各プロセスで必要とされる対策を明記

　同ガイドラインは、バーコードやＱＲコードを用いた、いわゆる「コード決済」の利用時にクレジットカード番号などの個人情報が流出し、不正利用される事案を想定して、その対策について策定したもの。「アカウント作成時」「クレジットカード登録時」「決済時」「決済後」といった各プロセスで、コード決済事業者またはコード決済事業者が行うべき対策についてとりまとめている。コード決済サービスが社会的信用を得るためにも、各事業者はガイドラインに基づいた不正利用防止対策の実行が求められる。

コード決済に係る不正が起きるタイミングとその内容

　コード決済に係る不正は、端末取得時（盗品・悪用目的）／ＳＩＭ取得時（同）／アカウント作成時（なりすまし・架空人物での登録）／金融情報登録時（不正取得情報の利用）／決済利用時（バーコードやＱＲコード画面の不正取得）に行われやすく、各プロセスで不正を防ぐ必要がある。

　また、各プロセスでコード決済事業者に求められる対策については、下記の通りとなっている。

• アカウント作成時：本人確認の徹底／コード決済事業者が有する周辺情報の確認
• カード情報登録時：セキュリティコード入力回数制限／登録するクレジットカード枚数の制限、他
• 決済利用時：金額や利用回数に関する上限設定/異常取引検知のためのモニタリングの実施
• 決済後：不正検知の強化／不正検知への対応

　一方、カード会社側に求められる対策には、

• カード情報登録時：本人認証／有効性確認／ユーザーへの不正利用対策の啓発
• 決済利用時：モニタリングの強化
• 決済後：不正検知の強化／不正検知への対応と連携

　などがある。

これまでにない新たな対策も必要に

　コード決済では、クレジットカードを活用したサービス提供が主流となっており、これはクレジットカードの新たな使用方法とも捉えられる。したがって今後、これまでのセキュリティ対策とは異なる、新たな対策が必要になると同協議会は指摘。コード決済をめぐる環境の変化や技術の発展などに応じて、ガイドラインの内容を見直す必要があるとしている。

”ＥＣは比較的不正が起こりにくい環境”としている

■ガイドライン「概要説明資料」

■「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」（全文）

▽関連記事

・ＰａｙＰａｙ、不正利用を全額補償へ…来年から３Ｄセキュア導入

・ＰａｙＰａｙ、３Ｄセキュア導入…クレカの不正利用受けて

・リスト型攻撃が多発、実害も…１８年ＥＣセキュリティ事故を総括