コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン
発行機関:一般社団法人キャッシュレス推進協議会
発行年月日:2019年4月16日
https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2019/04/Fraud_Prevention_Guideline.pdf
概要
このガイドラインでの定義として、「コード決済」とは「バーコード又はQRコードを用いたキャッシュレス決済」の事をさしています。
このガイドラインではコード決済サービスに関して想定される不正について幅広く洗い出し、その上で特に、PayPayで発生したような、コード決済サービスにおいて外部から流出したクレジットカード情報が悪用されるリスクへの対策についての指針を示しています。
PayPayの事例
キャッシュレス決済のフローとセキュリティ対策
アカウント作成時
アカウント作成時における利用者からの情報収集
アカウント作成時には、利用者の情報を可能な限り収集することを示しています。収集した情報は本人を正しく認証するものではありませんが、実際に不正利用があった際等に役立てることができる可能性があるとしています。
コード決済事業者が保有する周辺情報の活用
収集できる情報として、アカウント作成時に利用者が入力する情報以外にも、使用しているデバイス情報等も活用できるとしています。
クレジットカード登録時
〇セキュリティコードによる認証(券面認証)
PayPayの事例でも問題視されていましたが、クレジットカード登録時にセキュリティコードによる認証を利用者に対して求める際に入力回数を制限することが必須としています。
〇クレジットカードに係る「本人認証」の活用
クレジットカード事業者が提供する本人認証手法として、3Dセキュアの採用を案内しています。
決済時
〇利用者の決済時における金額や利用回数等の上限設定
被害拡大のため、決済金額の上限や決済回数の制限を対策として案内しています。
決済後
行われた決済に対するモニタリングに関して解説しています。