「実行計画２０１９」でセキュリティ対策の基準となる５項目を策定

　「実行計画２０１９」では、（１）クレジットカード情報保護対策、（２）クレジットカード偽造防止による不正利用対策、（３）非対面取引におけるクレジットカードの不正利用対策をカード会社・加盟店などに求めている。具体的には、（１）加盟店におけるカード情報の「非保持化」、（２）カード情報を保持する事業者のＰＣＩ・ＤＳＳ準拠、（３）クレジットカードの「１００％ＩＣ化」の実現、（４）決済端末の「１００％ＩＣ対応」の実現、（５）リスクに応じた多面的・重層的な不正利用対策の導入―などの措置を、セキュリティ対策の基準とした。

「実行計画２０１９」で自社システムの定期点検と追加対策を推奨

　このうちクレジットカード情報保護対策では、新たな脅威への警戒とセキュリティ対策への継続的な取組を求めている。一例として、ＥＣ加盟店における漏えい事案の傾向などを踏まえて、自社システムの定期的な点検や追加的な対策を施すべきだとしている。

　また、クレジットカード偽造防止による不正利用対策では、非接触ＩＣカードで一定金額を超える取引を行う場合、原則として接触ＩＣ取引のオフラインＰＩＮ入力とすることを明記している。ただし、オフラインＰＩＮ機能環境に対応できないカード型などでサインを要求する場合を除く。

非対面取引の不正対策では「リスクベース認証」導入を推進

　非対面取引におけるクレジットカードの不正利用対策では、３Ｄセキュア（本人認証）の取組強化の一環として、利用者のパスワードの登録率を向上させるほか、カード会社がリスクの高い取引を判定する「リスクベース認証」導入を推進。さらに、属性・行動分析の定義・有効性を明記すること、セキュリティコードの多数回連続エラーの際には取引不成立とすることなど、「ＰａｙＰａｙ」の不正利用で問題となった点なども盛り込まれている。

■（一社）日本クレジット協会「実行計画２０１９【公表版】」（ＰＤＦ）