なぜ必要?

近年、ECサイトなどオンラインでのカード情報漏えいによる
不正使用被害が急増しています。

不正使用被害を抑止するために、クレジットカード取引に関するルールを定めた
「割賦販売法」が改正(2016年12月公布)され、
カード加盟店に以下の2点が義務付けられました。

「割賦販売法」で定められたクレジットカード加盟店の義務

  • クレジットカード情報の適切な管理⇒ 非保持化
  • 不正使用対策の実施

対応期限は?

EC事業者様をはじめとした非対面加盟店は、2018年3月末までの対応が必要です。

  • ※リアル店舗などの対面加盟店は2020年3月末までの対応となります。

対応しなかった場合のペナルティはある?

現在は、加盟店様に対する罰金等、直接的な罰則処置は定められておりません。

ただし、行政の立入検査やクレジットカード会社・決済代行会社による是正指導の結果、
改善されない場合、加盟店契約が解除される可能性
があります。

具体的にはどんな対応をすればよい?

「クレジットカード情報の非保持化」
「不正使用対策」を実施する必要があります。

「クレジットカード情報の非保持化」対応

「クレジットカード情報の非保持化」とは、クレジットカード情報を
サーバやネットワークなど加盟店様の環境にて
「通過」させない、「保存」しない、「処理」しないことを指します。

「非保持化」ソリューション1トークン型決済(Javascript型決済)

クレジットカード情報を暗号化された文字列(トークン)に置き換え決済が完了する、
JavaScriptを使用した非通過型決済サービスです。

カード情報は購入者のブラウザから直接決済代行会社に送信され、加盟店様とのカード決済処理はトークンを
もとに実施されるため、カード情報が加盟店様サーバを通過することなくセキュアに決済が可能です。

「非保持化」ソリューション2リンク型決済

消費者が、決済代行会社が提供する決済画面に切り替わりカード情報を入力する決済サービスです。
決済画面へのリンク設定で導入できるため、比較的スピーディーかつコストをかけず対応可能です。

[ご注意ください]
モジュール型採用の加盟店様

モジュール型とは?

モジュール型は、加盟店様サイトにてクレジットカード情報を一旦受け取ったのちに決済代行会社へ送信します。

加盟店様サーバでカード情報を保持していなくても、意図せず、ログ等においてカード情報を保持してしまっているケースや、決済代行会社へ送信する過程でカード情報がサーバを通過し、不正アクセスにより盗み取られるケースが多発しています。

実行計画における
モジュール型の扱い

そのため実行計画では、直接カード情報を取り扱うこととなるモジュール型採用の加盟店様に、国際セキュリティ基準「PCI-DSS」への準拠を定めていますが、当社では非保持化ソリューションへの切り替えをおすすめしています。

「PCI-DSS」はVISAやJCBなどクレジットカードの国際ブランドが共同策定したカード情報保護のためのセキュリティ基準で、認証を受けるためには約400もの要求事項に対応する必要があります。準拠後も継続的に維持しなければならず、内部コストを含めると、数千万円規模/年が必要とも言われています。

不正使用対策

カード番号、有効期限のみの認証ではなく、
複数の不正使用対策を組み合わせた対策が求められています。

代表的な不正使用対策

本人認証
(3Dセキュア)
カード保有者がカード発行会社に事前登録したインターネット取引専用パスワードを使うことでカード所有者であることを確認し、第三者によるカードの不正使用を防止します。
券面認証
(セキュリティコード)
カード券面に記載の3~4桁の数字をウェブ上で入力することで、不正使用を防止します。
属性・行動分析 過去の取引情報等に基づいたリスク評価によって不正取引を判定します。
デバイス情報や通信情報など各種情報を組み合わせることで不正検知の精度も向上できます。
決済代行会社やベンダーが提供する不正検知サービスを導入することも有効です。
配送先情報 過去の不正配送先を蓄積することで不正取引の判断材料に活用します。
属性・行動分析と組み合わせて精度を上げることも可能です。
過去の不正配送先情報を提供するサービスもあり、これらの活用も有効。

実行計画のスケジュール

加盟店様に対応いただく2018年3月末の実行計画対応期限のほか、
主要なトピックスの日程を掲載しています。


スケジュールに合わせて、当社より事業者様へ各種ご案内をお送りいたしますので、
ご確認、または随時ご対応をお願いいたします。

  • ※本スケジュールは2017年9月時点で予定されている日程をまとめています。変更される可能性があることはあらかじめご了承ください。

実行計画の対応に関するお問い合わせ

実行計画の対応について、質問や不明点などありましたらお気軽にお問い合わせください。

実行計画のカード情報非保持化
不正使用対策に対応する場合

ベリトランス株式会社
決済事業部 加盟店営業部

03-6367-1510

平日9:00~18:00(土日祝日除く)

株式会社イーコンテクスト
econtext事業部

03-6367-1100

平日9:00~18:00(土日祝日除く)

ベリトランス・イーコンテクストとご契約の加盟店様で
自社での対応状況が不明な場合

事業者様のシステムご担当者、またはECパッケージベンダー・開発会社に対応状況についてご確認いただくか、
ベリトランス、イーコンテクストのテクニカルサポートチーム・システム部にお問い合わせください。

ベリトランス株式会社
テクニカルサポートチーム

株式会社イーコンテクスト
システム部運用グループ

参考情報

Copyright© 2017 ECONTEXT, INC. a Digital Garage company. All rights Reserved.