ECサイトのカード情報は原則非保持へ、保有する場合はPCIDSSへの準拠を推進
この記事は、姉妹サイトネットショップ担当者フォーラムで公開された記事をWeb担当者Forumに転載したものです。
経済産業省は2018年3月までに、クレジットカード決済を利用するECサイトの加盟店などに対し、カード情報の非保持化といった取り組みの推進を盛り込んだ安全対策を強化する。
経産省のほか、日本通信販売協会など業界3団体、国際ブランド、大手カード会社、楽天、ヤフー、通販大手などが協議している「クレジット取引セキュリティ対策協議会」が、2月23日に安全対策の実行計画をまとめた。
ECサイトの加盟店に求めるものは主に次の通り。
カード情報保護の強化に向けた実行計画
- EC加盟店については原則、カード情報は非保持化を推進
- 保持する場合はPCIDSS(カード業界が策定したカード情報保有のためのセキュリティ基準)への準拠を推進
- カード会社(イシュアー・アクワイアラー)、決済代行会社(Payment Service Provider、以下PSP)はPCIDSSへの準拠を求める
経産省がまとめた資料によると、多くのECサイトが採用しているPSPのカード決済システムでは、カード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に大別される。
「通過型」と呼ぶ方式では、カード情報がEC加盟店のサーバーを「通過」して「処理」されるため、EC加盟店のシステムにカード情報を「保存」するケースがある。昨今被害が増加している「SQLインジェクション攻撃」といった不正アクセスなどで、サーバー内に保存したカード情報が悪意の第三者の標的になる被害が増えている。
経産省はEC加盟店からのカード情報漏えいが発生するリスクが低い「非通過型」を推進。PCIDSS準拠済みのPSPを活用したカード情報のリンク型決済、モジュール型の決済システムの導入を促進する。
ECサイトでのカード不正使用対策の強化に向けた実行計画
- ECの加盟店は、カード会社やPSPと協力し、3Dセキュアなどの本人認証、行動分析、配送先情報などを通じて不正対策を講じる
- 不正対策を講じていない加盟店は、カード会社やPSPの関係事業者と強力しながら、不正使用対策を導入
- カード会社(アクワイアラー)やPSPは3Dセキュアの仕様や運用に関する情報を加盟店と共有することに努める
経産省は、ECにおけるなりすましなどの不正使用被害を最小化するため、2018年までに、EC加盟店において多面的・重層的な不正使用対策を導入すると説明。
- 本人認証(3Dセキュアなど)
- 券面認証(セキュリティコード)
- 属性・行動分析(スコアリングを行い不正取引あるかを判定するサービス)
- 配送先情報(犯罪組織など配送先情報を蓄積したデータベースの活用)
- その他(カード利用時におけるeメールなどによる消費者への利用通知といった施策)
オリジナル記事はこちら:ECサイトのカード情報は原則非保持へ、保有する場合はPCIDSSへの準拠を推進(2016/02/24)
ネットショップ担当者フォーラムでは、ECサイトを運営する企業の経営者や運営担当者、制作者が語り合う場所や、“ここに行けば情報がある”、“ここに行けば問題が解決できる”を目指したメディア運営をしています。
- ネットショップ担当者フォーラムのサイトはこちら
ソーシャルもやってます!