場合は至急消去することが強く求められます。

カード情報の非通過型決済を利用している場合

対応は不要です。

ネットショップを始めるまたはネットショップへ新たにカード決済を導入するEC事業者

カード情報の通過型決済の利用を予定している場合

非推奨となります。利用する場合はPCIDSSへの準拠が強く求められます。
また設定にてシステムログにカード情報を含む決済情報を残さないようにすることが強く求められます。

カード情報の非通過型決済の利用を予定している場合

推奨となります。

【非通過型決済】※推奨 【通過型決済】
非通過型決済
通過型決済
カード情報は加盟店様に送信されず、当社へ直接送信されます。
カード情報を通過もしくは保存する加盟店様はPCIDSSへの準拠が求められます。

当社が提供する非通過型について こちらをクリック

2.不正使用対策

下記の項目を複数導入し、不正使用防止効果を高めていくことが求められる。

本人認証(3Dセキュア・認証アシスト)
券面認証(セキュリティコード)
属性・行動分析
配送先情報
当社では非保持化に対応したサービスをご提供しております。
まずは専門スタッフへお気軽にご相談ください。

当サービスは導入ECサイトが法人運営の場合が対象となります。
導入ECサイトが個人運営の場合はコチラをご確認ください。