「カード情報の非保持化」と一緒にやっておきたい「不正使用対策」(第4回)

齊藤 元彦

【経済産業省が発表したEC事業者が2018/3までにするべきこと -第4回-】

①「カード情報の非保持化」に加えて「不正使用対策」も重要

②「不正使用対策」とはクレジットカードの不正使用からECサイトを守ること

③「不正使用対策」は「決済前」「決済時」「決済後」の3段階で網羅的に
----------------------------------------------

◆本コラムについて◆
2016年2月、経済産業省より、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が出ました。
このコラムでは、その内容や対策方法についてお話していきます。
ECサイト・通販を運営している事業者の皆さまは、対応が必要かもしれませんので、是非ご一読いただければと思います。

【第1回】クレジットカードのセキュリティ対策は2018年3月までに!
https://www.ecnomikata.com/column/10973/

【第2回】“トークン決済” なら、ECサイトそのままで「カード情報の非保持化」
https://www.ecnomikata.com/column/11417/

【第3回】“リンクタイプ” で簡単・短期間に「カード情報の非保持化」
https://www.ecnomikata.com/column/11888/

「カード情報の非保持化」に加えて「不正使用対策」も重要

これまで3回にわたり、「カード情報の非保持化」つまり「ECサイトからのクレジットカード情報漏えいを防ぐこと」についてお話してきました。
今回は、「クレジットカードの不正使用からECサイトを守ること」を見てみようと思います。

第1回目で、クレジットカードの不正使用被害は、セキュリティ対策が不十分なECサイトを狙った不正アクセスによりカード情報が盗まれ、盗まれたカード情報が、偽造カードや本人なりすましにより、不正に使用されることで生じると説明したのを覚えていますでしょうか?




カード情報を盗み取る手口が巧妙化し、ECサイトを攻撃してカード情報を盗むという方法が拡がっていることから、経済産業省は、EC事業者に「カード情報の非保持化」もしくは「PCI DSS準拠」の対応を求めた指針を出しました。

この指針は、上の図の緑色で囲んだ部分、「①ECサイトが攻撃を受ける」「②カード情報が盗まれる」を防ぐためのもので、EC事業者の皆さまには、2018年3月までに「カード情報の非保持化」(=「①ECサイトが攻撃を受ける」「②カード情報が盗まれる」を防ぐ)対策が求められています。

「カード情報の非保持化」対策はとても重要であり、私たちはこのコラムを通して情報を発信させていただいています。


しかながら、EC事業者の皆さまにとって、「③カード情報が不正に使用される」から自身のECサイトを守ることも、それと同じくらい重要となります。

自社のECサイトが、完璧に「カード情報の非保持化」対策をしていても、他のECサイトなどからカード情報が漏えいし、自社のECサイトがクレジットカードの不正使用に利用される可能性は充分に考えられるからです。

万が一、偽造カードや本人なりすましによるクレジットカードを不正に使用して、ECサイトで購入された場合、クレジットカード情報を窃取された人(クレジットカード会員)の損害は補償されます(※)が、EC事業者の皆さまの売上は補償されません。
(※)クレジットカード会社の規約により異なります

クレジットカード会員が、不正使用などの理由により利用代金の決済に同意せず、クレジットカード会社がEC事業者の皆さまなど加盟店に対して、支払いを拒絶することを「チャージバック」と言うのですが、「チャージバック」が発生すると、ECサイトで商品は売れたのに、売上代金がEC事業者の皆さまに入ってこないという事態になります。


そこで、今回は、EC事業者の皆さまがクレジットカードの不正使用被害から身を守るための「不正使用対策」のお話をしようと思います。
上の図の黄色で囲んだ部分が、今回のテーマとなります。



不正使用対策は「決済前」「決済時」「決済後」の3段階で網羅的に

さて、その「不正使用対策」ですが、いつ行うのがよいと思いますか?
答えは、「クレジットカード決済時」だけではありません。


このコラムでは頻繁に出てくる、購入者が次のようにECサイトで商品を買う場合で見ると、
--------------------------------------------
1.ECサイト上で商品を選択
2.氏名・配送情報を入力
3.カード情報入力
 →カード決済処理
--------------------------------------------

『3.カード情報入力』以降の『カード決済処理』プロセスから、決済完了後まで網羅的に対策するのが有効です。

「カード決済処理」を中心に考えると、「決済前」「決済時」「決済後」の全ての段階で「不正使用対策」を行うことで、より強固に不正使用を防ぐことができるのです。



----------------------------------------------
●決済前:属性・行動分析
----------------------------------------------
「決済前」となる、『3.カード情報入力』後から『カード決済処理』をする前までの間に、そのクレジットカード情報が本人なりすましなどによる不正使用のものか、正しいものかがわかれば、不正使用を事前に回避することができます。

「実行計画」(*1)には、属性・行動分析として、「EC を行うネット接続端末機器について、過去の取引情報等に基づいたリスク評価(スコアリング)を行い不正な取引であるか判定するサービス」と書かれています。

GMOペイメントゲートウェイで取り扱っている、「不正防止サービス(ReD)」というサービスで説明しますと、購入者の決済情報に対して、ユーザー情報、注文内容などから、不正の可能性が高い取引かどうかを即時に判別し、取引すべきか否かの審査結果を返答しています。

審査結果に応じて取引をするか否かを選択できるため、購入者に対し、決済の際の追加手続きとして、ワンタイムパスワード入力などの負担をかけることなく、不正な取引を防ぐことができます。

なお、「不正防止サービス(ReD)」の場合、不正判定は、決済情報・購買情報、メールアドレスや電話番号などの個人属性情報、IPアドレスなどのweb情報など様々なユーザー情報、ハイリスク国などのグローバルルールや、物販・デジタルコンテンツなどの業種別のルール、更には予め設定したECサイトごとの独自不正判定ルール(※)を組み合わせて行っています。
(※)ご提供プランにより異なります。



----------------------------------------------
●決済時:本人認証、券面認証
----------------------------------------------
『カード決済処理』中に、クレジットカード情報に加え、本人しか知りえない情報を求めることで、偽造カードや本人なりすましによる不正使用を防ぐことができます。


本人認証の一つに、3Dセキュアがあります 。
これは、購入者がECサイトで商品を購入する際に、クレジットカード番号・有効期限以外に、クレジットカード会社から発行された専用のIDとパスワードを入力し、クレジットカード決済をするものです。

券面認証の方法には、セキュリティコードによる認証があります。これは購入者がECサイトで商品を購入する際に、クレジットカード番号・有効期限以外に、クレジットカードの裏面に印字されている末尾3桁(AMEXの場合は表面の4桁)の数字を入力するものです。

なお、3Dセキュア・セキュリティコードともに、私たちGMOペイメントゲートウェイ含め、多くの決済代行事業者で取り扱っているので、導入していないEC事業者の皆さまは是非ご検討ください。


----------------------------------------------
●決済後:保険、配送先情報
----------------------------------------------
EC事業者の皆さまがチャージバックを受けた際に、その金額を補償する保険があります。
どれほどセキュリティ強化を行っても不正使用のリスクは生じてしまいます。
そこで、万が一の備えとして行うのが、「決済後」対策となる保険への加入です。

なお、経済産業省の「実行計画」には、犯罪組織等の配送先情報を蓄積し、取引成立後であっても商品等の配送を事前に止めることで被害を防止する決済後の対策も記載されています。


▼GMOペイメントゲートウェイが提供する「不正使用対策」のサービス

 
 
 

自分のECサイトは自分で守る

2015年のクレジットカード不正使用被害額は120億円(*2)となり、3年間で約1.8倍と増加しています。
「実行計画」によると、ECサイトにおける不正使用の伸びが顕著となっているそうです。
対面取引では偽造クレジットカードによる不正使用、EC取引においてはカード会員本人になりすました不正使用となります。

不正使用は、高額な家電製品や宝飾品、デジタルコンテンツやチケットなどの換金性・流通性の高い商材を取り扱っている業種に多いと言われますが、クレジットカードの不正使用の手口は年々巧妙化しており、全てのEC事業者の皆さまにおいて、対策は重要です。

繰り返しとなりますが、クレジットカードの不正使用に合うと「チャージバック」が発生し、EC事業者の皆さまは、商品を発送(サービスを提供)したにも関わらず、その売上金が入金されないということになってしまいます。

さらに、もう一つ重要な視点として、「不正使用対策」を行っていないECサイトは、購入者であるクレジットカード会員に迷惑をかけているという側面があります。

カード会員本人になりすました不正使用をECサイトで止めることができれば、正しいカード会員が不正使用の被害に合うことを防げるからです。


「カード情報の非保持化」対策がされていても、「不正使用対策」が行われていないと、他のECサイトで盗まれたカード情報が自社のECサイトで不正に使われることになり、対策としては不十分です。
「カード情報の非保持化」だけでなく、「不正使用対策」がEC事業者の皆さま、ひいてはクレジットカード会員を守るために欠かせない対策となります。

ECサイトは、自社で「不正使用対策」をしていなければ誰も守ってくれません。
EC取引で利益を得る以上、自分の身は自分で守らなければならないと考えるのが自然ではないでしょうか。

まだ「不正使用対策」をされていないEC事業者の皆さまは、これを機に対応いただければ幸いです。



最後に、本日のまとめです。
----------------------------------------------
●EC事業者の皆さまが、しなければならないセキュリティ対策は、「カード情報の非保持化」と「不正使用対策」

●「不正使用対策」は決済プロセスの全段階で行うことで、より強固に不正使用を防ぐことができる
----------------------------------------------



GMOペイメントゲートウェイでは、
「カード情報の非保持化」として「トークン決済」「リンクタイプ」の決済サービスを提供しています。
「不正使用対策」として上記ご紹介したサービスを提供しています。
 →詳細はこちら https://www.gmo-pg.com/service/mulpay/security/

EC事業者の皆さまが、より安心・安全なECサイトを運営できるよう様々なサービスを取り揃えているので、「サービスの概要がききたい」「どんなサービスが合うのか知りたい」という方がいらっしゃいましたら、お気軽にご相談ください。
【お問合せフォーム】https://krs.bz/gmopg/m?f=504/?s=ecmikata161207

(*1) 実行計画:経済産業省などからなる「クレジット取引セキュリティ対策協議会」より発表された、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を指す。このなかで、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が発表されている
(*2) 一般社団法人日本クレジット協会「クレジットカード不正使用被害の集計結果について 2016年3月31日」より


著者

齊藤 元彦 (Motohiko Saito)

通信系教育会社のシステム運用担当、情報セキュリティコンサルタントを経て、2010年GMOペイメントゲートウェイに入社。情報セキュリティ担当として、ISO27001・Pマーク・PCIDSSなどの取得・継続運用、社内セキュリティ体制の構築などを実施。情報セキュリティ業務に15年以上携わる経験を活かし、セキュリティセミナー講師なども行う。

・GMOペイメントゲートウェイ : https://www.gmo-pg.com/
・カード情報の漏えい対策について : https://www.gmo-pg.com/service/function/execution/