家studyをつづって

IT技術に関することやセキュリティ、ガイドライン等学んだことをつづっていきます。

「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」の概要

コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン

発行機関:一般社団法人キャッシュレス推進協議会

発行年月日:2019年4月16日

https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/04/Fraud_Prevention_Guideline.pdf

 

概要

このガイドラインでの定義として、「コード決済」とは「バーコード又はQRコードを用いたキャッシュレス決済」の事をさしています。

このガイドラインではコード決済サービスに関して想定される不正について幅広く洗い出し、その上で特に、PayPayで発生したような、コード決済サービスにおいて外部から流出したクレジットカード情報が悪用されるリスクへの対策についての指針を示しています。

 

PayPayの事例 

www.itmedia.co.jp

 

キャッシュレス決済のフローとセキュリティ対策

f:id:iestudy:20190618205629p:plain

キャッシュレス決済のフローイメージ

 

アカウント作成時

アカウント作成時における利用者からの情報収集

アカウント作成時には、利用者の情報を可能な限り収集することを示しています。収集した情報は本人を正しく認証するものではありませんが、実際に不正利用があった際等に役立てることができる可能性があるとしています。

 

コード決済事業者が保有する周辺情報の活用

収集できる情報として、アカウント作成時に利用者が入力する情報以外にも、使用しているデバイス情報等も活用できるとしています。

 

クレジットカード登録時

〇セキュリティコードによる認証(券面認証)

PayPayの事例でも問題視されていましたが、クレジットカード登録時にセキュリティコードによる認証を利用者に対して求める際に入力回数を制限することが必須としています。

 

〇クレジットカードに係る「本人認証」の活用

クレジットカード事業者が提供する本人認証手法として、3Dセキュアの採用を案内しています。

 

決済時

〇利用者の決済時における金額や利用回数等の上限設定

被害拡大のため、決済金額の上限や決済回数の制限を対策として案内しています。

 

決済後

行われた決済に対するモニタリングに関して解説しています。