クレジットカードの管理に新しい方針。原則カード情報は、非保持へ。

クレジットカード情報を保持することによるセキュリティリスクが高まっています。とくに中小企業も多いECサイトではその課題がメリットとデメリットのハザマで悩むことが多くなっています。

そのような中経済産業省から、クレジットカード情報は非保持化するような指針が発表されたようです。

ECサイトのカード情報は原則非保持へ、保有する場合はPCIDSSへの準拠を推進

経済産業省2018年3月までに、カードのEC加盟店などに対し、非保持化などを推進する安全対策を強化する

2月24日

経済産業省は2018年3月までに、クレジットカード決済を利用するECサイトの加盟店などに対し、カード情報の非保持化といった取り組みの推進を盛り込んだ安全対策を強化する。

経産省のほか、日本通信販売協会など業界3団体、国際ブランド、大手カード会社、楽天、ヤフー、通販大手などが協議している「クレジット取引セキュリティ対策協議会」が、2月23日に安全対策の実行計画をまとめた。

ECサイトの加盟店に求めるものは主に次の通り。

カード情報保護の強化に向けた実行計画

EC加盟店については原則、カード情報は非保持化を推進
保持する場合はPCIDSS（カード業界が策定したカード情報保有のためのセキュリティ基準）への準拠を推進
カード会社（イシュアー・アクワイアラー）、決済代行会社（Payment Service Provider、以下PSP）はPCIDSSへの準拠を求める

経産省がまとめた資料によると、多くのECサイトが採用しているPSPのカード決済システムでは、カード情報が加盟店のサーバーを通過する「通過型」と、通過しない「非通過型」に大別される。

「通過型」と呼ぶ方式では、カード情報がEC加盟店のサーバーを「通過」して「処理」されるため、EC加盟店のシステムにカード情報を「保存」するケースがある。昨今被害が増加している「SQLインジェクション攻撃」といった不正アクセスなどで、サーバー内に保存したカード情報が悪意の第三者の標的になる被害が増えている。

経産省はEC加盟店からのカード情報漏えいが発生するリスクが低い「非通過型」を推進。PCIDSS準拠済みのPSPを活用したカード情報のリンク型決済、モジュール型の決済システムの導入を促進する。

決済代行を利用したカード決済の仕組み（出典は経産省資料）

ECサイトでのカード不正使用対策の強化に向けた実行計画

ECの加盟店は、カード会社やPSPと協力し、3Dセキュアなどの本人認証、行動分析、配送先情報などを通じて不正対策を講じる
不正対策を講じていない加盟店は、カード会社やPSPの関係事業者と強力しながら、不正使用対策を導入
カード会社（アクワイアラー）やPSPは3Dセキュアの仕様や運用に関する情報を加盟店と共有することに努める

経産省は、ECにおけるなりすましなどの不正使用被害を最小化するため、2018年までに、EC加盟店において多面的・重層的な不正使用対策を導入すると説明。

本人認証（3Dセキュアなど）
券面認証（セキュリティコード）
属性・行動分析（スコアリングを行い不正取引あるかを判定するサービス）
配送先情報（犯罪組織など配送先情報を蓄積したデータベースの活用）
その他（カード利用時におけるeメールなどによる消費者への利用通知といった施策）