「クレジットカード・セキュリティガイドライン」(実行計画の後継文書)について
発行機関 :クレジット取引セキュリティ対策協議会(日本クレジット協会)
発行年月日:2020年3月
クレジット取引セキュリティ対策協議会とは
クレジット取引セキュリティ対策協議会とは、クレジットカード取引において「国際水準のセキュリティ環境」を整備することを目的として設立された団体です。
これまで、2016年2月から2019年3月にかけて「実行計画」を策定し、セキュリティ対策の推進を図ってきました。
実行計画
https://www.j-credit.or.jp/security/pdf/plan_2019.pdf
さらに上記「実行計画」の公開後もクレジットカード取引におけるセキュリティ向上のため、「クレジットカード・セキュリティガイドライン」を策定しました。
本記事では上記のガイドラインを対象にしています。
クレジットカード・セキュリティガイドラインとは
クレジットカード・セキュリティガイドラインは、「割賦販売法(後払分野)に基づく監督の基本方針」において割賦販売法で義務付けられているカード番号等の適切な管理及び不正利用防止措置の実務上の指針として位置付けられるものです。
このガイドラインでは、割賦販売法で規定される措置に該当する部分を【指針対策】と記載しています。
補足:「割賦販売」とは
割賦販売(かっぷはんばい)とは、売買代金の支払いを分割して支払うことを条件とした販売方式。 支払間隔に応じて週賦・旬賦・月賦・年賦などの方法がある。 消費者信用のうちの、販売信用の一つ。
クレジットカード情報の保護対策として
ガイドラインでは、加盟店における対策として以下を示しています。
(1)加盟店
■カード情報を保持しない「非保持化」(非保持と同等/相当を含む)又はカード情報を保持する場合はPCI DSSに準拠する。【指針対策】
補足:「加盟店」とは
加盟店は、クレジットカードにおいては、「マーチャント(Merchant)」とも呼ばれ、ホテルや旅館、百貨店、スーパー、コンビニ、量販店、商店、飲食店、病院、ガソリンスタンド、Webサイトなど、街中やインターネットでカードを使えるところをいいます。
非保持化について
クレジットカードの非保持化の方策として、ガイドラインでは以下の内容が示されています。
上記の内、リダイレクト型決済についてイメージを以下に示します。
リダイレクト型決済の場合、決済時は別のサイト(上図のPSP)で行います。
PSPはクレジットカード情報を取り扱うためにPCI DSSに準拠していますが、加盟店側はクレジットカードを持たない(非保持化)ため、特別なセキュリティの要求事項は発生しません。
ただし、クレジットカードを非保持化としている場合であっても、ECサイトの脆弱性を悪用され、決済画面へのリンクが攻撃者のフィッシングサイトに変更されることで、非保持としている加盟店のECサイトからクレジットカード情報が漏洩する事例が確認されています。
補足:PCI DSSの12要件について
安全なネットワークとシステムの構築・維持
- 要件1:カード会員データ保護のためのファイアウォールのインストールと構成の維持
- 要件2:システムパスワードおよびその他のセキュリティパラメータには ベンダ提供のデフォルト値を使用しない
カード会員データの保護
- 要件3:保存されるカード会員データの保護
- 要件4:カード会員データをオープンな公共ネットワーク経由で伝送する場合の暗号化
脆弱性管理プログラムの整備
- 要件5:すべてのシステムをマルウェアからの保護とウィルス対策ソフトウェアまたはプログラムの定期的な更新
- 要件6:安全性の高いシステムとアプリケーションを開発と保守
強固なアクセス制御手法の導入
- 要件7:業務上必要な範囲内にカード会員データへのアクセスを制限する
- 要件8:システムコンポーネントへのアクセスの確認と許可
- 要件9:カード会員データへの物理アクセスの制限
定期的なネットワークの監視及びテスト
- 要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスの追跡および監視
- 要件11:セキュリティシステムおよび管理手順の定期的なテスト
情報セキュリティーポリシーの維持
- 要件12: すべての担当者の情報セキュリティポリシーの整備維持