パスワード管理とウイルス対策などを必須に

　報告書は、（1）カード情報の管理強化、（2）カードの不正利用防止、（3）利用者への周知と犯罪防止――を柱に据えた。

　カード情報の漏えい事件では、公表までに時間がかかり、被害が拡大するケースがある。このため、利用者への通知や公表を早期化させる。加盟店向け「クレジットカード情報の漏えい時および漏えい懸念時の対応要領」を改正して対応する。

　EC事業者の管理強化に向けて、クレジットカードのEC加盟店に求められる「適切管理義務」の水準を引き上げる。基本的なセキュリティ対策として、EC加盟店のシステムやサイトでのパスワード管理、ウイルス対策などを必須とする。ガイドラインに追記して対応する。

　加盟店管理会社（アクワイアラー）による加盟店への調査も強化する。新規のEC加盟店に、サイトの脆弱性対策の実施状況を申告させ、その内容を確認するという取り組みの試行運用を進める。

本人認証システムの導入は2025年3月までに

　カードの不正利用を防止するため、原則すべてのEC加盟店に対し、ワンタイムパスワードや生体認証によって本人確認を行う「EMV3 Dセキュア」の導入を進める。2025年3月までにEC加盟店に対し、固定パスワード以外の本人認証機能の導入を義務づける。割賦販売法に基づくガイドラインに追記し、法的拘束力を持たせる。

　「EMV3 Dセキュア」は、JCBやVISAといった国際ブランド6社で構成する団体が推奨。導入したEC加盟店では、不正利用防止の効果が顕著だったと報告されている。

経産省から警察庁への情報提供を開始

　カード会社をかたるフィッシング詐欺などによる不正利用に対応するため、カード情報の漏えい事案について、経産省から警察庁へ情報提供する仕組みを構築する。同時に、警察庁からのサイバー攻撃に関する情報を経産省を介して、業界へ周知する。これらは2023年度中にスタートさせる。

　また、カード利用者に向けて、被害を避けるために必要な対応の広報に乗り出す方針だ。

　■「第6回 クレジットカード決済システムのセキュリティ対策強化検討会」
　https://www.meti.go.jp/shingikai/mono_info_service/credit_card_payment/006.html