朝会発表テーマ

クレジットカードの非通過

■前置き

日本カード情報セキュリティ協会(JCDSC)

クレジットカード情報の保護を目的に設立。国内企業 30 社以上が参加。クレジットカード情報保護に向けた情報交換、セキュリティ国際基準の普及・啓蒙活動に取り組み、より安全なクレジットカード社会の実現を目指して活動。

2017 年のクレジットカード取扱高は約 58 兆円にものぼり、民間最終消費歳出(家計における消費財への支払い)の約 19%を占める。
今後もクレジットカードの取り扱いは増え、比例して、情報漏洩や不正利用による被害も拡大すると考えられる。

その対策として、2018 年 3 月 1 日、「実行計画 2018」を発表
各種セキュリティ対策が義務化され、怠ると法律違反になる

  1. 加盟店におけるセキュリティ対策の義務化
    1. クレジットカード情報の漏洩対策
      • ① クレジットカード情報の「非保持化」、②「PDI DSS 準拠」、のいずれかが必須
        • ① EC サイト上でクレジットカード情報を保持してはならない ★非通過はこちらに関係
        • ② カード業界のセキュリティ基準。最大 400 件の要求事項、初回認証まで半年~数年以上、数十万~一千万円以上の費用、等と非常に厳しい
        • 一般的には①の対策を実施。
    2. 偽造カードによる不正利用対策
      • カードの 100%IC 化、決済端末の 100%IC 対応
    3. 非対面取引における不正利用対策
      • 本人認証(3D セキュア)の利用、など4種類の対策 ★3D セキュアは別途
  2. クレジットカード番号などの取扱契約締結事業者の登録制導入
  3. 加盟店調査の義務化

■非通過とは?

セキュリティ対策の1つ。簡単に説明すると、EC サイト上でクレジットカード情報を保持しないようにする。

1)今までの方式(通過型)

1)今までの方式(通過型)

2)今後の方式(非通過型) ①トークン方式

2)今後の方式(非通過型) ①トークン方式

2)今後の方式(非通過型) ②リンク方式

EC サイトから外部サイト(カード代行業者のサイト)を開く。
開いたサイト上でクレジットカード情報を入力し、登録する。

■まとめ

非通過対応によってクレジットカード情報漏洩などの危険性は下がっているが
完全なセキュリティは存在しない。
いずれの対応でもクレジットカード情報が漏洩する危険性は残っているので、個人の意識が重要。

また、使用する EC サイトにも注意が必要。
中国系 EC サイト、特に Temu、SHEIN では、クレジットカードを不正利用されたという報告が相次いでいる。
海外企業であるため不正利用があったとしても日本の法律で取り締まれない。
取扱商品の品質にも不安があり、安いからといって絶対利用しないように。

コメント