インターネット上での取引時における 本人なりすま …2...
TRANSCRIPT
インターネット上での取引時における
本人なりすましによる
不正使用防止のための
ガイドライン
に関する運用手引き
昨今、インターネット加盟店のサーバーに対する不正
アクセスやフィッシングサイト等により、クレジットカード
番号が流出し、インターネット取引でそのクレジットカード
番号を用いた「本人なりすまし」による不正使用が増加
しております。
このような状況を受けて社団法人日本クレジット協会
(割賦販売等に係る取引を公正にし、クレジット取引に
携わる関係事業者の業務の適正な運営を確保し、もって
消費者の利益保護とその消費生活向上を実現し、クレ
ジット産業の健全な発展に資することを目的に設立した
団体)では平成24年3月26日インターネット取引における
「本人なりすまし」による不正使用を防止するため、『イン
ターネット上での取引時における本人なりすましによる不
正使用防止のためのガイドライン』(以下、本ガイドライン)
を制定いたしました。
つきましては、貴社においても本ガイドライン制定の趣旨
をご理解のうえ、「本人なりすまし」による不正使用防止策
を実施していただきますようご検討お願い申し上げます。
は じ め に
01
1 ガイドライン制定の経緯 03
2 「インターネット上での取引時における本人なりす
ましによる不正使用防止のためのガイドライン」に
ついて04
3
07
4
c o n t e n t s
ガイドラインに関するFAQ
◆ 代表的な不正使用防止対策について
1 3-Dセキュアとは
2 セキュリティコードとは
カード情報保護強化のお願い
◆ 主な情報漏洩事案
◆ 情報漏洩に伴うリスクについて
◆ 情報漏洩防止に関するお願い
1 PCIDSSについて
2 カード番号非保持について
11
03
04
07
11
02
1
社団法人日本クレジット協会では平成19年にインター
ネット取引における不正使用防止対策として売上高上位
100店に対し3-Dセキュア・セキュリティコード等の推進を
実施してきました。しかしながら未だに「クレジットカード
番号」「有効期限」のみで決済が完了するインターネット
加盟店が大半を占めており、不正使用被害も増加してお
ります。
このような状況の中、クレジットカード業界では、クレ
ジットカード決済におけるセキュリティ対策の強化を検討し、
「新規インターネット加盟店におけるクレジットカード
決済に係る本人認証導入による不正使用防止のための
ガイドライン」を平成23年3月より施行いたしました。
このガイドラインについてはカード会社と新たに加盟店
契約を締結する事業者が対象であり、既にカード会社と
加盟店契約を締結している加盟店については別途対応
方法を定めるものとなっておりました。
社団法人日本クレジット協会にて継続的に検討を行い
平成24年3月、全てのインターネット加盟店を対象とした
本ガイドラインの制定に至ったものです。
ガイドライン制定の経緯
03
2
平成24年3月26日付、社団法人日本クレジット協会にて
制定されたガイドラインは以下の通りとなります。
「インターネット上での取引時における
本人なりすましによる不正使用防止の
ためのガイドライン」について
1. 制定の趣旨
近年のインターネットの活用は、広く一般社会に
浸透し、クレジットカード決済による取引も広く行
われるようになっているが、一方、「本人なりすまし」
による不正使用犯罪が増加してきている。
そこで当協会は、インターネット取引時の「本人な
りすましによる不正使用防止策」の強化を図るこ
とにより、カード会員・加盟店をはじめ全ての関係
者に安全安心なカードの利用環境を提供し、イン
ターネット活用の更なる健全な発展に寄与する社
会的責任を負っていることを認識して、本ガイドラ
インを制定するものである。
2. 本ガイドラインの位置づけ
本ガイドラインはクレジットカード会社(以下「カード
会社」という)及び関係者が制定の趣旨に則り、
自発的に尊重し遵守することを求めるものである。
3. 本人なりすましによる不正使用防止策
インターネット上でのクレジットカード取引(*1)を行う
場合、以下の対応をとるものとする。
(1) カード会社の加盟店に対する対応
カード会社はクレジットカード番号、有効期限の
確認に加え、本人なりすましによる不正使用防
止策の実施を求める。なお、カード会社は本人
04
3. 本人なりすましによる不正使用防止策
インターネット上でのクレジットカード取引(*1)を行う
場合、以下の対応をとるものとする。
(1) カード会社の加盟店に対する対応
カード会社はクレジットカード番号、有効期限の
確認に加え、本人なりすましによる不正使用防
止策の実施を求める。なお、カード会社は本人
なりすましによる不正使用防止策として、3-D
セキュア(*2)を推奨する。
但し、カード会社は不正使用発生EC加盟店に対
しては、3-Dセキュアの導入を求めるものとする。
(2) カード会社の会員に対する対応
カード会社は、会員への3-Dセキュアのパスワー
ドの登録促進ならびに不知対策を推進するも
のとする。
4.周知・促進活動等の継続的な実施
当協会及びカード会社は、本件が円滑かつ有効に
実施できるよう、次の対応を継続的に行う。
(1) 周知活動
カード会員に対し、「インターネット上でのクレ
ジットカード決済には、3-Dセキュア等の本人な
りすましによる不正防止策が必要となること」
を継続的に周知する(*3)。
(2) 促進活動
①3-Dセキュア未対応国際ブランドおよびカー
ド会社には3-Dセキュア導入を求める。
②携帯電話における3-Dセキュア対応につい
ては導入のインフラ整備を推進する。
<補足説明>*1 「インターネット上でのクレジットカード取引」 いわゆるeコマースにおけるクレジットカード決済をオン
ライン(オーソリ)取引にて行う取引を指し、郵送・FAX・電話等オフラインにて取引される通信販売の取引は含まない。
*2 3-Dセキュア(2012年4月現在) 3-Dセキュアは以下国際ブランドが提供する本人認証
サービスを指す。 Visa : Verified by VISA JCB : J/Secure MasterCard : SecureCode
05
5. 安心安全なインターネット利用環境の
維持に向けて
①カード会社は、安全安心なインターネット利用環
境を維持するため、更に有効な本人なりすまし
による不正防止策の検討・導入及び移行を視
野に入れるものとする。
②当協会はその進捗に合わせ本ガイドラインも更
新していくものとする。
<補足説明>*3 周知する 会員会社は、ホームページ、カード会員向媒
体誌、eメールDM等で周知を図る。当協会は、ホームページ等で周知を図る。
6. 実施時期
本件は 、平成 24 年 7月1日より実施する。
<補足説明>平成22年12月19日に制定した「新規インターネット加盟店におけるクレジットカード決済にかかる本人認証導入による不正使用防止のためのガイドライン」は、本ガイドラインの実施と同時に失効するものとする。
06
3 ガイドラインに関するFAQ
このガイドラインの意図することは何か
未だ「クレジットカード番号」「有効期限」のみで決済
が完了するインターネット加盟店が存在し、不正使
用被害も増加している状況にあり、安心・安全なクレ
ジットカードの利用環境の提供が社会的に求められ
ています。
当クレジット業界としても、インターネット取引時の
「本人なりすましによる不正使用防止策」の強化を
図ることにより、カード会員・加盟店をはじめ、全ての
関係者に安全安心なカードの利用環境を提供し、
インターネット活用の更なる健全な発展に寄与する
社会的責任を負っております。
今回のガイドラインの制定で、“クレジットカード番号、
有効期限の確認だけの取引を容認しない”との考え
方を明確にし、クレジットカード番号、有効期限の確
認に加えて、何らかの本人なりすましによる不正使用
防止の仕組みを含んだ決済環境を、早期に構築する
ことを目指しています。
当初、新規加盟店向ガイドラインを設け、既存加盟
店向ガイドラインの制定、或いは新規加盟店向ガイ
ドラインを既存加盟店にも拡大させること等を模索
してきました。今回のガイドラインでは、“不正使用
による被害の削減”という実効性の観点から、不正
使用が起こっている、または狙われている加盟店の
状況を改善することに重きを置きました。
推進の考え方としては、全てのEC加盟店に対して何
らかの 「本人なりすましによる不正使用防止策 」を
求めていくとしております。
但し、「不正使用が発生している」という事実があった
場合は、当該加盟店が実施している「本人なりすま
しによる不正使用防止策 」の効果が少ない、或いは
十分な効果があがっていないと捉えるしかありません
ので、その際は、3-Dセキュアの導入を要請していくこ
とになります。
QAnswer
07
3-D セキュアを推奨する根拠は何か
①本人しか知りえないPWを用いた本人認証ができる
②加盟店にPWの情報が残らず加盟店からの流出
リスクがない
③主要な国際カードブランドが導入しており信頼性
が高い
といった点を総合的に判断し、現時点でクレジット
カード業界として、加盟店に求めるものとしては3-D
セキュアであるとして採用しています。
QAnswer
QAnswer
加盟店として求められる「不正使用防止策」とは
具体的に何を想定しているのか。具体的に推奨
をしているものはあるのか。ある場合は何か。
本人になりすまして不正使用を行おうとする不正行
為を防ぐことができる対応策ということになります。
カード会社としては3-Dセキュアを推奨します。
QAnswer
セキュリティコードによる認証を行っているが、
それは、本ガイドラインで定める「何らかの本人
なりすましによる不正使用防止策」に含まれる
と考えてよいか。
“クレジットカード番号、有効期限の確認だけの取引
を容認しない”との考え方を明確にしたうえで、全て
の加盟店に対してクレジットカード番号、有効期限に
加えて、「何らかの本人なりすましによる不正使用防
止策」の導入を求めており、3-Dセキュア以外の認証
方法を排除するものではありません。
ご質問いただいた不正使用防止策が、有効に機能し
ている限り“何らかの不正使用防止策”に含まれます。
08
会員への登録促進予定はどうなっているのか
本ガイドラインにおいて、カード会社はカード会員に
対して3-Dセキュアのパスワードの登録推進が求め
られておりますので、カード会社として積極的に推進
してまいります。更に、協会とカード会社は、インター
ネット上でのクレジットカード決済には3-Dセキュア
等の本人なりすましによる不正防止策が必要となる
ことを継続的に会員誌 、請求書、個社ホームページ
などを活用し周知します。
QAnswer
インターネット上でクレジット決済を行うため
に、Vi sa( Ver i f ied by VISA )、Maste r Card
( SecureCode)、JCB( J/Secure)が推奨してい
る本人認証のためのセキュリティシステムです。
( =本人認証システム)お客様がインターネット上
でお買い物等をされる際、クレジットカード番号
等の入力に加えて、お客様が事前にご契約のク
レジットカード会社のホームページ上で登録した
ID・パスワードを入力いただくことにより、本人認
証を行い「なりすまし」 等の不正取引を防ぐこと
ができます。
代表的な不正使用防止対策について
1 3-Dセキュアとは
09
ご署名 AUTHORIZED SIGNATUREセキュリティコード7890 123
セキュリティコード
1234
1234 567890 12345
セキュリティコードとは、クレジットカードの裏面ま
たは表面に記載された3桁もしくは4桁の番号
です。インターネットでクレジットカードをご利用
になる際、お客様のお手元にカードがあることを
確認します。
[Visa・MasterCard・JCB・Diners]
カードの裏面の署名欄に記載された末尾3桁の数字
[American Express]
カードの表面のクレジット
カード番号の右上に記載
された4桁の数字
2 セキュリティコードとは
3-D セキュアのしくみ
❶カード番号・
有効期限などを入力
❺認証結果を加盟店に通知❹パスワード等を送信
❸パスワード
入力画面の
表示
❷3-Dセキュアの
受信状況を
確認
お客様 カード会社3-Dセキュア導入加盟店
10
4 カード情報保護強化のお願い
近年、インターネット取引でのカード決済が急速に成長し、
カード取引量の増大や接続ネットワーク・システムの多様
化が進む一方、不正アクセスによりカード情報を含む
顧客情報の漏洩が多数発生しています。
2010年 2月 アウトドアグッズ販売 カード情報のみ漏洩 11,446件
発覚時期 事業者
2009年 7月 生命保険 約46万件 32,359件
2009年 8月 PC周辺機器販売 約6千件 5,620件
2009年 9月 生活用品等販売 約2万9千件 約52,000件
2010年 7月 ネットスーパー7社 カード情報のみ漏洩 12,191件
2010年 9月 観光バス 約17万件 53,330件
2010年12月 百貨店 約1万件 3,018件
2011年 4月 決済代行事業者 カード情報のみ漏洩 5,542件
2011年 5月 家具販売 16,798件 7,316件
2012年 6月 チケット販売 1,282,335件 511,851件
顧客全体
漏洩懸念件数
うちカード状況
主な情報漏洩事案
第三者の不正アクセス等による情報漏洩防止の観点から、
割賦販売法では消費者が安心してクレジットカードを
利用できるように、個人情報保護法でカバーされていない
部分(クレジットカード番号そのものなど)の保護のための
安全管理措置が求められております。情報漏洩が発生した
場合の主なリスクをお示しさせていただきます。
情報漏洩に伴うリスクについて
11
一例として下表のリスクの発生が想定されます。ご 参 考
不正アクセス
主な情報漏洩対応の流れ 主なリスク
カード決済利用停止 売上機会の損失
影響範囲・原因調査システム専門会社による
調査費用の発生
対外公表・お客様への通知信用の失墜・
お客様対応による人員増強等
再発防止対応 計画外のシステム補強
カード決済再開 損害賠償
12
情報漏洩を防止するため、常に最新のセキュリティ対策
を行っていただきますようお願い申し上げます。あわせて、
カード業界では主に以下の対策を推進しております。
情報漏洩防止に関するお願い
PCIDSSとは「Payment Card Industry Data Security
Standard」の略で、2004年12月に、American Express、
Discover、JCB、MasterCard、Visaが共同策定したカー
ド情報安全管理基準となります。当該基準に準拠い
ただきますようお願い申し上げます。
主にカード会員情報の保管/保護に関する技術要件・
業務要件の管理を定めたものになります。
PCIDSSは6つの目標、
12の要件に分かれております。
安全なネットワークの構築と維持
要件1: カード会員データを保護するためにファ
イアウォールをインストールして構成を維
持すること。
要件2: システムパスワードおよびその他のセキュ
リティパラメータに、ベンダー提供のデ
フォルト値を使用しないこと。
カード会員データの保護
要件3: 保存されるカード会員データの保護。
要件4: オープンな公共ネットワーク経由でカー
ド会員データを伝送する場合、暗号化
すること。
1 PCIDSSについて
13
脆弱性管理プログラムの整備
要件5: アンチウイルスソフトウェアを使用し、
定期的に更新すること。
要件6: 安全性の高いシステムとアプリケーショ
ンを開発し、保守すること。
強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務
上必要な範囲内に制限すること。
要件8: コンピュータにアクセスできる各ユーザ
に一意のIDを割り当てる。
要件9: カード会員データへの物理アクセスを制
限する。
ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員
データへのすべてのアクセスを追跡・
監視する。
要件11: セキュリティシステムおよびプロセスを
定期的にテストする。
情報セキュリティポリシーの整備
要件12:情報セキュリティポリシーを整備する。
カード番号、有効期限、カード名義、セキュリティコー
ド等については情報漏洩のリスクを軽減するため、
不要な情報は保持しないようにお願いいたします。
2 カード番号非保持について
14
12.10