2020年オリンピック・パラリンピック東京大会の開催等を踏まえ、国際水準のクレジット取引のセキュリティ環境を整備するため、クレジット取引セキュリティ対策協議会(※1)から2016年2月に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が発表されました。本実行計画における対策の三本柱は以下となります。

1.カード情報の漏洩対策

カード情報を盗らせない

  • 加盟店におけるカード情報の「非保持(※2)化」
  • カード情報を保持する事業者のPCI DSS準拠
2.偽造カードによる不正使用対策

偽造カードを使わせない

  • クレジットカードの「100%IC化」の実現
  • 決済端末の「100%IC対応」の実現
3.ECにおける不正使用対策

ネットでなりすましをさせない

  • 多面的・重層的な不正使用対策の導入

このうち、EC事業者様に求められている対策は「1.カード情報の漏洩対策」と「3.ECにおける不正使用対策」であり、2018年3月末日までに対応を完了させる必要があります。

  • ※1

    クレジットカード各社をはじめ、決済代行事業者や加盟店、ネットワーク事業者、POSメーカーなど幅広い事業者と経済産業省で構成された協議会で、2015年3月に発足しました。2020年のオリンピック・パラリンピック東京大会開催に向け、キャッシュレス決済を促進するために、世界最高水準のセキュリティ環境を整備することを目的としています。

  • ※2

    非保持とは、事業者様のサーバにおいてカード情報を「保存」、「処理」、「通過」しないことをいいます。

【参考資料】

EC事業者様において必要な対応

カード情報の漏洩対策

対応事項確認用フローチャート

EC事業者様の運営状況により、対応すべき事項が異なります。以下のフローチャートにてご確認ください。

実行計画に基づくEC事業者向け対応事項確認用フローチャート

接続方式による違い

  カード情報 非通過型 カード情報 通過型
事業者様とゼウス間の接続方式 リンク(画面遷移)型
メールリンク型
電話登録(CTI決済)型
トークン(JavaScript)型 データ伝送(API)型
接続概要 決済画面 ゼウスにて提供
※電話登録(CTI決済)型は除く
事業者様にて組み込み 事業者様にて組み込み
決済フロー カード決済の際、事業者様サイトからゼウスの決済画面または音声応答システムに遷移 事業者様のカード情報入力画面にゼウスが提供するJavaScriptプログラムを組み込み、カード情報は事業者様サーバを経由せずゼウスで決済処理 カード情報は事業者様サーバを経由し、ゼウスで決済処理
事業者様のカード情報取り扱い 通過 しない しない する
保持 しない しない できる
決済処理 しない しない する
PCI DSS準拠
(2018年3月末日まで)
不要 不要 必要

ECにおける不正使用対策

事業者様の被害状況やリスクに応じ、複数の不正使用対策を組み合わせて実施していただく必要があります。

3Dセキュア インターネット上でクレジットカード決済をより安全に行うために、VISA、Mastercard、JCBが推奨する本人認証サービスです。
従来のインターネット上でのクレジットカード決済は、「クレジットカード番号」や「有効期限」などのクレジットカードに記載されている情報のみで行えましたが、3Dセキュアではこれに加え、「自分しか知らないパスワード」を合わせて認証することになります。
そのため、クレジットカード情報の盗用による「なりすまし」などの不正使用を未然に防止することができます。
セキュリティコード クレジットカード・セキュリティコードとはクレジットカードによる決済処理の際に、クレジットカード番号とは別のセキュリティコードを入力することで、不正使用リスクの軽減を図るものです。セキュリティコードは、クレジットカードの裏面または表面に記載された3桁もしくは4桁の番号で、クレジットカードを持っているカード会員のみが知るコードであるため、インターネット上でのクレジットカード決済においてセキュリティコードを利用することが不正使用対策につながります。
属性・行動分析 過去の取引情報等に基づくリスク評価によって不正取引を判定することができます。
配送先情報 不正配送先情報の蓄積によって商品等の配送を事前に停⽌することができます。

サービスについてのお問い合わせはこちら

お問い合わせ

関連リンク

SBIグループの決済代行サービス会社ゼウスです