クレジットカード決済のセキュリティ対策

クレジットカードにおけるセキュリティ対策の強化に向けた実行計画について

クレジット取引の不正使用被害の増加にともなって、経済産業省より「クレジットカードにおけるセキュリティ対策の強化に向けた実行計画」が2016年2月に発表されました。

「クレジット取引セキュリティ対策協議会(日本クレジット協会)」においても、国際水準のクレジットカード取引のセキュリティ環境を整備するため、2020年に向けた具体的な目標・各主体の役割等を取りまとめた「実行計画」が発表されました。

参考資料

実行計画における不正利用対策の3本柱

1.カード情報の漏えい対策 2.偽造カードによる不正使用対策 3.ECにおける不正使用対策

【クレジットカード情報の非保持化】

加盟店におけるカード情報非保持化の実現

【セキュリティ国際規格準拠】

カード情報を保持する事業者のPCIDSS準拠

【100%IC化】偽造カードを使わせない対策

クレジットカードについて「100%IC化」の実現させることと、決済端末における「100% IC対応」を実現させる。

【本人認証の徹底】ネットでなりすましをさせない対策

多面的・重層的な不正使用対策の導入

対象:非対面決済
2018年3月までに対応

対象:対面決済
2020年3月までに対応

対象:非対面決済
2018年3月までに対応

上記の対策の3本柱のうちEC事業者に求められる対策として、
「1.カード情報の漏えい対策」「3.ECにおける不正使用対策」
への対応が必要となります。

1.カード情報の漏えい対策 :「カード情報を盗らせない」対策

カード情報の漏えい対策として、EC事業者には、カード情報を「決済処理」するために「保存」することを認めないのはもちろんのこと、
カード情報そのものを「通過」させない仕組みづくりが必要とされており、「カード情報の非保持化」が求められています。

エフレジでは「カード情報の非保持化」を実現するソリューションとして、「トークン決済」もしくは「リダイレクト決済」を提供しており、これらを導入していただくことで「カード情報の非保持化」を実現することができます。

  カード情報非保持・非通過型 カード情報保持・通過型

トークン決済
(JavaScript)

リダイレクト決済
(Saas型)

API接続
(CGI)

カード入力画面 ECサイト上に設置 エフレジが提供 ECサイト上に設置
概要 ECサイトを介さない環境で、
クレジットカード情報をエフレジに送信し、トークンに置き換えて決済処理を行ないます。
ECサイトからエフレジが提供する
決済画面へリダイレクトし、
カード情報を入力のうえ決済
処理を行います。
ECサイトからエフレジ決済処理用 APIへカード情報を送信し、
決済処理を行います。
ECサイトでの
カード情報の
取り扱い
決済処理 しない しない する
保存 しない しない 可能
通過 しない しない する
エフレジの推奨 推奨 推奨 非推奨

3.ECサイトにおける不正利用対策: 「ネットでなりすましをさせない」対策

不正取得されたクレジットカードの利用を水際で防ぐために、カード会社から提供されている「3Dセキュア本人認証」「セキュリティコード」といった不正利用対策を標準でご利用いただける環境を提供すること、そして、万が一利用された場合にも、様々な情報を可能な限り可視化し、危険性のある取引を総合的に判断することで被害を未然に防ぐ、そのためにエフレジでは以下のような対策を行っています。

本人認証 商品発送先の確認 商品購入地点の確認 利用カードの確認
3Dセキュアとセキュリティコードによる本人認証で、第三者利用の抑止効果が期待できます。 商品配送先住所・電話番号・メールアドレスとった、過去の不正に利用された情報をご提供します。 配送先住所と総合的な判断をするために、IPアドレスから、購入が行なわれた住所情報をご提供します。 情報漏えいエリアからの取引監視のために、購入者のクレジットカード情報から、カード発行地域情報をご提供します。

不正利用対策について